Notes

• [1]
  Le GIP ACYMA est le groupement d’intérêt public « Action contre la cybermalveillance » (arrêté du 3 mars 2017 portant approbation de la convention constitutive du groupement d’intérêt public pour le dispositif national d’assistance aux victimes d’actes de cybermalveillance).
• [2]
  Les cyberattaques peuvent avoir pour cause un hameçonnage, le téléchargement d’un virus, la compromission de compte de messagerie, le défaut de configuration des équipements de sécurité ou une faille de sécurité non corrigée, la consultation de site internet infecté ou encore l’utilisation d’une clé USB compromise.
• [3]
  En ligne : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/cp-etude-2024-cybersecurite-collectivites [consulté le 22/09/2025].
• [4]
  En ligne : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-002.pdf [consulté le 22/09/2025].
• [5]
  Art. 4, Directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
• [6]
  Art. 6, Directive 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement 910/2014 et la directive 2018/1972, et abrogeant la directive 2016/1148 (directive SRI 2).
• [7]
  Art. 2, Loi n° 2013-1005 du 12 novembre 2013 habilitant le Gouvernement à simplifier les relations entre l’administration et les citoyens.
• [8]
  Défini comme « tout système d’information permettant aux usagers de procéder par voie électronique à des démarches ou formalités administratives » (ord. n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives).
• [9]
  B. Delaunay, « L’open data dans les collectivités territoriales », JCP-A., n° 2286, 2018.
• [10]
  Ord. n° 2021-1310 du 7 octobre 2021 portant réforme des règles de publicité, d’entrée en vigueur et de conservation des actes pris par les collectivités territoriales et leurs groupements.
• [11]
  La part des agents territoriaux pratiquant le télétravail s’élève à 13 % pour 2023 selon les chiffres de mars 2025 du « Point Stats n° 51 » de la DGAFP.
• [12]
  En ligne : https://www.cybermalveillance.gouv.fr/medias/2023/11/231120_Etude_Maturite_Cyber__SCREEN_compressed.pdf [consulté le 22/09/2025].
• [13]
  Le coût direct pour la métropole Aix-Marseille-Provence (mars 2020) a été estimé à 900 000 euros et à plus de 1,5 million pour la ville de Bondy (novembre 2020), Rapport de la commission spéciale « Résilience Cybersécurité » du Sénat.
• [14]
  Par, notamment, la défiguration de site internet : en ce sens, « plusieurs dizaines de sites Internet de mairies françaises ont fait l’objet de défigurations portant des messages pro-russes en mai 2023 ». En ligne : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-002.pdf [consulté le 22/09/2025].
• [15]
  S. Saunier, « La cybersécurité, un nouvel objet du droit administratif », JCP-A, n° 2144, 2024.
• [16]
  Art. 6, directive 2022/2555, préc.
• [17]
  Voir par ex. J. Marchand, « Cybersécurité et traitement des données personnelles par les collectivités territoriales », JCP-A, n° 2148, 2024.
• [18]
  Pour le cas où le téléservice requiert une identification, une authentification ou une signature électronique de l’administré, les collectivités doivent, en outre, se conformer aux spécifications techniques imposées par le règlement n° 910/2014 « eIDAS » du 23 juillet 2014.
• [19]
  Art. 9, ord. n° 2005-1516.
• [20]
  Décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516.
• [21]
  D. Alexandre, responsable du service « confiance numérique » au syndicat mixte Soluris, propos cités par G. Thierry, « Négligée, l’homologation des téléservices est pourtant une obligation de sécurité », La gazette des communes, 11 septembre 2024.
• [22]
  E. Marzolf, « Les “hackers éthiques” creusent leur sillon dans les administrations », Acteurs publics, 13 déc. 2023.
• [23]
  Pour tester notamment des portails citoyens, des parapheurs électroniques et un logiciel de gestion des files d’attente et des accueils. Voir E. Marzolf, « Quand les collectivités font la chasse aux failles informatiques », Acteurs publics, 8 juin 2022.
• [24]
  G. Thierry, « Négligée, l’homologation des téléservices est pourtant une obligation de sécurité », préc.
• [25]
  En ligne : https://monservicesecurise.cyber.gouv.fr/ [consulté le 22/09/2025].
• [26]
  Idem.
• [27]
  Art. 7, Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
• [28]
  Avant le 17 octobre 2024.
• [29]
  Art. 5, projet de loi.
• [30]
  CE, avis, ass., 6 juin 2024, Projet de loi relatif à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier.
• [31]
  Art. 17, 2°, a) et b), projet de loi.
• [32]
  C’est-à-dire un incident qui a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ou, qui a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.
• [33]
  Ainsi, « le coût pour les collectivités locales des solutions de sécurité nécessaires à leur mise en conformité avec la directive NIS 2 s’élèverait à 690 millions d’euros par an. S’y ajouteraient 105 millions d’euros par an au titre de l’embauche et de la formation de ressources humaines qualifiées ». Source : table ronde avec les associations d’élus, 4 février 2025. En ligne : https://www.senat.fr/rap/l24-393/l24-39322.html [consulté le 22/09/2025].
• [34]
  M. Julienne, « Les collectivités territoriales à la conquête de la planète IA », JCP-A, n° 21062025.
• [35]
  Art. 7, directive NIS 2.
• [36]
  F. Ribet et H. Habchi, « Les systèmes d’information dans les collectivités territoriales : les enseignements des rapports d’observations des CRC », JCP-A, n° 2100, 2025.