Qu’il soit hébergé et administré en interne ou confié à un prestataire, le site internet d’une commune doit faire l’objet de mesures de protection adaptées pour prévenir les risques de piratage. À l’approche des élections municipales de mars 2026, les sites des collectivités, comme ceux des candidats, constituent des cibles potentielles pour les cyberattaques.

Des sites communaux particulièrement exposés

Les sites internet des collectivités territoriales concentrent des informations sensibles, des données personnelles et constituent un canal officiel de communication avec les habitants. À ce titre, ils peuvent faire l’objet de nombreuses attaques : défiguration de pages, vol de données, diffusion de fausses informations ou encore indisponibilité du site par saturation.

À l’approche d’échéances électorales, ces risques sont renforcés. Il est donc essentiel d’anticiper et de mettre en œuvre des mesures de sécurité adaptées.

Enregistrer et protéger le nom de domaine

La première étape consiste à sécuriser le nom de domaine du site. Celui-ci doit être réservé auprès d’un bureau d’enregistrement pour une durée allant d’un à dix ans, avec un renouvellement anticipé.

Il est également recommandé de déposer le nom de domaine à titre de marque auprès de l’Institut National de la Propriété Industrielle (INPI).

Pour limiter les risques de détournement ou de piratage, des solutions comme le verrouillage du nom de domaine, proposé notamment par l’Association Française pour le Nommage Internet en Coopération (AFNIC), peuvent être mises en place.

Protéger efficacement le serveur d’hébergement

Plusieurs dispositifs de sécurité indépendants peuvent être déployés pour protéger le serveur hébergeant le site communal :

• un antivirus pour détecter et bloquer les programmes malveillants ;
• un pare-feu afin de restreindre les accès aux seuls services et machines autorisés ;
• un serveur mandataire inverse (reverse proxy) pour filtrer les requêtes ;
• une solution de protection contre les attaques par déni de service distribué ;
• un pare-feu applicatif pour protéger les applications web.

Ces dispositifs peuvent être mis en œuvre en interne ou par le prestataire d’hébergement.

Configurer et sécuriser le serveur

La configuration du serveur doit être strictement limitée aux services et fonctionnalités nécessaires au fonctionnement du site. Il est notamment recommandé de filtrer les adresses IP autorisées à accéder aux interfaces d’administrations, de restreindre les types de requêtes possibles et d’interdire les formats de fichiers à risque lorsqu’ils ne sont pas indispensables.

Cette approche permet de réduire les points d’entrée potentiels pour un attaquant.

Des mots de passe robustes, une règle essentielle

La gestion des mots de passe reste un élément clé de la sécurité informatique. Il est indispensable d’utiliser des mots de passe longs, complexes et différents pour chaque service, en particulier pour les comptes administrateurs. Leur renouvellement doit être régulier, notamment en cas de suspicion de divulgation.

Lorsque cela est possible, l’activation de la double authentification (mot de passe et code de confirmation) est fortement recommandée pour l’accès à l’administration ou à la publication de contenus.

Maintenir les équipements et logiciels à jour

Un site non mis à jour constitue une cible privilégiée pour les cybercriminels. Les failles de sécurité sont régulièrement corrigées par les éditeurs de logiciels et les constructeurs de matériel. Il est donc indispensable d’effectuer, sans délai, les mises à jour de sécurité concernant le système d’exploitation du serveur, le système de gestion de contenu (CMS), les bases de données, les modules complémentaires et extensions.

Sauvegarder régulièrement les données

En cas de panne, de cyberattaque ou de destruction des équipements, l’absence de sauvegarde peut entraîner une perte définitive des données. Il est donc essentiel de réaliser des sauvegardes régulières du site, de sa configuration et de ses bases de données, et de tester régulièrement la restauration de ces sauvegardes. Les supports de sauvegarde doivent être déconnectés après utilisation afin d’éviter leur compromission en cas d’attaque.

Sécuriser les communications avec les internautes

L’utilisation du protocole HTTPS est aujourd’hui indispensable. Il permet de chiffrer les échanges entre le navigateur de l’internaute et le site de la commune, empêchant l’interception de données sensibles telles que les identifiants de connexion, les cookies ou les informations personnelles.

Limiter et encadrer les accès administrateurs

Pour réduire les risques liés au piratage de comptes, il convient de limiter le nombre d’utilisateurs disposant de droits d’administration, de définir précisément les rôles et niveaux d’accès de chaque utilisateur et de privilégier des comptes individuels plutôt que des comptes génériques. Cette organisation permet de mieux tracer les actions et de limiter les conséquences d’une éventuelle compromission.

Être vigilant sur les extensions et plugins

Les CMS proposent de nombreuses extensions pour enrichir les fonctionnalités des sites. Toutefois, ces plugins peuvent constituer des failles de sécurité. Avant toute installation, il est recommandé de vérifier leur notoriété, leur origine et leur date de dernière mise à jour. Les extensions doivent être téléchargées exclusivement depuis le site officiel de l’éditeur du CMS et mises à jour dès qu’une nouvelle version est disponible.

Pour aller plus loin, le site cybermalveillance.gouv.fr met à disposition des collectivités de nombreuses ressources pratiques dans la rubrique « S’informer » puis « Adopter les bonnes pratiques ».