Évaluer en continu la posture de cybersécurité de centaines de structures publiques locales n’est plus une utopie technique, mais un levier de gouvernance désormais éprouvé. Le partenariat entre l’Adico et Board of Cyber, déployé sur l’ensemble du département de l’Oise, en livre aujourd’hui les premiers enseignements : des progrès mesurables dans la réduction de la surface d’attaque, mais une mobilisation encore inégale d’une collectivité à l’autre.
En novembre 2024, l’Adico a engagé, avec le soutien de Board of Cyber, une campagne d’évaluation de la maturité cyber de l’intégralité des collectivités disposant d’un nom de domaine dans le département de l’Oise. Ce sont ainsi 240 entités (230 communes, 5 syndicats intercommunaux, 2 communautés de communes et 3 communautés d’agglomération) qui ont été auditées via la solution automatisée Security Rating. Cette approche, non intrusive, permet de générer une notation continue de la posture cyber, sur la base d’indicateurs techniques (certificats, protocoles, exposition réseau, vulnérabilités, pratiques de messagerie).
Chaque collectivité a reçu deux rapports : un état initial, puis un second rapport six mois plus tard, permettant de mesurer les évolutions après la mise en œuvre de recommandations correctives. Ce cadre a permis d’établir un référentiel homogène pour l’ensemble du territoire, facilitant les comparaisons, les priorisations et les démarches d’accompagnement ciblé.
Des indicateurs en amélioration, mais un engagement encore hétérogène
Les résultats témoignent d’une progression globale du niveau de sécurité, avec des gains particulièrement marqués sur le chiffrement des communications (adoption du protocole HTTPS), la sécurisation des messageries (réduction des risques d’usurpation d’identité) et la détection des vulnérabilités connues. Environ 30 % des collectivités ont enregistré une amélioration significative de leur note cyber, notamment lorsqu’un technicien a été mobilisé ou qu’un accompagnement a été mis en place.
Mais la dynamique reste inégale. Certaines communes n’ont pas encore engagé de véritable démarche d’amélioration, malgré l’audit initial. Pour l’Adico, ce diagnostic partagé reste un point d’appui structurant, car il permet de suivre dans la durée les efforts de cybersécurisation et d’objectiver les vulnérabilités récurrentes. Surtout, il change le regard porté sur le sujet dans les exécutifs locaux où la cybersécurité n’est plus perçue comme un luxe technique, mais comme une condition de continuité du service public.
Un levier de mobilisation des petites collectivités
L’approche déployée dans l’Oise illustre l’importance d’un maillage local, capable de soutenir les petites structures souvent démunies face aux enjeux cyber. L’Adico, avec son ancrage territorial et son rôle de tiers de confiance, agit comme catalyseur. Ses équipes, formateurs, techniciens, consultants, interviennent en proximité sur l’ensemble des volets de la modernisation numérique, comprenent l’équipement, les logiciels, la e-administration, la conformité RGPD, l’accessibilité, mais aussi la cybersécurité opérationnelle.
La capacité à industrialiser une démarche d’audit à l’échelle départementale constitue en soi un tournant, car elle transforme un risque diffus en pilotage stratégique. Pour Luc Declerck, directeur général de Board of Cyber, cette initiative pose les bases d’un « écosystème de confiance » autour des collectivités, en lien avec les exigences croissantes de cybersécurité imposées par les régulations nationales et européennes (NIS2, Cyber Resilience Act, RGPD…).
De la notation technique à la gouvernance du risque cyber
Le choix d’une évaluation automatisée, en continu et fondée sur des signaux externes, marque une évolution dans les pratiques de gestion des risques des collectivités. Contrairement aux audits ponctuels réalisés manuellement, le Security Rating repose sur une surveillance continue de l’exposition des services numériques sur Internet. Ce type d’outil alimente des tableaux de bord décisionnels, appuie les demandes budgétaires et facilite la priorisation des mesures correctives, même en l’absence de RSSI.
Il reste toutefois à transposer effectivement la traduction opérationnelle de ces notations dans les feuilles de route locales. La plupart des collectivités accompagnées n’ont pas encore formalisé de stratégie de cybersécurité ni intégré la démarche dans leur schéma directeur des systèmes d’information. L’Adico envisage de prolonger l’accompagnement par des sessions de sensibilisation des élus et des actions pratiques sur la protection des accès, la gestion des incidents et les plans de continuité.
Une dynamique à généraliser dans les territoires
Alors que les collectivités françaises figurent parmi les cibles privilégiées des attaques par rançongiciels, ce retour d’expérience ouvre la voie à une généralisation progressive de démarches similaires dans d’autres départements. La structuration de groupements d’achat cyber, le recours à des plateformes mutualisées de supervision, et la montée en compétence des intercommunalités constituent des pistes complémentaires pour renforcer la résilience des services publics locaux.
En investissant dans une connaissance fine des vulnérabilités, les collectivités préparent leur avenir numérique. La souveraineté territoriale passe aussi par une gouvernance partagée du risque cyber, où chaque commune, quelle que soit sa taille, devient un maillon actif d’un écosystème de confiance.
