Prestataires cybersécurité pour le secteur Administration publique

Profil cyber du secteur Administration publique

Le secteur de l'administration publique représente 17 % des violations de données notifiées à la CNIL, soit près d'une attaque sur cinq, ce qui en fait le premier secteur touché en France. La surface d'attaque est considérable : services en ligne à destination des citoyens (état civil, impôts, prestations sociales), systèmes d'information interministériels, plateformes de dématérialisation, fichiers nominatifs sensibles et infrastructures de gestion RH.

Les attaques contre les collectivités suivent généralement un schéma répété : phishing ciblé sur un agent administratif, déploiement d'un ransomware qui chiffre les serveurs, demande de rançon. Les incidents récents illustrent cette vulnérabilité : l'attaque visant l'Agence nationale des titres sécurisés (ANTS) en avril 2026 a touché 11,7 millions de comptes, tandis que l'Urssaf a signalé un accès non autorisé à l'API de la DPAE concernant potentiellement 12 millions de salariés.

Au-delà de NIS2, l'administration publique française est soumise à des cadres réglementaires stricts : la Politique de Sécurité des Systèmes d'Information de l'État (PSSIE) s'applique aux ministères et aux établissements publics d'État sous tutelle, tandis que le Référentiel Général de Sécurité (RGS) vise à instaurer la confiance numérique dans les échanges électroniques et impose une homologation de sécurité débutant par une analyse de risques.

Mesures NIS2 prioritaires pour ce secteur

L'analyse de risques sécurité SI constitue le socle réglementaire obligatoire : la PSSIE comme le RGS imposent une cartographie exhaustive des actifs et une évaluation documentée des menaces. Pour les administrations manipulant des fichiers nominatifs sensibles, cette mesure conditionne toute mise en production.

La gestion des incidents revêt une dimension critique : l'ANSSI assure la réception et le traitement des incidents significatifs que les administrations de l'État et les établissements publics doivent lui notifier. La capacité à détecter, qualifier et remonter un événement de sécurité dans les délais réglementaires détermine la conformité NIS2.

La cyber-hygiène et formation doit être renforcée de manière massive : les ministères forment leurs agents chargés d'appliquer la PSSIE, qui doivent être sensibilisés à la sécurité des SI. Face au phishing, vecteur d'entrée dans plus de 60 % des incidents, la sensibilisation des agents administratifs n'est pas optionnelle.

Quels prestataires mobiliser

Les PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) sont indispensables pour mener les audits de conformité RGS et PSSIE, ainsi que les tests d'intrusion préalables à l'homologation. Leur qualification ANSSI garantit la reconnaissance des livrables par les autorités de tutelle.

Les PRIS (Prestataire de Réponse aux Incidents de Sécurité) permettent de structurer la capacité de réponse en cas de compromission avérée. Pour les administrations sans équipe SOC interne, ces prestataires assurent l'investigation forensique, le confinement et la remédiation, tout en facilitant la notification réglementaire à l'ANSSI.

Les PDIS (Prestataire de Détection des Incidents de Sécurité) offrent une surveillance continue des systèmes critiques. Face à la multiplication des tentatives d'intrusion sur les portails administratifs, un PDIS qualifié permet de détecter les comportements anormaux avant l'exploitation effective d'une vulnérabilité.

Les PACS (Prestataire d'Accompagnement et de Conseil en Sécurité) interviennent en amont pour structurer la gouvernance, piloter la mise en conformité PSSIE/RGS/NIS2 et accompagner les démarches d'homologation. Leur rôle est stratégique pour les établissements publics confrontés à des obligations multiples sans ressources SSI dédiées.

Pour le contexte réglementaire NIS2 détaillé de l'Administration publique, voir notre fiche complète.

Sources de cette fiche

• https://independant.io/cybersecurite-statistiques/
• https://www.i-leadconsulting.com/cyberattaques-france-2026/
• https://www.cyberhack.fr/blog/post/cyberattaques-france-2025-debut-2026
• https://cyber.gouv.fr/reglementation/cybersecurite-systemes-dinformation/protection-du-service-numerique-de-letat/
• https://cyber.gouv.fr/le-referentiel-general-de-securite-rgs
• http://www.pedagogie.ac-aix-marseille.fr/upload/docs/application/pdf/2017-11/pssie_anssi.pdf