Administration publique et NIS2 : un secteur hautement critique face à des menaces persistantes

L'administration publique figure parmi les 11 secteurs hautement critiques de la directive européenne NIS2, mais elle présente une particularité : contrairement aux autres secteurs, le périmètre exact des entités publiques régulées dépend de la transposition nationale de chaque État membre. En France, la promulgation de la Loi Résilience est attendue pour juillet 2026, et cette loi inclura les ministères, agences nationales, régions, départements et grandes intercommunalités au-delà de certains seuils. Ce retard de transposition place les administrations françaises dans une zone d'incertitude réglementaire, alors même que l'administration publique représente déjà 17 % des notifications de violations de données enregistrées par la CNIL en 2024.

Le secteur public français a subi ces dernières années une multiplication des attaques par ransomware et par exfiltration de données. Entre janvier 2022 et juin 2023, l'ANSSI a enregistré et traité 187 cyberattaques visant les collectivités territoriales, dont 131 concernaient les communes et EPCI. Cette tendance s'est maintenue en 2024 et 2025 : une commune de moins de 25 000 habitants sur dix a été victime d'une cyberattaque en 2024, un chiffre stable par rapport à 2023. Fin 2025, le Ministère de l'Intérieur a vu les données de ses agents fuiter via un tiers, et une vague coordonnée d'attaques DDoS a paralysé les sites de plus de 20 grandes mairies, de Lyon à Marseille. Le 19 décembre 2025, le Ministère des Sports a subi une exfiltration massive de données concernant 3,5 millions de foyers via le dispositif Pass'Sport (nom, prénom, date de naissance, IBAN, numéro de sécurité sociale).

Périmètre NIS2 : quelles administrations sont concernées ?

La directive NIS2 définit l'administration publique comme une catégorie d'entité essentielle relevant de l'annexe I, mais le périmètre précis de l'administration publique et des collectivités territoriales régulées sera défini à la promulgation des textes législatifs de transposition. D'après la directive NIS2, celle-ci ne s'applique pas aux entités de l'administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi.

En pratique, la Loi Résilience française devrait couvrir :

• Ministères et administrations centrales : services du Premier ministre, ministères régaliens et sectoriels, agences publiques nationales.
• Régions et départements : collectivités territoriales de niveau intermédiaire dépassant les seuils d'effectifs ou de budget.
• Grandes intercommunalités : métropoles, communautés urbaines et d'agglomération selon critères de population.
• Opérateurs publics critiques : établissements publics nationaux dans les transports (SNCF, RATP), l'énergie (EDF, Enedis) et la santé (grands CHU).

Les petites communes en deçà du seuil ne seront pas directement régulées par NIS2, mais resteront soumises à des exigences de cybersécurité par effet ricochet, notamment via leurs fournisseurs et prestataires de services numériques régulés.

Pour les entités de l'administration publique, elles sont considérées comme relevant de la compétence de l'État membre qui les a établies, conformément à l'article 26.1 de la directive.

Cadre réglementaire : NIS2, Loi Résilience et dispositifs spécifiques au secteur public

L'administration publique française dispose déjà d'un cadre cybersécurité spécifique antérieur à NIS2 : le Référentiel Général de Sécurité (RGS), les exigences de la Loi de Programmation Militaire pour les OIV, et les dispositifs ANSSI pour les opérateurs d'importance vitale (OIV). NIS2 vient superposer de nouvelles obligations à ce cadre existant.

Depuis le 17 mars 2026, l'ANSSI met à disposition le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées par l'ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2. Ce référentiel, par défaut non-obligatoire, permettra aux futurs assujettis qui décident de l'appliquer de s'en prévaloir en cas de contrôle de l'ANSSI.

Le ReCyF structure 20 objectifs de sécurité : les entités importantes (EI) et les entités essentielles (EE) sont toutes deux soumises aux objectifs 1 à 15, couvrant inventaire, gouvernance, maîtrise des accès, protection technique et gestion de crise. Les entités essentielles doivent en outre répondre aux objectifs 16 à 20, qui portent sur des exigences de maturité avancée : approche par les risques formalisée, audit, configuration sécurisée, administration dédiée et supervision active.

L'ANSSI a publié le ReCyF le 17 mars 2026 lors d'un rassemblement au Campus Cyber. Vincent Strubel, directeur général de l'ANSSI, insiste : « Face à une menace cyber qui ne faiblit pas, il y a urgence à déployer les bonnes pratiques de sécurité à grande échelle ». Le message est clair : l'ANSSI est claire : ne pas attendre la réglementation pour agir.

Outre NIS2 et le ReCyF, les administrations publiques doivent articuler leurs démarches avec :

• Le Référentiel Général de Sécurité (RGS) : socle réglementaire pour la sécurité des systèmes d'information des administrations depuis 2010.
• La Loi de Programmation Militaire (LPM) : pour les OIV publics (hôpitaux, grandes collectivités, opérateurs de transports).
• MesServicesCyber : portail ANSSI centralisant les ressources opérationnelles de mise en conformité NIS2 pour le secteur public.
• 17Cyber : guichet national lancé en décembre 2024 pour orienter les victimes de cyberattaques.

Spécificités cybersécurité : surface d'attaque étendue, dépendances complexes, legacy

L'administration publique présente des vulnérabilités structurelles qui la distinguent des autres secteurs :

Architecture legacy fragmentée : les systèmes d'information publics comptent souvent plusieurs générations de technologies (mainframes des années 1990, applications client-serveur, SaaS récents), interconnectées de façon hétérogène. Cette dette technique est particulièrement forte dans les collectivités de taille moyenne.

Multiplicité de prestataires et fournisseurs : les entités publiques dépendent d'un nombre élevé de prestataires externes (éditeurs métiers, hébergeurs, intégrateurs, sociétés de maintenance), dont la cartographie n'est pas toujours consolidée. Le Ministère de l'Intérieur a vu les données de ses agents fuiter via un tiers, illustrant la difficulté à maîtriser la chaîne d'approvisionnement numérique.

Contraintes budgétaires et RH : les petites collectivités manquent de ressources dédiées à la cybersécurité. 44 % des communes interrogées s'estiment faiblement exposées aux risques, un biais de perception qui retarde les investissements.

Données sensibles multiples : l'administration publique gère des données d'état civil, fiscales, sociales, de santé (pour les hôpitaux publics), et des données de fonctionnement interne. L'exfiltration de ces données entraîne un risque d'usurpation d'identité massive, comme l'a montré l'incident Pass'Sport touchant 3,5 millions de foyers.

Vecteurs d'attaque principaux : l'hameçonnage arrive en tête des attaques (30 %), devant les virus (12 %), les sites infectés (12 %) et les failles de sécurité (10 %). L'ingénierie sociale cible spécifiquement les agents publics, souvent peu sensibilisés.

Incidents marquants : quatre exemples documentés (2023–2026)

Mairie de Lille – mars 2024

En mars 2024, la Mairie de Lille a vu ses services administratifs paralysés pendant trois semaines suite à un rançongiciel. L'attaque a interrompu la délivrance de documents d'état civil, les services d'urbanisme et la gestion des prestations sociales. Le retour à la normale a exigé la restauration progressive de systèmes critiques, avec un coût estimé à plusieurs millions d'euros.

Département du Loiret – novembre 2023

Les services du département du Loiret ont subi une cyberattaque de grande ampleur qui a paralysé en partie ses services à partir du 5 novembre 2023 et a abouti au vol de 240 giga-octets de données. Cette attaque s'inscrit dans une série coordonnée visant les collectivités du Centre-Val de Loire (région, chambre d'agriculture, département d'Indre-et-Loire).

Ministère des Sports (Pass'Sport) – 19 décembre 2025

Exfiltration massive de données concernant 3,5 millions de foyers via le dispositif Pass'Sport (nom, prénom, date de naissance, coordonnées, numéro de sécurité sociale, IBAN). L'attaque a visé une plateforme tierce gérant les licences sportives, illustrant le risque de la chaîne d'approvisionnement.

Vague d'attaques DDoS contre les mairies – décembre 2025

Une vague coordonnée d'attaques DDoS a paralysé les sites de plus de 20 grandes mairies, de Lyon à Marseille. NoName057 est un collectif hacktiviste pro-russe qui revendique régulièrement des opérations DDoS contre des cibles européennes en lien avec le contexte géopolitique. Le groupe a revendiqué les attaques DDoS contre La Poste du 22 décembre 2025 et du 1er janvier 2026 ; leur logique est principalement politique : déstabiliser les institutions et services publics des pays soutenant l'Ukraine.

Ces quatre incidents illustrent la diversité des menaces : ransomware paralysant, exfiltration massive via tiers, et attaques DDoS à motivation géopolitique.

Mesures techniques prioritaires : focus sur quatre piliers du ReCyF

L'article 21 de la directive NIS2 impose dix catégories de mesures techniques et organisationnelles. Pour l'administration publique, quatre mesures sont particulièrement stratégiques :

1. Analyse de risques et sécurité des SI (Objectifs ReCyF 1, 2, 16)

L'administration doit formaliser une Politique de Sécurité des Systèmes d'Information (PSSI) approuvée par le dirigeant exécutif (maire, président de région, directeur général d'agence). L'objectif de sécurité 2 est sans ambiguïté : le dirigeant exécutif est nominalement responsable de la sécurité numérique au sein de son entité. Il approuve personnellement la PSSI, répond de la conformité devant l'ANSSI, et voit sa responsabilité directement engagée en cas de manquement.

Pour les entités essentielles, le ReCyF exige une approche par les risques formalisée : cartographie des actifs critiques, analyse des scénarios de menace (méthode EBIOS RM recommandée par l'ANSSI), évaluation des impacts et plan de traitement. Les administrations doivent prioriser la protection des données citoyens (état civil, fiscalité, santé) et la disponibilité des services essentiels.

👉 Lien interne : Analyse de risques et sécurité des SI

2. Gestion des incidents et continuité d'activité (Objectifs ReCyF 12, 13)

Les administrations doivent mettre en place un dispositif de détection, notification et gestion des incidents conforme aux exigences NIS2 : notification à l'ANSSI sous 24 heures (alerte précoce), rapport intermédiaire sous 72 heures, rapport final dans le mois. La complexité tient à la gestion simultanée des obligations RGPD (notification CNIL sous 72 heures en cas de violation de données personnelles) et NIS2.

Le Plan de Continuité d'Activité (PCA) doit garantir la fourniture minimale de services publics critiques (état civil, urgences hospitalières, transports publics) même en mode dégradé. La Mairie de Lille a vu ses services paralysés pendant trois semaines, soulignant l'importance de plans de reprise documentés et testés.

👉 Lien interne : Gestion des incidents | Continuité d'activité

3. Chaîne d'approvisionnement et sécurité des prestataires (Objectif ReCyF 14)

Les administrations doivent cartographier leurs dépendances vis-à-vis des fournisseurs critiques (éditeurs de logiciels métiers, hébergeurs cloud, prestataires de support). Le ReCyF impose l'évaluation de la sécurité des fournisseurs avant contractualisation, la définition d'exigences de sécurité dans les marchés publics, et la surveillance continue des prestations sensibles.

Le Ministère de l'Intérieur a vu les données de ses agents fuiter via un tiers, tout comme le Ministère des Sports avec l'attaque Pass'Sport via une plateforme tierce. Ces incidents montrent que la maîtrise de la supply chain numérique est un enjeu majeur pour le secteur public.

👉 Lien interne : Sécurité de la chaîne d'approvisionnement

4. Cyber-hygiène et formation (Objectif ReCyF 7)

L'hameçonnage arrive en tête des attaques (30 %). Le facteur humain reste le vecteur d'entrée principal. Le ReCyF exige la sensibilisation régulière de l'ensemble des agents et la formation renforcée des personnels à privilèges (DSI, administrateurs, DPO).

L'ANSSI et Cybermalveillance.gouv.fr proposent des programmes dédiés au secteur public : SensCyber (e-sensibilisation), MOOC de gestion de crise SenCy-Crise, et le dispositif RECyM (Réservistes de la Cybersécurité). Du 1er janvier 2024 au 31 octobre 2024, les plus de 100 réservistes du RECyM ont mené 115 actions de sensibilisation au bénéfice de 2 704 entreprises et collectivités territoriales, permettant de sensibiliser plus de 10 500 personnes.

👉 Lien interne : Cyber-hygiène et formation

D'autres mesures critiques incluent l'authentification multifacteur (MFA) pour tous les comptes administrateurs, le chiffrement des données sensibles, et la supervision active (SOC ou PDIS externalisé pour les entités essentielles).

Prestataires qualifiés ANSSI à mobiliser

L'ANSSI publie un annuaire officiel des prestataires qualifiés dans six domaines. Pour l'administration publique, trois qualifications sont particulièrement adaptées :

PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information)

Le ReCyF exige, pour les entités essentielles, des audits réguliers par des prestataires qualifiés ANSSI (PASSI), avec plan d'action suivi. Les PASSI réalisent des tests d'intrusion, audits de code, audits d'architecture et revues organisationnelles. Pour les collectivités et administrations soumises à la LPM, la qualification PASSI-LPM est requise.

PACS (Prestataire d'Accompagnement et de Conseil en Sécurité)

La qualification PACS couvre l'accompagnement à la mise en conformité NIS2 : gap analysis ReCyF, élaboration de PSSI, définition de plans de remédiation, accompagnement à la certification ISO 27001. Les PACS sont particulièrement adaptés aux collectivités et agences qui manquent de compétences internes.

PDIS (Prestataire de Détection des Incidents de Sécurité)

Les entités essentielles doivent assurer une supervision de la sécurité des SI : SOC, collecte et analyse des journaux, détection en continu des événements suspects. Pour les administrations ne disposant pas de SOC interne, le recours à un PDIS qualifié permet d'externaliser la supervision 24/7 avec garantie de conformité ANSSI.

D'autres qualifications pertinentes : PRIS (Prestataire de Réponse aux Incidents de Sécurité) pour la gestion de crise post-attaque, SecNumCloud pour l'hébergement cloud de données sensibles (recommandé pour les données de santé, fiscales ou régaliennes).

👉 Lien interne : Annuaire des prestataires qualifiés ANSSI

Calendrier NIS2 et prochaines étapes pour l'administration publique

Le calendrier de transposition français est le suivant :

• 17 octobre 2024 : date limite européenne de transposition (non respectée par la France).
• 17 mars 2026 : publication du ReCyF version 2.5 par l'ANSSI.
• Juillet 2026 : vote en hémicycle de la Loi Résilience lors de la session extraordinaire.
• S2 2026 : publication des décrets d'application techniques de l'ANSSI au second semestre 2026.
• 2026–2029 : période de transition progressive (jusqu'à 3 ans pour certaines catégories d'entités).

Les administrations peuvent dès maintenant :

1. S'auto-évaluer sur MonEspaceNIS2 : le pré-enregistrement sur MonEspaceNIS2, la plateforme officielle de l'ANSSI, est ouvert depuis novembre 2025. URL exacte : https://monespacenis2.cyber.gouv.fr/
2. Consulter le ReCyF : https://cyber.gouv.fr/la-directive-nis-2
3. Utiliser l'outil de comparaison de référentiels : l'ANSSI donne accès à un outil de comparaison de référentiels qui vise à faciliter la compréhension de ReCyF et à le comparer à d'autres référentiels, normes ou règlementations déjà existants (ISO 27001, RGS, LPM). Disponible sur MesServicesCyber : https://messervices.cyber.gouv.fr/
4. Mobiliser le dispositif RECyM : solliciter les réservistes de la cybersécurité pour des actions de sensibilisation au sein des services.
5. Lancer un audit de maturité NIS2 : faire appel à un PACS ou PASSI pour identifier les écarts entre l'état actuel et les 20 objectifs ReCyF.

Textes de référence :

• Directive NIS2 : https://eur-lex.europa.eu/eli/dir/2022/2555/oj
• Portail ANSSI NIS2 : https://cyber.gouv.fr/la-directive-nis-2
• MonEspaceNIS2 : https://monespacenis2.cyber.gouv.fr/
• MesServicesCyber : https://messervices.cyber.gouv.fr/
• Annuaire ANSSI des prestataires qualifiés : https://cyber.gouv.fr/produits-services-qualifies

👉 Liens internes : Qui est concerné par NIS2 | Les 10 mesures de l'article 21 | Secteur santé et NIS2 | Infrastructure numérique et NIS2

L'administration publique française, malgré l'existence d'un cadre réglementaire préexistant (RGS, LPM), doit désormais accélérer sa mise en conformité NIS2. Le ReCyF offre une feuille de route opérationnelle claire. Les entités publiques qui anticipent dès 2026 — en réalisant un gap analysis, en formalisant leur PSSI, en contractualisant avec des prestataires qualifiés ANSSI — se donneront les moyens de répondre aux contrôles futurs et, surtout, de renforcer leur résilience face à une menace cyber qui ne faiblit pas.