Le frein n°1 : le budget
Quand on interroge les élus et les DGS sur la cybersécurité, la réponse est presque toujours la même : « On sait que c'est important, mais on n'a pas le budget. »
C'est un frein réel. Mais il existe aujourd'hui plusieurs dispositifs de financement, souvent méconnus, qui permettent de couvrir une part significative des investissements en cybersécurité.
Combien coûte la cybersécurité d'une collectivité ?
Avant de chercher des financements, il faut dimensionner le besoin. Pour une commune ou une intercommunalité de taille moyenne (5 000 à 50 000 habitants) :
| Poste | Investissement | Récurrence |
|---|---|---|
| Audit initial (EBIOS RM) | 5 000 à 15 000 € | Tous les 3 ans |
| Sauvegardes hors site | 1 000 à 5 000 €/an | Annuel |
| Firewall nouvelle génération | 3 000 à 10 000 € | Tous les 5 ans |
| MFA + gestion des accès | 500 à 3 000 €/an | Annuel |
| Sensibilisation agents | 1 000 à 3 000 €/an | Annuel |
| Cyber-assurance | 2 000 à 8 000 €/an | Annuel |
Budget annuel indicatif : 8 000 à 25 000 € pour une collectivité de taille moyenne — soit moins de 1€ par habitant et par an.
À titre de comparaison, la reconstruction après une cyberattaque coûte en moyenne 500 000 € (voir le cas de Chalon-sur-Saône). La prévention est 20 à 50 fois moins chère que la réparation.
Les dispositifs de financement
DETR — Dotation d'Équipement des Territoires Ruraux
- Pour qui : communes de moins de 2 000 habitants (ou 20 000 pour les EPCI)
- Taux de subvention : 20 à 80% du projet
- Éligibilité cybersécurité : oui, au titre de l'investissement numérique des collectivités
- Demande : auprès de la préfecture, avant le 31 mars de chaque année
DSIL — Dotation de Soutien à l'Investissement Local
- Pour qui : toutes les communes et EPCI
- Montant : variable selon les priorités départementales
- Éligibilité cybersécurité : oui, au titre de la modernisation des services publics et de la transition numérique
- Demande : auprès de la préfecture, calendrier variable
FEDER — Fonds Européen de Développement Régional
- Pour qui : collectivités de toutes tailles
- Taux de cofinancement : jusqu'à 50% (zones urbaines) ou 70% (zones rurales)
- Éligibilité cybersécurité : oui, via l'axe « transition numérique » du programme régional
- Demande : auprès du conseil régional (gestion déléguée)
France Relance — Volet cybersécurité
- Pour qui : collectivités de plus de 3 500 habitants, hôpitaux, ministères
- Montant : parcours de cybersécurité financés jusqu'à 70%
- Géré par : l'ANSSI
- Attention : certains appels à projets sont clôturés, vérifier la disponibilité
France 2030
- Pour qui : projets innovants, souvent en consortium
- Montant : variable, jusqu'à plusieurs millions
- Éligibilité : projets de souveraineté numérique, cloud souverain, IA de confiance
- Demande : via BPI France
La mutualisation : la solution la plus efficace
Le principe
Plutôt que chaque commune finance seule sa cybersécurité, mutualiser au niveau intercommunal permet d'atteindre une masse critique et de réduire les coûts unitaires.
Ce qui peut être mutualisé
- RSSI partagé : un responsable cybersécurité pour l'ensemble de l'intercommunalité
- SOC mutualisé : surveillance des systèmes 24/7 pour toutes les communes membres
- Achats groupés : licences, équipements, prestations d'audit
- Formation : sessions de sensibilisation communes pour tous les agents du territoire
L'exemple qui fonctionne
Plusieurs départements ont mis en place des centres de ressources numériques qui mutualisent les compétences cyber pour les communes rurales. Le coût par commune est divisé par 5 à 10.
Le marché public en dessous de 40 000 € HT
Bonne nouvelle pour les élus : un audit de cybersécurité pour une commune de taille moyenne se situe généralement en dessous du seuil de 40 000 € HT. Cela signifie :
- Pas de procédure formalisée obligatoire
- Pas de publicité obligatoire
- Possibilité de traiter en gré à gré avec le prestataire de votre choix
- Délai de mise en œuvre réduit : quelques semaines au lieu de plusieurs mois
Il suffit de démontrer que le choix est économiquement raisonnable et que le prestataire dispose des compétences nécessaires.
Construire le dossier
Les arguments pour convaincre les élus
- Obligation légale : la directive NIS2 impose des mesures de cybersécurité sous peine de sanctions
- Coût de l'inaction : une cyberattaque coûte en moyenne 20 à 50 fois plus cher que la prévention
- Responsabilité : la responsabilité personnelle des élus peut être engagée en cas de manquement
- Confiance citoyenne : les administrés attendent que leurs données soient protégées
Les éléments du dossier
1. Diagnostic de la situation actuelle — même succinct, il objective le risque
2. Chiffrage du plan d'action — poste par poste, sur 24 mois
3. Plan de financement — part autofinancée + subventions mobilisables
4. Benchmark — ce que font les collectivités comparables
Le budget cybersécurité n'est pas une dépense. C'est une assurance. Et comme toute assurance, elle coûte infiniment moins cher que le sinistre qu'elle couvre.
SOCLE. réalise des diagnostics de souveraineté numérique dimensionnés pour les collectivités, compatibles avec les seuils de gré à gré et éligibles aux dispositifs de financement publics. Nous consulter.