Les cyberattaques contre les mairies et intercos franciliennes se multiplient, mais derrière le "piratage" anonyme se cachent parfois un agent infidèle ou un prestataire négligent. Comment articuler cyber‑investigation et enquête humaine pour établir une preuve judiciaire exploitable, sans piétiner le RGPD ni la vie privée ?

2026 : les mairies sont devenues des cibles, mais pas pour les raisons qu'on croit

Depuis les grandes vagues de rançongiciels contre les hôpitaux et les collectivités entre 2020 et 2024, tout le monde a compris que les SI publics étaient des cibles faciles. Pare‑feu, sauvegardes, procédures de crise : beaucoup de villes ont fini par se mettre à niveau, souvent sous la pression de l'ANSSI.

Mais en 2025‑2026, une autre réalité s'impose dans les collectivités : une partie des incidents n'a plus rien à voir avec le cliché du hacker russe dans sa cave. Les fuites viennent de l'intérieur, ou à la lisière : agents municipaux exaspérés, contractuels en fin de CDD, prestataires qui se sentent intouchables.

Dans les dossiers que nous voyons remonter en Île‑de‑France, le scénario se répète avec une régularité épuisante :

• un partage sauvage de fichiers sensibles via une messagerie personnelle ;
• une clé USB non autorisée, branchée en douce sur un poste bureautique ;
• un agent qui conserve des accès VPN après sa mobilité ;
• un prestataire informatique qui recycle des mots de passe ou contourne les règles internes.

Et à chaque fois, on convoque le grand méchant "cyber", alors que le cœur du problème est humain, organisationnel, et relève pleinement du périmètre de l'enquête administrative et privée.

Quand la réponse purement technique fabrique de l'aveuglement

Face à un incident, le réflexe est compréhensible : on appelle son DSI, son prestataire cybersécurité, parfois l'ANSSI ou la gendarmerie numérique. Les journaux de logs sont épluchés, les serveurs scrutés, les IP traquées. C'est indispensable... mais tragiquement incomplet.

Pourquoi ? Parce que les traces techniques ne disent pas tout. Elles montrent une session ouverte à telle heure, un téléchargement massif depuis tel poste, une connexion extérieure suspecte. Mais le "pourquoi" et le "pour qui" restent souvent dans l'ombre.

Or, un juge - administratif ou pénal - ne se contente pas d'un rapport de logs en PDF. Il veut comprendre la chaîne des décisions, les comportements, les négligences caractérisées, les éventuels conflits d'intérêts. C'est précisément là qu'un détective privé, rompu à la cyber‑investigation et au HUMINT, complète le travail des techniciens.

Un cas typique : la fuite de données RH par colère silencieuse

Imaginez une mairie de la grande couronne parisienne. Au printemps 2026, elle découvre que des tableaux de rémunération et de primes d'agents circulent anonymement sur les réseaux sociaux locaux. Panique, évidemment : atteinte à la vie privée, climat social inflammable, risque juridique massif.

Les logs montrent qu'un fichier Excel volumineux a été exporté depuis un poste du service RH, un vendredi soir à 18h42, et envoyé via une messagerie grand public. Problème : trois agents se partagent ce poste dans le cadre d'un "open‑space tournant".

La technique s'arrête là. On sait d'où c'est parti, pas qui a agi, encore moins pourquoi. C'est le moment où l'on sort du confort de la DSI pour entrer dans celui, nettement plus rugueux, de l'enquête humaine.

Enquête privée et cyber : un duo que beaucoup de mairies n'osent pas encore assumer

Dans les collectivités, l'idée de missionner un détective privé sur un incident numérique choque encore certains élus et DGS. Comme si l'enquête informatique devait rester l'apanage exclusif des DSI et des services régaliens.

Pourtant, le Code de la sécurité intérieure encadre clairement l'activité des agents de recherche privées. L'arrêt du Conseil d'État du 16 juillet 2014 a déjà validé la recevabilité de leurs rapports en contentieux administratif. Et la jurisprudence pénale admet depuis longtemps l'apport d'enquêtes parallèles, dès lors qu'elles respectent les règles de loyauté et de proportionnalité.

En clair : rien n'interdit à une collectivité de confier à un cabinet comme CONSILIUM INVESTIGATION une mission d'investigation articulée à la réponse technique de son DSI, à condition de :

• cadrer précisément l'objet de la mission ;
• respecter la vie privée et le secret des correspondances ;
• travailler main dans la main avec le conseil juridique de la collectivité.

Que peut vraiment faire un détective dans une affaire de cyberattaque municipale ?

Beaucoup plus que ce que l'on croit, et surtout, autre chose que jouer au hacker du dimanche. Un détective privé n'a pas vocation à pirater quoi que ce soit. Il intervient là où les outils techniques s'arrêtent : sur le comportement, les interactions, les incohérences humaines.

1. Cartographier les risques humains et contractuels

D'abord, en analysant le contexte : climat social, tensions internes, litiges en cours, renouvellements de marché. L'expérience montre que les fuites de données explosent souvent :

• à l'approche d'une réforme sensible (réorganisation des services, mutualisation intercommunale, plan d'économies) ;
• après une série de conflits individuels mal gérés ;
• ou à la suite d'un changement de prestataire informatique.

Ce travail de cartographie, déjà bien connu en intelligence économique, est encore trop rare côté collectivités.

2. Recueillir des témoignages et confronter les versions

Ensuite, l'enquête privée va là où le DSI ne peut pas - et ne doit pas - aller : les entretiens individuels approfondis, les recoupements d'agendas, la confrontation des versions. Il ne s'agit pas d'un "interrogatoire" policier, mais d'un travail fin d'écoute, de vérification, de recoupement.

Dans notre exemple de fuite RH, on va regarder, très concrètement :

1. Qui était physiquement présent au moment des faits.
2. Quels agents avaient, en pratique, besoin d'accéder à ce fameux fichier.
3. Qui avait déjà exprimé un ressentiment fort sur la question des primes.
4. Quels comportements numériques atypiques peuvent être rapprochés des logs (utilisation inhabituelle d'une adresse perso, par exemple).

On met en regard les traces techniques et les signaux humains. Et, souvent, un profil se dégage - pas toujours celui qu'on imaginait.

3. Examiner la chaîne des prestataires et sous‑traitants

Autre angle mort habituel : la négligence des prestataires. Combien de collectivités franciliennes se sont déjà retrouvées avec des mots de passe génériques du type "Mairie2024!", réutilisés partout, ou avec des accès VPN non coupés après la fin d'un marché ?

Une enquête privée bien menée sait aussi aller creuser ce sujet sensible : analyse contractuelle, recoupement des interventions, recueil de témoignages en périphérie, voire, dans certains cas, observation discrète des pratiques d'un prestataire sur le terrain.

RGPD, vie privée : jusqu'où peut‑on aller sans casser le dossier ?

C'est la crainte légitime de tout DGS : qu'une "chasse au coupable" vire à la catastrophe juridique, avec violation de la vie privée, collecte déloyale de données et, in fine, invalidation de la preuve.

Le RGPD n'interdit pas les enquêtes internes ni les investigations privées. Il impose un cadre. Les avis et guides de la CNIL sont très clairs sur ce point : une collectivité peut traiter des données pour assurer la sécurité de ses systèmes, prévenir la fraude ou défendre ses intérêts en justice, à condition de respecter quelques principes de base :

• finalité déterminée, explicite et légitime ;
• proportionnalité des moyens (on ne surveille pas tout, tout le temps) ;
• information des agents sur l'existence de dispositifs de contrôle, même si le détail opérationnel n'est pas dévoilé ;
• sécurisation des données collectées et limitation des accès.

Pour un cabinet d'enquête, cela signifie par exemple :

1. Pas d'accès direct, hors cadre contractuel, aux boîtes mail des agents.
2. Pas de vidéosurveillance détournée pour espionner du télétravail.
3. Pas de recueil clandestin de mots de passe ou d'infiltration dans des comptes privés.

La ligne rouge est claire : on enquête, on n'espionne pas. C'est aussi ce qui donne au rapport d'enquête sa valeur devant un juge.

Actualité 2026 : les cyberattaques d'Angers et d'autres villes comme électrochoc

Les attaques subies ces dernières années par des villes comme Angers, Lille ou Chalon‑sur‑Saône ont servi d'alerte violente : paralysie des services, données personnelles exposées, dépenses colossales en remédiation. Les communiqués de l'ANSSI ou du ministère de l'Intérieur ont largement insisté sur la sécurité technique.

Mais dans certains dossiers, la presse a aussi laissé filtrer des éléments troublants : mots de passe partagés, absence de séparation des droits, prestataires surdimensionnés et sous‑contrôlés. Derrière le vernis technologique, on retrouve le vieux problème de la gouvernance, du contrôle et, parfois, de la loyauté des acteurs.

Les collectivités qui tirent parti de cette actualité ne sont pas celles qui cèdent à la panique en achetant un énième pare‑feu. Ce sont celles qui acceptent de regarder leurs propres vulnérabilités humaines en face, et de se doter d'un véritable dispositif d'investigation quand un incident survient.

Combien d'affaires restent aujourd'hui sans réponse, faute d'enquête digne de ce nom ?

Si l'on était parfaitement honnête, nombre de DGS et de DSI reconnaîtraient avoir classé, faute de temps ou de méthode, des dizaines d'incidents comme "non élucidés" :

• un fichier sensible qui disparaît d'un espace partagé ;
• un compte administrateur utilisé en dehors des horaires normaux ;
• un flux étrange de données vers une adresse externe.

En vérité, beaucoup de ces cas auraient pu faire l'objet d'une investigation structurée : entretiens, recoupements, analyses comportementales, expertise contractuelle. Pas forcément pour "trouver un coupable" à tout prix, mais au moins pour comprendre ce qui s'est réellement passé, documenter les failles et, le cas échéant, établir les responsabilités.

Ne rien faire, ou se contenter d'un rapport technique aseptisé, c'est nourrir la répétition. La confiance dans le système d'information municipal se fissure, les agents qui respectent les règles se sentent floués, et les quelques profils toxiques se sentent, au contraire, confortés.

Vers une défense intelligente : articuler DSI, juridique et enquête privée

Une collectivité qui gère sérieusement le risque cyber en 2026 ne se contente plus d'un plan de sauvegarde et d'un PRA sur PowerPoint. Elle combine trois briques :

1. La brique technique : sécurité des systèmes, logs, supervision, plans de reprise.
2. La brique juridique : analyse des responsabilités, clauses contractuelles avec les prestataires, gestion des signalements, articulation avec les autorités (procureur, ANSSI, CNIL).
3. La brique d'enquête : investigation de terrain, recueil de preuves, compréhension fine des comportements, mise en récit des faits pour le juge.

Un cabinet comme le nôtre, basé à Paris et Rungis, se situe clairement dans cette troisième brique, au carrefour de la cyber‑investigation, du renseignement humain et de la sûreté économique. Nous ne remplaçons ni la DSI ni les forces de l'ordre ; nous complétons leurs angles morts.

Et maintenant, très concrètement, que peut faire une mairie d'Île‑de‑France ?

Si vous avez subi, au cours des derniers mois, un incident numérique dont la cause reste floue, ou si vous avez le sentiment que certaines pratiques internes mettent objectivement en danger votre système d'information, le plus dangereux serait de continuer comme si de rien n'était.

Commencez par recenser, noir sur blanc, les trois derniers incidents sérieux (ou quasi‑incidents) que vous avez connus. Pour chacun, posez‑vous trois questions simples :

• Avons‑nous réellement compris ce qui s'est passé - au‑delà du récit technique ?
• Avons‑nous exploré la dimension humaine et contractuelle ?
• Sommes‑nous capables, en l'état, de défendre notre gestion du risque devant un juge ou une chambre régionale des comptes ?

Si la réponse est "non" ou "pas vraiment" plus d'une fois, il est peut‑être temps d'intégrer l'enquête privée dans votre boîte à outils. Pas pour tout, pas tout le temps, mais pour ces dossiers où la technique se heurte à un mur de silence.

Vous pouvez demander un devis et échanger de manière confidentielle sur un cas concret via notre page Nos tarifs, ou en passant par les coordonnées indiquées en page d'accueil. À un moment, il faut accepter de regarder l'empreinte numérique pour ce qu'elle est : le début d'une histoire, pas sa conclusion.