La période électorale est un catalyseur de risques numériques : défiguration de site (defacing), vol de données ou paralysie des services. Pour le binôme Maire-DGS, la sécurité informatique n'est plus une option technique, mais un impératif politique. La "Proactivité" commande d'auditer et de renforcer vos défenses dès aujourd'hui. Voici les quatre piliers de sécurisation à imposer à votre Direction des Systèmes d'Information (DSI) ou à votre prestataire web.

Verrouillez votre identité numérique

La protection commence par la propriété. Votre nom de domaine est votre marque ; il doit être déposé à l’INPI et enregistré pour une durée longue (jusqu'à dix ans) afin d'éviter toute captation malveillante lors d'un oubli de renouvellement. L'action terrain : Exigez le "verrouillage du nom de domaine" (Registry Lock) auprès de votre bureau d'enregistrement. Ce dispositif, soutenu par l’Afnic, empêche toute modification technique non authentifiée (détournement de trafic, changement de propriétaire). C'est la ceinture de sécurité de votre adresse web.

Érigez une forteresse technique

Un serveur mal configuré est une porte ouverte. La protection doit être multicouche : antivirus à jour, pare-feu applicatif (WAF) pour filtrer les requêtes et dispositifs anti-DDoS pour contrer les attaques par déni de service visant à saturer votre site. 

L'action terrain : Appliquez le principe de "moindre privilège". Désactivez tous les services superflus sur le serveur. Filtrez les adresses IP autorisées à accéder à l'administration (back-office) pour n'autoriser que celles de la mairie ou du prestataire. Chiffrez impérativement les échanges via le protocole HTTPS pour protéger les données des citoyens (formulaires, cookies). 

Imposez une hygiène numérique stricte

La majorité des piratages exploitent des failles connues mais non corrigées. L'obsolescence est votre pire ennemie. L'action terrain :

• Mises à jour : CMS (WordPress, Joomla, Drupal...), thèmes et extensions doivent être mis à jour dès la sortie des correctifs de sécurité. Supprimez toute extension inutilisée qui augmente la surface d'attaque.
• Mots de passe : Bannissez les comptes génériques (type "admin" ou "contact"). Chaque utilisateur doit avoir un compte nominatif avec des droits restreints. Imposez des mots de passe complexes et, surtout, activez la double authentification (2FA) pour tout accès administrateur.

Assurez la continuité de service

Partez du principe que le risque zéro n'existe pas. En cas d'attaque réussie (rançongiciel, destruction), votre capacité à rebondir vite est cruciale pour l'image de la collectivité. L'action terrain : Mettez en place des sauvegardes régulières et automatisées (base de données + fichiers).

Point critique : ces sauvegardes doivent être déconnectées du réseau après exécution (stockage froid). Si elles restent connectées, elles seront chiffrées en même temps que le site en cas d'attaque. Testez régulièrement la restauration pour ne pas être pris au dépourvu le jour J.

LE CHIFFRE CLÉ : 2

C’est le nombre de facteurs d’authentification (mot de passe + code temporaire/SMS) indispensables pour accéder à l'administration de votre site. L'activation de cette double authentification bloque la quasi-totalité des tentatives d'usurpation de compte, même en cas de vol de mot de passe.

Sources : Cybermalveillance.gouv.fr, ANSSI.