Aller au contenu principal

HACKSESSIBLE.

Tarifs
À propos
Demo
Contact
Se connecterPrendre rendez-vous
Prendre rendez-vous
RGPD
CNIL
NIS2

Cybersécurité Secteur Public & Collectivités

Les collectivités et les organismes publics sont devenus des cibles prioritaires pour les groupes cybercriminels et les acteurs étatiques. Avec des ressources IT souvent limitées et des systèmes anciens, ils doivent pourtant garantir la continuité des services publics et la protection des données des citoyens.

Pourquoi la cybersécurité publique est un enjeu de direction ?

Risque politique & responsabilité élective

Une cyberattaque sur une collectivité n'est pas seulement un incident technique - c'est un événement politique. La presse locale et nationale couvre systématiquement ces incidents. Les élus sont directement interpellés par les citoyens et les oppositions. La question "pourquoi n'a-t-on pas protégé les données des administrés ?" est légitime et difficile à esquiver. Les attaques sur des communes françaises ces dernières années ont démontré l'impact politique direct de ces incidents.

Sanctions CNIL & RGPD public

Les organismes publics ne sont pas exemptés du RGPD. La CNIL a déjà sanctionné des communes et des collectivités pour des manquements à la sécurité des données citoyennes. Les données traitées - état civil, données sociales, données fiscales, données de santé scolaire - sont parmi les plus sensibles. Leur exposition crée une obligation de notification aux personnes concernées et à la CNIL sous 72 heures.

Continuité des services publics

Un ransomware qui paralyse les systèmes d'une mairie affecte directement les citoyens : délivrance d'actes d'état civil impossible, paiements bloqués, services sociaux inaccessibles. La continuité de service est une obligation de l'administration publique. La restauration des systèmes après une attaque majeure prend en moyenne 3 à 6 mois et coûte plusieurs centaines de milliers d'euros - souvent sans budget prévu.

Investigation en conditions réelles

[Hacksessible Agent]

Un citoyen peut-il accéder aux délibérations confidentielles ?

CRITICAL

Documents confidentiels accessibles sans authentification via directory listing actif.

HIGH

Interface d'administration sans VPN - 3 comptes admin compromis par dictionnaire en 2 minutes.

HIGH

Données personnelles (NIR, adresses) exposées dans les logs applicatifs en clair.

Analyse technique - Pour les équipes DSI

Les systèmes d'information des collectivités combinent des logiciels métier anciens (gestion des actes, paie, marchés publics), des portails citoyens récents, et souvent des interconnexions avec les systèmes de l'État (DGFIP, CAF, Ameli). Cette hétérogénéité crée de nombreux angles morts où la sécurité n'a pas été pensée de bout en bout.

Vecteurs d'attaque prioritaires

  • Interfaces d'administration exposées sur Internet sans VPN

  • Directory listing et documents sensibles sans contrôle d'accès

  • CMS obsolètes (Joomla, Drupal) avec plugins non mis à jour

  • Credentials par défaut sur équipements réseau et imprimantes

  • Phishing ciblé sur les agents (emails imitant les éditeurs métier)

Ce que Hacksessible teste

  • Accessibilité des interfaces d'administration depuis Internet

  • Contrôle d'accès sur tous les documents et ressources

  • Exposition de données personnelles dans les réponses API et logs

  • Robustesse des mécanismes d'authentification

  • Conformité des durées de conservation des données

Conformité réglementaire secteur public

RGPD & CNIL

Les collectivités sont responsables de traitement au sens du RGPD. La CNIL exige un DPO, un registre des traitements et des mesures de sécurité adaptées au risque - que Hacksessible vous aide à documenter.

NIS2 & Collectivités

La transposition de NIS2 en France étend les obligations de sécurité aux collectivités territoriales d'une certaine taille. L'ANSSI accompagne cette transition avec des référentiels adaptés au secteur public.

Accompagnement Hacksessible

Nos rapports sont adaptés aux contraintes des collectivités : format compréhensible pour les élus et les services juridiques, priorisé par impact et par coût de remédiation, avec un plan d'action réaliste.

Testez sur votre propre périmètre

Identifiez les failles qui exposent les données des citoyens et la continuité des services publics avant qu'un incident ne vous l'impose.

Prendre rendez-vous