La scène possède la froideur implacable d’un thriller moderne.
Un banal lundi matin en Saône-et-Loire, la secrétaire de mairie s’assoit à son bureau et presse le bouton d’allumage de son ordinateur. Au lieu de l’écran d’accueil familier, un message en anglais s’affiche sur fond noir, exigeant le paiement immédiat de 50 000 euros en bitcoins sous peine de voir toutes les données détruites. Le piège vient de se refermer. En quelques secondes, l’état civil est inaccessible, la comptabilité est figée, les courriers sont cryptés. Les entreprises locales ne peuvent plus répondre aux marchés publics et les habitants se voient refuser le renouvellement de leurs papiers d’identité. Le maire a beau alerter la gendarmerie et son prestataire informatique, le diagnostic est sans appel : un rançongiciel a frappé, et personne ne possède la clé de déchiffrement. La paralysie est totale.
Ce scénario catastrophe n’appartient plus au domaine de la fiction. En Bourgogne–Franche-Comté, les cyberattaques visant les collectivités locales explosent au rythme affolant de 30 % par an. Des logiciels malveillants redoutables comme LockBit ont déjà mis à genoux des services publics entiers dans d’autres régions. Si aucune commune de Saône-et-Loire n’a encore officiellement confessé avoir été victime d’un tel braquage numérique, les experts et le préfet du département partagent une certitude glaçante : nous serons la cible, ce n’est qu’une question de temps. Les pirates ont parfaitement identifié le ventre mou du système. Les petites communes rurales constituent des proies idéales. Dépourvues de service informatique dédié, jonglant avec des budgets serrés et du matériel vieillissant, elles hébergent pourtant une mine d’or de données sensibles, des registres d’état civil aux dossiers d’urbanisme. Les attaquants savent pertinemment que ces mairies, terrorisées à l’idée de voir leurs services bloqués des mois durant, sont souvent prêtes à payer la rançon. La véritable tragédie de cette vulnérabilité réside dans l’existence de remparts à la fois gratuits et redoutablement efficaces, tragiquement ignorés par les élus. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) déploie depuis plusieurs années un « diagnostic cyber » intégralement pris en charge. La démarche est d’une simplicité enfantine : un expert bénévole consacre une heure et demie, sur place ou en visioconférence, pour balayer une quarantaine de points critiques avec les équipes municipales. Le jargon technique est banni. L’intervenant repart en laissant six recommandations prioritaires et concrètes, comme l’automatisation des sauvegardes ou le renforcement des mots de passe. Au niveau national, 700 collectivités ont déjà bénéficié de ce bouclier.
L’arsenal de défense régional est tout aussi impressionnant.
Le Centre de sécurité des systèmes d’information de Bourgogne-Franche-Comté (CSIRT-BFC) accompagne gracieusement les communes, réalisant l’an passé plus de deux millions de scans de vulnérabilités sur 2 200 entités publiques pour alerter, former et réparer. La Région a même débloqué 400 000 euros pour lancer un Campus Cyber Territorial dédié à la formation des agents et des élus. L’argent public et les outils sont massivement déployés sur le terrain, coordonnés par l’Agence régionale du numérique (ARNia). Il suffit d’un simple coup de téléphone et d’une heure trente de disponibilité pour sécuriser une commune.
Mais la cybersécurité demeure le passager clandestin des conseils municipaux. Entre la réfection d’une route, le budget de l’école et l’inauguration de la salle des fêtes, la protection des données est reléguée au rang des abstractions techniques que l’on traitera “plus tard”. Les nouveaux maires, fraîchement élus ou reconduits en ce mois de mars 2026, croulent sous les dossiers urgents. Ils oublient qu’une seule faille non colmatée peut anéantir des années de gestion municipale et engloutir des centaines de milliers d’euros en procédures de récupération. Les pirates, eux, ne connaissent ni les mandats électoraux ni les urgences de voirie. Ils scrutent inlassablement nos faiblesses. La balle est désormais dans le camp politique. Protéger les données de ses administrés n’est plus une option technique, c’est le premier devoir d’un élu responsable.
