Secu

Cyberattaques locales : l’ANSSI sort le sparadrap

Par Thierry Derouet, publié le 29 août 2025

Après des années à laisser les petites mairies, associations et PME encaisser les coups, l’État via l’ANSSI ouvre un Appel à Manifestation d’Intérêt pour financer 17 équipes régionales d’assistance cyber de proximité. Un pas dans la bonne direction ?

On dit que mieux vaut tard que jamais. Après des années à laisser des communes, des associations et des PME affronter seules des attaques de plus en plus sophistiquées, l’ANSSI ouvre un appel à manifestation d’intérêt pour « renforcer l’accompagnement local aux enjeux de cybersécurité ».

En d’autres termes, jusqu’à 17 initiatives seront subventionnées à hauteur d’environ 400 000 euros chacune sur deux années, avec la garantie d’un soutien et d’une assistance gratuite et de proximité à l’échelle d’une région (ou d’un territoire ultramarin). Les dossiers doivent parvenir avant le 15 septembre 2025 à midi. Au-delà de la procédure, c’est un changement de focale : on territorialise l’aide et on outille les secours cyber au plus près des victimes.

Ce réveil n’arrive pas dans le vide. L’année 2024, côté collectivités, a été rude : l’ANSSI recense 218 incidents sur ce seul périmètre, dont 33 classés à criticité élevée. Le bulletin technique du CERT-FR n’édulcore rien : rançongiciels, exfiltrations, manœuvres de déstabilisation — la France locale encaisse et travaille en mode dégradé pendant des semaines.

Les récits, glanés au fil des ans, donnent chair aux chiffres.

Marseille, mars 2020 : au matin du premier tour des municipales, la machine administrative s’effondre. Téléphonie coupée, VPN hors service, serveurs éteints : dans le journal de crise, une note lapidaire résume la sidération — « quelque chose ne va pas ». Derrière, un rançongiciel, des centaines de serveurs chiffrés et des services publics brutalement renvoyés à l’âge du fax. Son RSSI, Jérôme Poggi, parlera plus tard de « six mois d’enfer », une cicatrice toujours ouverte cinq ans plus tard.

À Lille, en février 2023, le groupe Royal s’invite à l’Hôtel de Ville et revendique l’attaque en exhibant 350 Go de données volées, quand la mairie relativise en évoquant « moins de 2 % » du patrimoine réellement compromis. Reste que les services tournent au ralenti et que des agents municipaux reçoivent jusque dans leur boîte mail personnelle des demandes de rançon.

Deux ans plus tôt, en février 2021, c’est le centre hospitalier de Dax qui tombe à plat : ordinateurs muets, téléphones coupés, centre de vaccination fermé, patients de radiothérapie redirigés en urgence. Les soignants ressortent papiers et stylos, la direction concède que « tout a été mis à plat ».

L’été 2022, c’est au tour de Corbeil-Essonnes d’être attaqué par le groupe LockBit. Celui-ci exige 10 millions de dollars en échange des données volées, dont plus de 11 Go de renseignements confidentiels mêlant comptes rendus médicaux et documents RH. Entre communication sous contrainte et reprise des soins, la direction navigue dans la tempête.

Dernier exemple, en 2024, Montpellier connaît une autre forme de paralysie. Cette fois, il n’y a pas eu de demande de rançon ni de données chiffrées. Il s’agit d’une attaque par déni de service qui a submergé ses sites internet. Un simple flot artificiel de connexions suffit à mettre une métropole à genoux, rappelant qu’il n’est même pas besoin de ransomware pour signifier sa vulnérabilité.

Ces récits de Marseille, Lille, Dax, Corbeil ou Montpellier disent l’ampleur de la menace, mais surtout la fragilité de la réponse. Derrière chaque écran noir ou messagerie chiffrée, la même question revient : qui décroche le téléphone, qui prend la main, qui alerte le reste du pays ?

Les deux pilliers du GIP Acyma

Au milieu de cette mêlée, deux piliers du GIP Acyma structurent une partie de la réponse française : Cybermalveillance.gouv.fr et 17Cyber. Le premier tient la ligne depuis 2017 : accueil, diagnostic, orientation, prévention — la « porte d’entrée » pour des millions d’usagers. En 2024, la fréquentation grimpe à 5,4 millions de visiteurs uniques (+47 %), plus de 420 000 parcours d’assistance sont réalisés (+49,9 %). Une dynamique confirmée par le rapport d’activité 2024 et son communiqué : la première ligne est là, elle fonctionne, elle absorbe, elle rassure.

Le second, 17Cyber, lancé le 17 décembre 2024 en relai avec la Police nationale et la Gendarmerie, propose le réflexe simple et lisible qu’on attendait : diagnostic en ligne 24/7, tchat si nécessaire avec un policier ou un gendarme, et orientation vers un prestataire référencé. C’est la face visible du dispositif pour des victimes souvent désemparées. Et c’est bien.

Reste la question des moyens. La Cour des comptes, en 2022 déjà, saluait la pertinence d’ACYMA tout en soulignant l’insuffisance de ses ressources et la nécessité de pérenniser son financement et de clarifier la gouvernance. Le rappel a été renouvelé en 2025, dans un rapport plus large sur la réponse de l’État aux cybermenaces : la montée en puissance des infractions numériques s’accélère; la demande d’assistance explose; l’appareil public ne doit pas se contenter d’empiler des dispositifs, il doit les muscler et les articuler.

Le directeur général du GIP (Groupement d’Intérêt Public), Jérôme Notin, a mis des mots précis sur cette tension devant les députés, le 25 juin 2025 : « Il y a urgence ; le budget 2025 du GIP a baissé de 120 000 euros… Or, chaque année, je ne dispose que de 200 000 à 300 000 euros pour engager des actions de prévention et de communication. »
La phrase claque parce qu’elle est prosaïque : derrière l’afflux d’usagers en détresse, on cherche quelques dizaines de milliers d’euros pour maintenir une campagne TV ou publier un kit pédagogique.

Plus une bouffée d’oxygène, qu’une nouvelle initiative

C’est pourquoi l’appel à manifestation d’intérêt (AMI) lancé par l’ANSSI est si essentiel. Cependant, selon une source proche du dossier en région, cet AMI n’est toutefois pas réellement destiné à un nouveau dispositif : c’est « une bouffée d’oxygène » pour les CSIRT territoriaux – ou centres régionaux de réponse aux incidents cyber – qui avaient déjà reçu 1 million d’euros par région sur trois ans via France Relance, mais sans modèle économique pérenne. Cet AMI leur offre une rallonge – environ 400 000 € sur deux ans par région – pour maintenir ce maillon vital de la réponse locale.

Nos CSIRT territoriaux (12 en métropole, 3 outre-mer) ne peuvent rester des satellites isolés. Leur rôle est d’être l’oreille locale, le premier regard sur l’incident, celui qui aide à qualifier et contenir. Mais encore faut-il qu’ils s’emboîtent avec 17Cyber, le guichet unique d’assistance en ligne, qu’ils capitalisent sur l’expertise de Cybermalveillance.gouv.fr, et qu’ils puissent remonter sans friction vers les capacités nationales de l’ANSSI et du CERT-FR quand la crise déborde le périmètre local. À côté, le CERT Santé doit continuer de couvrir les hôpitaux, particulièrement exposés.
Autrement dit : réussir non pas un patchwork, mais un tissu homogène où chaque maille – locale, sectorielle, nationale – s’imbrique dans l’autre. Faute de quoi, la prochaine collectivité renvoyée à l’âge du fax ne sera qu’un épisode de plus dans une série déjà trop longue. Mais pour celà, il faut pérenniser nos CSIRT territoriaux, donc les financer.

Effort ponctuel, bricolage éternel

On peut saluer le mouvement sans bouder la lucidité. Oui, l’État territorialise enfin son assistance ; oui, 17Cyber rend le parcours plus lisible ; oui, Cybermalveillance a prouvé qu’une première ligne publique, pédagogique et réactive peut tenir. Mais la menace, elle, ne ralentit pas — elle s’industrialise. Tant que la première ligne restera sous-alimentée, tant que l’effort restera ponctuel, on bricolera de belles vitrines avec trop peu d’ateliers derrière.

À l’inverse, si l’on sécurise des moyens pérennes pour les équipes en partie bénévoles du GIP ACYMA adossés à l’ANSSI, si l’on maille réellement les régions avec des équipes intégrées au dispositif national, alors l’annonce d’aujourd’hui pourra, demain, ressembler à une vraie stratégie.

Le filtre anti-arnaque, naufragé dans un compte rendu

C’est au détour d’un compte rendu de la commission spéciale sur la résilience des infrastructures critiques et le renforcement de la cybersécurité, auditionnant Jérôme Notin le 25 juin 2025, que l’on découvre le triste destin du filtre anti-arnaque. Promesse présidentielle, inscrite dans la loi SREN, il devait protéger les Français contre la fraude numérique de masse. Trois ans plus tard, il est toujours au point mort.

Le récit livré par le directeur général du GIP Acyma est limpide. En septembre 2022, son groupement reçoit mission d’étudier le dispositif. « En trois mois, nous avons produit un rapport, inspiré du modèle belge, extrêmement pragmatique et qui fonctionne », rappelle-t-il, précisant qu’il aurait suffi de « dix mois » de développement, financements en main, pour rendre l’outil opérationnel. Jean-Noël Barrot promet alors un démonstrateur pour la Coupe du monde de rugby 2023, puis un filtre effectif aux Jeux olympiques.

C’est au détour d’un compte rendu de la commission spéciale sur la résilience des infrastructures critiques et le renforcement de la cybersécurité, auditionnant Jérôme Notin le 25 juin 2025, que l’on découvre le triste destin du filtre anti-arnaque.
Jérôme Notin le 25 juin 2025 s’exprimant lors de la commission spéciale sur la résilience des infrastructures critiques et le renforcement de la cybersécurité.

Quand les promesses présidentielles pèsent moins que les pesanteurs d’appareil

Sauf qu’entre-temps, Bercy est entré en scène. La Direction générale des entreprises s’emmêle, conteste la convention juridique proposée, impose une « convention de mandat » inadaptée… et finit par lancer un marché de gré à gré. Montant : 10,8 millions d’euros. Le GIP répond avec une offre à 7,2 millions. Trop cher, tranche la DGE, qui n’a « que » 5,9 millions. Qu’à cela ne tienne : l’offre est revue à la baisse. Mais en juillet 2024, la procédure est déclarée « sans suite », officiellement pour « motif d’intérêt général » lié au manque de ressources… de la direction elle-même.

Un an plus tard, la pièce continue. En janvier 2025, la DINUM est mandatée pour reprendre le dossier. Réunion en mars, discussions « constructives » en juin. Mais la DGE ne change pas de ligne : elle ne veut pas du filtre. Et tant pis si l’engagement figurait dans le programme de réélection du président de la République.

À l’Assemblée nationale, Jérôme Notin lâche ce constat, mi-froid, mi-sidéré : « cette administration remet en cause les choix de son ministre, voire du président de la République ». Traduction : même les promesses présidentielles pèsent moins que les pesanteurs d’appareil.

Ironie de l’histoire : c’est dans une commission parlementaire censée préparer la résilience numérique du pays que l’on découvre qu’un outil pensé pour protéger les citoyens des escroqueries les plus triviales reste lettre morte. À force d’arbitrages, de conventions et de marchés sans suite, le « filtre » a fini par filtrer… sa propre mise en œuvre.

À LIRE AUSSI :

À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights