Par Etienne Delouvrier, COO d’Avanoo
Un chiffre passé presque inaperçu
Le chiffre a circulé en avril dernier sans provoquer le séisme qu’il méritait. Dans une enquête menée auprès de 2 000 agents publics issus de neuf administrations, plus d’un sur deux déclare utiliser ChatGPT ou un équivalent dans l’exercice de ses fonctions. Sans cadre. Sans supervision. Sans cadre déontologique formalisé. Et, dans 80 % des cas, avec l’envie d’en faire davantage. Ce n’est pas un dérapage. C’est un mouvement de fond.
Une fonction publique qui invente ses propres usages
Ce que cette statistique raconte, vu du terrain, n’a rien d’une faute professionnelle collective. Les agents qui collent une note de synthèse confidentielle dans ChatGPT pour la reformuler en langage clair, ceux qui font traduire un courrier d’usager en arabe ou en ukrainien, ceux qui demandent à une IA générative de leur produire une trame de délibération à partir d’un brouillon manuscrit : tous font, à leur échelle, ce que les Français attendent légitimement des collectivités (plus vite, mieux, avec moins). Ils inventent, seuls, les usages que la doctrine institutionnelle n’a pas encore eu le temps d’écrire.
Le problème n’est donc pas l’enthousiasme. Il est dans l’asymétrie entre cet enthousiasme et la réalité de l’exposition cyber des collectivités.
Une exposition cyber qui ne cesse de croître
Les chiffres de l’ANSSI sont, sur ce point, sans équivoque. Dans son Panorama de la cybermenace 2025 publié en mars dernier, l’agence indique que les ministères et collectivités territoriales concentrent 24 % des incidents traités, soit le deuxième secteur le plus visé en France. La même année, 144 communes françaises ont été frappées par une cyberattaque, dont 25 par un ransomware confirmé. Et le 1er janvier 2025, une attaque DDoS coordonnée par le groupe pro-russe NoName057(16) rendait inaccessibles les sites de plus de vingt grandes villes, parmi lesquelles Marseille, Bordeaux, Nantes et Nice.
Les coûts, eux, sont bien réels et bien documentés : 1 million d’euros pour Lille, 230 000 euros pour Mitry-Mory, 58 000 euros et deux ETP mobilisés pendant un trimestre pour Villers-Saint-Paul (qui n’est pourtant pas une métropole). En avril 2024, la ville de Gravelines a vu l’intégralité de ses services rendus indisponibles, de la médiathèque aux aides sociales en passant par la paie. Ce ne sont pas des cas extrêmes. Ce sont des cas ordinaires.
Le Shadow AI, nouvelle couche de risque
Sur ce paysage déjà tendu vient se greffer le Shadow AI. C’est-à-dire l’usage d’outils d’intelligence artificielle générative (presque toujours américains, presque toujours grand public) hors de tout cadre de gouvernance de la donnée. Concrètement : des fichiers RH, des comptes rendus de conseils municipaux, des projets d’arrêtés, des données d’usagers, qui transitent par des serveurs hors UE, parfois réutilisés pour entraîner des modèles dont personne, dans la collectivité, ne maîtrise la chaîne de valeur.
Une situation qui n’est pas la faute des collectivités
Soyons clairs : la responsabilité de cette situation n’est pas celle des collectivités. Elle est structurelle.
Une commune de 8 000 habitants dispose en moyenne d’un DSI à temps partagé, parfois d’aucun. Une intercommunalité a souvent un RSSI mutualisé pour vingt entités. Le CNFPT cartographie tout juste les besoins en formation. Les directions générales sont sommées de faire mieux avec moins, dans un calendrier budgétaire contraint, sous le regard d’élus eux-mêmes peu armés pour arbitrer entre Mistral, Claude, ChatGPT ou Gemini. Et pendant ce temps, l’État déploie un assistant souverain basé sur Mistral pour 10 000 agents ministériels (mais l’accès n’est pas encore ouvert aux territoires). Soixante-dix collectivités négocient leur entrée. Les autres attendent. Et, en attendant, font ce qu’elles peuvent : elles ouvrent un onglet ChatGPT.
Une bonne nouvelle, pourtant
Il y a une bonne nouvelle dans tout cela, et c’est celle qu’il faut, je crois, mettre en avant.
D’abord, les collectivités ne sont pas naïves. Vingt-quatre d’entre elles ont déjà engagé des concertations internes ou citoyennes sur l’IA, selon l’association des Interconnectés. Des régions pionnières (Hauts-de-France, Bretagne, Occitanie) structurent une architecture locale de cybersécurité que la Cour des comptes salue. Le débat est ouvert, parfois maladroit, mais il est ouvert.
Une réponse technologique française est en train d’émerger
Ensuite, et c’est un point trop peu souligné : la réponse technologique au Shadow AI ne viendra pas nécessairement des géants américains qui sont à la racine du problème. Un écosystème français et européen émerge, qui propose précisément ce que les collectivités cherchent : la capacité de voir, de comprendre et d’encadrer l’usage des IA génératives par les agents, sans bloquer l’élan ni reconstruire un SI à dix millions d’euros. Cette offre souveraine est plus simple à déployer qu’un grand programme de transformation, parce qu’elle s’inscrit dans la réalité du terrain (le poste de travail, le navigateur, l’agent qui clique). Elle permet de cartographier les usages réels, d’orienter vers des outils conformes, de protéger les données sensibles à la source. Sans interdire. Sans punir. En accompagnant.
C’est, au fond, ce que demandent les collectivités. Pas un discours de plus sur les risques. Pas une énième circulaire. Un outil qui marche, qui parle leur langue, qui respecte leur souveraineté (et qui ne soit pas, lui-même, américain).
Un symptôme d’avance, pas de retard
Le Shadow AI n’est pas le symptôme d’une fonction publique territoriale dépassée. Il est le symptôme d’une fonction publique territoriale en avance sur sa propre gouvernance. À nous, acteurs français de la cybersécurité, de combler l’écart. Vite.
Sources:
https://cyber.gouv.fr/actualites/panorama-de-la-cybermenace-2025/
