Skip to main content

Cybersécurité des collectivités : la phase 3 de la mutualisation est lancée

Avatar
21/10/2025
5 min read
Interviews

Depuis 2021, le CoTer Numérique (Club des DSI des collectivités) et le Club de la Sécurité Numérique des Collectivités (CSNC) mènent une initiative ambitieuse aux côtés de l’ANSSI et de Yogosha : mutualiser les audits de sécurité des applications web et mobiles utilisées par les collectivités.
L’objectif est clair : réaliser un seul audit par application et partager les résultats avec l’ensemble des membres, évitant ainsi que chaque collectivité ne refasse les mêmes tests en silo.

Retour sur les deux premières phases

Entre mai 2022 et septembre 2024, 15 applications critiques ont été auditées grâce à un financement du plan de relance et la supervision de l’ANSSI :

  • Pilotage : CD31, Ville de Chelles, Ville de Boulogne-Billancourt
  • Opérateurs : chercheurs Yogosha, avec centralisation des vulnérabilités sur la plateforme Yogosha
  • Résultats : plus de 130 vulnérabilités identifiées et corrigées, dont 22 % critiques

Une anecdote illustre parfaitement l’intérêt de cette démarche : une même application avait été testée 18 fois en une seule année par différentes collectivités. La mutualisation a permis une économie considérable de temps et de budget, tout en augmentant la qualité et la rapidité de la remédiation.

Comme le rappelle Marylyne Boubee, RSSI du CD31 et présidente du CSNC :

« L’idée de départ était simple : pourquoi tester vingt fois la même application alors qu’un seul test partagé pourrait bénéficier à toutes les collectivités ? »

Phase 3 : un nouvel élan financé par le CoTer Numérique

En 2025, la dynamique se poursuit. Faute de financement du plan de relance, c’est le CoTer Numérique qui prend le relais en finançant 4 cagnottes de Bug Bounty de 10 000 € TTC chacune.


Les collectivités candidates pour lancer une campagne étaient déjà clientes de Yogosha. Elles ont reçu un financement de 10 000 € chacune, à condition de partager les résultats de leurs campagnes avec le groupe de travail Bug Bounty commun au CoTer et au CSNC. Ce mécanisme garantit que chaque test bénéficie à l’ensemble des membres, dans une logique de mutualisation.

Applications ciblées dans cette phase 3 :

  • Paris Ouest la Defense (POLD) & Ville de Nanterre : Publik d’Entr’ouvert (gestion de la relation usager)
  • Paris Ouest la Defense (POLD) & Ville de Suresnes : ENT ONE d’Edifice (espace numérique dédié à l’école)
  • CD31 : Pégase d’Inetum (gestion des transports scolaires)

À savoir : en 2024, POLD a lancé un projet de Bug Bounty et de pentests mutualisés en choisissant la plateforme Yogosha, mise à disposition de ses 11 collectivités membres.

Les résultats, autrefois diffusés via des fichiers PDF, sont désormais accessibles via deux pages en ligne: une page hébergée sur l’espace communautaire du CoTer et une page hébergée par Yogosha, renforçant la transparence et la collaboration.

Pour Antoine Trillard, président du CoTer Numérique :

« Le CoTer a choisi de financer ces cagnottes pour continuer la dynamique. C’est un investissement collectif qui profite à tous, et qui illustre bien l’esprit de mutualisation qui nous anime. »

Des retombées concrètes pour les collectivités et les éditeurs

Ce projet a non seulement renforcé la sécurité des applications métiers, mais il a également favorisé :

  • Un intérêt croissant des éditeurs (exemple : Arpège ou MGDIS, qui ont choisi de tester d’autres solutions de sa gamme en mode Bug Bounty et pentest).
  • Une prise en compte rapide des correctifs, notamment pour les vulnérabilités critiques.
  • Des rencontres structurantes entre DSI et RSSI, créant un véritable réseau de coopération.

Comme le souligne Christophe Marnat :

« Ce projet prouve que la mutualisation n’est pas qu’un concept. C’est une réalité qui génère de la valeur, de l’efficacité et surtout une sécurité accrue pour tous. »

Et demain ? Standardisation, NIS2 et Bug Bounty pédagogique

L’enjeu des prochaines étapes sera double :

  1. Standardiser les tests : garantir une qualité homogène, malgré la diversité des prestataires, en s’appuyant sur une checklist de sécurité de 110 points basée sur l’OWASP.
  2. Se préparer à NIS2 : répondre aux futures exigences réglementaires en matière de cybersécurité des collectivités.

Enfin, un volet pédagogique vient compléter ces initiatives, avec plusieurs programmes innovants :

  • Hack ton Lycée : Depuis 2024, la Région Île-de-France organise un CTF ouvert à tous les lycéens franciliens. Les 50 meilleurs “cyber champions” sont ensuite sélectionnés pour tester l’Espace Numérique de Travail (ENT) utilisé par tous les lycéens. Les plus actifs reçoivent une attestation officielle signée par la présidente de Région, le recteur d’académie et le président de Yogosha – une reconnaissance valorisée sur ParcoursSup pour leurs futures études.

  • Bug Bounty pédagogique : Depuis 2024, Paris Ouest La Défense, en partenariat avec l’ESILV et Yogosha, permet à des étudiants de s’entraîner à la sécurité offensive en menant gratuitement des campagnes de Bug Bounty sur des applications utilisées par les collectivités.

  • Programme StarHack : Également lancé en 2024 par le Campus Cyber Nouvelle-Aquitaine, en collaboration avec 15 écoles et universités régionales, Marl DS et Yogosha, ce programme forme chaque année 70 cyber champions. Sélectionnés à l’issue d’un CTF, ces étudiants mènent ensuite des Bug Bounty pédagogiques sur des applications utilisées par des collectivités et des PME locales.

Objectif : canaliser les ambitions des jeunes talents, leur offrir un cadre d’apprentissage concret et contribuer à former la relève de la cybersécurité publique.

Vers une cybersécurité collective et durable

Avec déjà plus de 30 applications auditées et une dynamique collaborative unique en France, le projet CSNC – CoTer – Yogosha démontre que la mutualisation des tests de sécurité est un levier puissant pour renforcer la cybersécurité des collectivités.

La phase 3 marque une nouvelle étape, portée cette fois par l’engagement direct des associations. Entre mutualisation, standardisation et ouverture vers la pédagogie, le projet trace la voie d’une cybersécurité collective, pragmatique et tournée vers l’avenir.

Envie d’en savoir plus sur la façon dont Yogosha sécurise les applications des collectivités ?

Contactez-nous

Plus ?

Pentest-as-a-Service pour ISO 27001 Interviews

Comment un éditeur SaaS renforce la sécurité de sa plateforme dans le cadre de sa certification ISO 27001

Mediarithmics, éditeur européen d’une Customer Data Platform (CDP), accompagne des clients tels que TF1, Prisma…
Mélissa Quix
Mélissa Quix09/10/2025

L’Activity Monitoring de Yogosha : plus de zones d’ombre sur vos tests de sécurité 

Êtes-vous absolument certain que vos assets critiques sont suffisamment testés ? Pouvez-vous le prouver ?…
Stéphane Saint-Denis
Stéphane Saint-Denis29/09/2025

Vidéo : Vos agents IA mettent en péril toute votre entreprise

Les agents IA révolutionnent la productivité des organisations, mais ils deviennent aussi une nouvelle porte…
Stéphane Saint-Denis
Stéphane Saint-Denis24/09/2025