Stratégie & Performance

Cyber-résilience des collectivités : au-delà de la technique, un impératif de souveraineté managériale

L’actualité des dernières années l’a gravé dans le marbre : aucune collectivité, de la métropole au syndicat technique, n’est à l’abri. En 2026, la question pour un DGS n’est plus de savoir si ses systèmes de défense seront franchis, mais comment son organisation encaissera le choc. La cybersécurité a muté. Ce n’est plus une ligne budgétaire « informatique » un peu obscure, c’est le socle même de la continuité du service public et de la confiance démocratique.

1. Sortir du fantasme de la muraille numérique

Pendant trop longtemps, nous avons abordé la sécurité comme la construction d’une citadelle (firewalls, antivirus). Or, avec l’explosion des usages — Smart City, capteurs IoT, portails citoyens — notre surface d’exposition est devenue infinie.

Passer à la cyber-résilience, c’est accepter une forme de porosité. La priorité ne doit plus être uniquement l’étanchéité, mais la capacité de « récupération ». Pour nous, dirigeants, cela implique de piloter la collectivité en mode dégradé. La résilience, c’est l’art de tomber sans se briser et, surtout, de se relever plus vite que l’agresseur.

2. L’agent, première ligne de défense (et non maillon faible)

L’IA générative a fait sauter le dernier verrou des hackers : la langue. Les campagnes de phishing sont désormais d’un réalisme chirurgical, imitant parfaitement le ton de nos services ou de nos élus. Face à cette menace « augmentée », la technologie ne suffit plus.

L’enjeu est purement managérial : il faut transformer chaque agent en acteur de la vigilance. Cela passe par un changement de culture :

  • Déculpabiliser l’erreur : Un agent qui clique sur un lien piégé ne doit pas craindre la sanction, mais être encouragé à donner l’alerte immédiatement. En cyber, la vitesse de réaction divise l’impact par dix.
  • L’entraînement par l’immersion : Oublions les e-learnings soporifiques. En 2026, la résilience s’acquiert par des exercices de crise « grandeur nature » où l’on teste, sans prévenir, le passage en mode manuel.

3. Le PCA : le « Couteau Suisse » du DGS en Codir

Le Plan de Continuité d’Activité (PCA) doit sortir des tiroirs de la DSI pour devenir le livre de chevet du comité de direction. Pour piloter réellement ce risque, j’identifie trois questions critiques que chaque DGS doit poser à ses équipes :

  1. Sanctuarisation : Quelles sont nos 3 fonctions vitales sans lesquelles la cité s’arrête ? (Paie, état civil, régulation des fluides).
  2. Endurance : Combien de temps l’administration peut-elle tenir sur « papier-crayon » ? C’est notre Objectif de Temps de Récupération (RTO).
  3. Immuabilité : Nos sauvegardes sont-elles déconnectées et inaltérables ? C’est le seul levier pour ne jamais avoir à négocier avec des cyber-mafieux.

4. Un enjeu de souveraineté et de réputation

Enfin, la cyber-résilience est un pilier de notre marque employeur. Une fuite massive de données sociales ou bancaires brise durablement le contrat de confiance avec l’administré. À l’inverse, une collectivité qui gère une crise majeure sans rompre le service public démontre une maturité et un leadership qui rassurent les citoyens comme les partenaires financiers.

💡 La checklist de survie du DGS (6 points clés)

Avant de clore votre prochain Codir, assurez-vous de pouvoir cocher ces cases :

  • Sauvegardes « froides » : Avons-nous une copie de nos données critiques hors réseau (offline) ?
  • Annuaire de crise papier : Les numéros de téléphone des cadres et prestataires clés sont-ils imprimés (et pas seulement sur un serveur inaccessible) ?
  • Délégation de signature : Le circuit de décision est-il clair si le DGS ou le Maire est injoignable ou si les parapheurs électroniques tombent ?
  • Budget sanctuarisé : Allouons-nous au moins 5 à 10% de notre budget IT à la seule sécurité ?
  • Assurance Cyber : Notre contrat est-il à jour des nouvelles exclusions de 2026 ?
  • Test de stress : À quand remonte notre dernier exercice de « black-out » informatique ?

Conclusion : La cybersécurité est le nouveau « risque majeur » de nos territoires, au même titre qu’une inondation. En 2026, notre rôle est d’insuffler cette vigilance à tous les étages. Être résilient, c’est accepter notre vulnérabilité pour mieux garantir la pérennité de l’intérêt général.

Zouhir AGHACHOUI

Posted

in

by

strategie.performance.contact

Tags:

Comments

Laisser un commentaire