Communication de crise IA dans le secteur public et les collectivités

Les collectivités et les administrations affrontent les mêmes menaces liées à l’IA que les entreprises deepfakes, désinformation, cyberattaques, mais avec un enjeu qui leur est propre : la confiance dans les institutions, et parfois la solidité du processus démocratique lui-même. Et souvent, avec des moyens bien moindres. Une attaque par rançongiciel peut paralyser l’état civil, les aides sociales et la paie d’une commune ; un deepfake d’élu peut semer le trouble en pleine campagne ; une fuite de données citoyennes peut entamer durablement la relation à l’administré. Le phénomène n’a rien d’abstrait : selon l’ANSSI, les collectivités territoriales ont subi en moyenne 18 incidents cyber par mois en 2024 rappelle l’expert en communication de crise Florian Silnicki, Président Fondateur de l’agence LaFrenchCom.

Ce guide adapte les principes de la communication de crise au secteur public : pourquoi les collectivités sont des cibles exposées, quels risques IA leur sont spécifiques, en quoi la communication publique de crise diffère, et comment s’organiser malgré des ressources contraintes. Il prolonge notre guide pilier sur la communication de crise face à l’IA.

Pourquoi les collectivités sont des cibles particulièrement exposées

Plusieurs facteurs font des collectivités des proies de choix. Elles détiennent une masse considérable de données personnelles — état civil, dossiers sociaux, informations cadastrales — et délivrent des services essentiels dont l’interruption est immédiatement visible des citoyens. Or leurs moyens de cybersécurité restent souvent limités : une étude menée en 2024 auprès de collectivités françaises montrait que plus du tiers avaient déjà subi une attaque, mais que 60 % des communes de moins de 5 000 habitants se sentaient peu ou pas exposées, et que seules 23 % estimaient disposer d’un dispositif de gestion de crise adapté.

S’ajoute une dimension symbolique et politique. Les institutions sont des cibles prisées des acteurs malveillants : en 2024, des attaques par déni de service revendiquées par des groupes hacktivistes, dans un contexte géopolitique tendu, ont visé de nombreuses municipalités et conseils régionaux français. Attaquer une collectivité, c’est viser la confiance des citoyens dans la puissance publique — ce qui place la communication au cœur de la gestion de crise.

Les risques IA spécifiques au secteur public

Quatre risques, souvent imbriqués, méritent une attention particulière.

La cyberattaque de collectivité

C’est le risque dominant et le mieux documenté. L’ANSSI a recensé 218 incidents touchant les collectivités en 2024, soit 14 % de l’ensemble des incidents traités, avec une part jugée de criticité élevée. Les conséquences sont lourdes : en avril 2024, la ville de Gravelines a vu l’ensemble de ses services rendus indisponibles, de la médiathèque aux aides sociales en passant par la paie ; d’autres communes, comme Isbergues, ont subi en plus un vol de données personnelles. Le coût peut être considérable — la facture d’une grande collectivité touchée a atteint le million d’euros, quand une commune plus modeste chiffrait à plusieurs dizaines de milliers d’euros la seule reconstruction de ses serveurs. Sans sauvegardes fiables ni procédure définie, la collectivité se retrouve face à un choix douloureux : payer une rançon ou reconstruire ses données pendant des semaines. La directive NIS2, en cours de transposition, vient précisément renforcer les obligations de cybersécurité des collectivités.

Le deepfake d’élu

Un maire, un président de région ou un responsable administratif peut voir sa voix ou son visage clonés pour lui faire annoncer une décision fictive, tenir des propos qu’il n’a jamais prononcés ou réagir à un événement de façon compromettante. Au-delà du préjudice individuel, c’est la parole institutionnelle elle-même qui est mise en doute, dans un contexte où la confiance envers les élus est déjà fragile.

La désinformation électorale locale

Les périodes électorales sont des moments de vulnérabilité accrue. De fausses informations, des contenus manipulés ou de faux comptes coordonnés peuvent fausser le débat local — un risque illustré à l’échelle nationale par de faux messages audio imitant des responsables politiques diffusés à la veille de scrutins. L’enjeu dépasse la réputation : il touche à l’intégrité du processus démocratique, ce qui impose aux collectivités une vigilance et une transparence particulières, sans prendre parti dans le débat lui-même.

Les faux sites et services officiels

L’usurpation institutionnelle est un vecteur sous-estimé : faux site de la collectivité, fausse démarche administrative, faux recrutement officiel. Ces leurres profitent de la confiance des citoyens envers l’administration pour les tromper. Des institutions publiques ont ainsi dû démentir activement de faux sites de recrutement, illustrant la sophistication croissante de ces opérations.

Les contraintes propres à la communication publique de crise

Communiquer en situation de crise dans le secteur public obéit à des règles spécifiques. La première est un dilemme bien identifié : le maire ou le responsable a une mission, voire une obligation, d’informer ses administrés, mais une cyberattaque impose dans le même temps une certaine confidentialité — ne pas révéler de détails exploitables par les attaquants, ne pas compromettre l’enquête. Concilier devoir d’information et confidentialité est l’équation centrale de la communication de crise publique.

S’y ajoutent la continuité du service public, qui doit être au cœur du message (que faire pour ses démarches pendant la panne ?), la responsabilité démocratique vis-à-vis de la confiance dans les institutions, et la réalité des moyens limités : nombre de petites communes n’ont ni service de communication dédié ni RSSI. Enfin, on ne s’adresse pas à des clients mais à des citoyens, ce qui appelle un registre de service et d’intérêt général plutôt que de relation commerciale.

Gérer une crise IA dans une collectivité : la méthode

Anticiper et s’organiser malgré des moyens limités

La préparation reste le premier levier, même à budget contraint. Concrètement : constituer une cellule de crise réunissant les élus, le directeur général des services, la direction des systèmes d’information ou le RSSI lorsqu’il existe, et la communication ; définir des sauvegardes fiables et testées ; et formaliser une procédure d’activation. Là où les ressources manquent, la mutualisation à l’échelle intercommunale et l’appui de prestataires sont des solutions concrètes. Combler le déficit de préparation — rappelons que seule une minorité de collectivités s’estiment équipées — est l’investissement le plus rentable.

Communiquer vite, sans jamais minimiser

Face à une cyberattaque, la tentation de rassurer en minimisant est un piège mortel. Lorsqu’une commune a affirmé, lors d’une attaque, que les données touchées n’étaient « que des notes de travail », les assaillants ont ensuite publié les données volées, révélant que des données personnelles étaient bel et bien concernées — ruinant en quelques minutes une communication qui se voulait rassurante et donnant l’image d’une situation hors de contrôle. La leçon est claire : ne jamais sous-estimer publiquement, car ce sont souvent les attaquants qui maîtrisent le calendrier des révélations. Mieux vaut une parole transparente et factuelle, centrée sur la continuité du service et les mesures prises. Et face à un deepfake d’élu, la riposte en deux temps s’applique : message d’attente, puis démenti étayé après authentification.

S’appuyer sur l’écosystème institutionnel

Les collectivités ne sont pas seules. Elles peuvent et doivent s’appuyer sur l’écosystème dédié : l’ANSSI pour l’accompagnement cyber, la plateforme cybermalveillance.gouv.fr pour l’assistance et le signalement, la CNIL pour la notification d’une violation de données, et la préfecture pour la coordination. Mobiliser ces ressources fait gagner un temps précieux et structure la réponse.

Checklist : préparer sa collectivité aux crises IA

À mettre en place sans attendre :

• Cellule de crise réunissant élus, DGS, DSI/RSSI et communication, avec procédure d’activation.
• Sauvegardes fiables et testées pour restaurer les services rapidement.
• Cartographie des risques : cyberattaque, deepfake d’élu, désinformation, fuite de données citoyens.
• Messages pré-rédigés centrés sur la continuité du service public.
• Procédure de notification des violations de données (CNIL) et de signalement.
• Mutualisation intercommunale et prestataires identifiés pour pallier les moyens limités.
• Contacts d’urgence : ANSSI, cybermalveillance.gouv.fr, CNIL, préfecture.
• Sensibilisation des agents et des élus aux menaces (phishing, deepfake, usurpation).

FAQ : communication de crise IA dans le secteur public

Pourquoi les collectivités sont-elles autant ciblées par les cyberattaques ? Parce qu’elles détiennent de nombreuses données personnelles, délivrent des services essentiels et disposent souvent de moyens de cybersécurité limités. L’ANSSI a recensé en moyenne 18 incidents par mois sur les collectivités en 2024.

Comment un maire doit-il communiquer pendant une cyberattaque ? En conciliant son devoir d’information et la confidentialité nécessaire : une parole transparente et factuelle, centrée sur la continuité du service et les mesures prises, sans jamais minimiser l’incident — car les attaquants peuvent révéler eux-mêmes l’ampleur de la fuite.

Que faire face à un deepfake d’un élu ? Appliquer la riposte en deux temps : un message d’attente indiquant que des vérifications sont en cours, puis un démenti étayé après authentification technique, en coordination avec les services compétents.

Quelles ressources pour une collectivité en cas de crise IA ? L’ANSSI pour l’accompagnement cyber, cybermalveillance.gouv.fr pour l’assistance et le signalement, la CNIL pour la notification des violations de données, et la préfecture pour la coordination.

Comment se préparer avec un petit budget ? En constituant une cellule de crise même réduite, en sécurisant des sauvegardes fiables, en formalisant une procédure, et en mutualisant les moyens à l’échelle intercommunale ou via des prestataires.

Les périodes électorales présentent-elles un risque accru ? Oui. Elles sont propices à la désinformation et aux deepfakes visant des responsables, avec un enjeu qui touche à l’intégrité du débat démocratique local et impose une vigilance et une transparence particulières.

Conclusion : protéger le service public, c’est protéger la confiance

Pour une collectivité, une crise liée à l’IA n’est jamais seulement technique ou réputationnelle : elle touche au lien de confiance entre les citoyens et l’institution. La paralysie d’un service, le doute jeté sur la parole d’un élu ou la fuite de données d’administrés ébranlent ce lien bien au-delà de l’incident. La parade ne suppose pas des moyens illimités, mais une préparation lucide, une communication transparente qui ne minimise jamais, et l’appui d’un écosystème institutionnel solide. Protéger le service public à l’ère de l’IA, c’est avant tout protéger la confiance.

Cet article ouvre la série sectorielle de notre dossier. La cyberattaque, risque majeur des collectivités comme des entreprises, fera l’objet d’un guide dédié à la communication de crise en cas de cyberattaque. Pour les enjeux de données et de désinformation, retrouvez nos articles sur le RGPD et l’AI Act et sur la désinformation par IA. Et pour la vision d’ensemble, revenez à notre guide pilier sur la communication de crise face à l’IA.