Le vol de bijoux au Louvre et celui du casque d'or de Coțofenești au musée Drents d'Assen ont suscité beaucoup d'attention de la part du public. Ces vols classiques dans les musées évoquent invariablement l'image de La panthère rose ou d'Ocean's Eleven : un monde romantique de maîtres voleurs qui parviennent à dévaliser un musée ou une entreprise avec flair et dextérité.
Les cyber-attaques et les vols numériques ne connaissent pas ce monde romantique et reçoivent donc beaucoup moins d'attention de la part des médias. Cela n'est pas justifié. C'est justement en continuant à les traiter comme des ‘incidents’ isolés cadre, Le fait que le secteur des musées soit confronté à un risque structurel et en pleine expansion, masque le fait qu'il s'agit d'un risque structurel et en pleine expansion pour le secteur des musées.
Lorsque les Staatliche Kunstsammlungen de Dresde ont connu ce mois-ci une panne de leur billetterie en ligne, de leurs systèmes d'achat et de leur téléphonie à la suite d'une cyberattaque ciblée, les dégâts ont été apparemment limités. Les musées sont restés ouverts, les œuvres d'art sont en sécurité, a indiqué le ministère de la culture de Saxe. Mais derrière ces paroles rassurantes se cachait une réalité inconfortable : l'un des réseaux de musées les plus anciens et les plus prestigieux d'Europe s'est avéré numériquement vulnérable dans les lieux mêmes où convergent le public, les recettes et les activités quotidiennes.
L'incident de Dresde n'est pas isolé. Quelques semaines plus tôt, aux Pays-Bas, le Veenkoloniaal Museum de Veendam a été touché par un ransomware du groupe LockBit. Les systèmes ont été cryptés, les données saisies et le musée a dû faire face à des problèmes de sécurité. déviationLe directeur Hendrik Hachmer a répondu de manière remarquablement ouverte. Le directeur Hendrik Hachmer a répondu de manière remarquablement ouverte.
„Nous n'allons pas négocier avec ce groupe”, a-t-il déclaré. „Cela peut arriver à n'importe qui. La seule partie qui devrait se sentir coupable, ce sont les pirates”.”
Cette déclaration est sympathique, mais aussi problématique. En effet, l'idée même que les cyberincidents peuvent ‘arriver à tout le monde’ a un effet paralysant. Elle suggère l'inévitabilité, alors que la plupart des dommages sont dus à la sous-estimation, à la mauvaise préparation et à l'absence de responsabilité explicite de la part des dirigeants.
Le dos numérique du musée
Les musées se sont numérisés à la vitesse de l'éclair au cours des 10 à 15 dernières années. Billetterie en ligne, bases de données des collections, dépôts numériques, plateformes éducatives, boutiques en ligne, systèmes de gestion de la relation client pour les membres et les donateurs - souvent liés à des fournisseurs externes. Cette couche numérique est désormais aussi essentielle que le bâtiment, le dépôt ou la sécurité des salles.
Pourtant, dans de nombreux musées, la cybersécurité est encore considérée comme un détail technique, confié à un petit service informatique ou à un fournisseur externe. Les conseils d'administration et de surveillance parlent longuement de l'audience, de l'inclusion et de la durabilité, mais rarement de la résilience numérique. Un ancien rapport du DEN datant de 2023 constatait déjà que les musées numérisaient mais n'investissaient guère dans la gestion structurelle des cyberrisques. Cette conclusion n'a guère été rattrapée depuis.
Cette image a été confirmée par plus de 50 entretiens que j'ai menés avec des directeurs de musées et des responsables de la réglementation des musées en Europe en 2025. Presque tous ont reconnu que les cyber-risques augmentent. Seuls quelques-uns ont pu expliquer comment ces risques sont investis dans la gouvernance, calculés financièrement ou discutés périodiquement au niveau du conseil d'administration. La cybersécurité fait rarement partie du registre des risques, et encore moins de la planification des scénarios.
Ce que coûte réellement un cyberincident
L'une des idées fausses les plus tenaces est que les cyberincidents sont principalement un problème informatique. En réalité, ils affectent l'ensemble du fonctionnement d'un musée. L'analyse d'incidents récents dans le secteur culturel montre à quel point l'impact est large et multiple : financier, organisationnel et managérial.
Le Museum Cyber Incident Cost Calculator, développé sur la base d'incidents réels survenus dans des institutions culturelles, montre l'étendue de l'impact. Les coûts informatiques directs - serveurs, logiciels, récupération - restent souvent les plus visibles. Mais à cela s'ajoutent la perte de chiffre d'affaires due à la perte de ventes de billets et de boutiques en ligne, les frais de personnel supplémentaires, le déploiement d'experts judiciaires externes, les obligations légales concernant les notifications AVG, la communication intensive avec le public et les parties prenantes, l'atteinte à la réputation et les investissements inévitables en matière de sécurité supplémentaire après l'incident. Dans les cas les plus graves, ces coûts s'élèvent à 25, 50, voire plus de 100 % des opérations annuelles.
Ce faisant, tous les cyberincidents ne se ressemblent pas. Les ransomwares font partie des scénarios les plus perturbateurs : les systèmes sont pris en otage, les données sont inaccessibles et le rétablissement nécessite souvent une reconstruction complète de l'infrastructure numérique. Les violations de données ont un profil de coût différent, avec de longues procédures juridiques, des obligations de déclaration et un risque de réputation durable.
Moins visibles, mais non moins dommageables, sont les corruptions de systèmes et les pannes de services numériques, lorsque les musées se rabattent sur des processus manuels pendant des semaines ou des mois. Il est frappant de constater à quel point le temps de récupération est structurellement sous-estimé : alors que l'on pensait auparavant qu'il s'agissait de jours ou de semaines, dans la pratique, la récupération s'avère souvent être une question de mois et, souvent, les fichiers sont perdus ou endommagés à tout jamais.
La British Library et le National Museum of the Royal Navy, avec leurs cyberincidents, sont aujourd'hui la bête noire du secteur : des coûts de récupération de plusieurs millions de dollars, des mois d'interruption et la nécessité de reconstruire entièrement l'infrastructure informatique. Mais ces mêmes exemples sont souvent rejetés comme étant ‘trop grands’ ou ‘trop exceptionnels’ - comme si les musées de taille moyenne ou plus petite étaient irréprochables.
Le contraire est vrai. Les petites institutions sont particulièrement vulnérables : budgets informatiques limités, nombreux bénévoles, systèmes obsolètes et forte dépendance à l'égard des fournisseurs externes. Le Veenkoloniaal Museum a mis un peu plus d'une semaine à se remettre de l'attaque du ransomware, non pas parce que les dégâts étaient mineurs, mais parce que des sauvegardes avaient été faites à l'extérieur du bâtiment en décembre. Les sauvegardes internes avaient également été piratées.
Si le musée a pu continuer à fonctionner, c'est parce qu'il travaillait encore avec des copies papier d'informations cruciales. Cela illustre à quel point la ligne de démarcation entre résilience et perturbation est mince - et à quel point la continuité repose souvent sur la coïncidence plutôt que sur une gestion réfléchie des risques. Le site web des Staatliche Kunstsammlungen de Dresde est toujours hors ligne à l'heure où nous écrivons ces lignes.
La transparence comme test décisif
Il est frappant de constater à quel point les musées communiquent différemment après un cyberincident. À Dresde, on a insisté sur le fait que les collections étaient en sécurité et que la sécurité physique restait intacte. C'est compréhensible, mais cela masque le fait que les perturbations numériques ont désormais des conséquences directes sur l'accessibilité, les recettes et le service public.
Le musée Veenkoloniaal a choisi de parler ouvertement de l'attaque, de l'origine des pirates et de la nature des données saisies. C'est une démarche louable - et en même temps conflictuelle. La transparence s'avère être une épreuve de vérité : ceux qui n'ont pas réfléchi à des scénarios à l'avance, ceux qui n'ont pas de plan de communication de crise, se retrouvent rapidement pris entre la prudence juridique et la responsabilité publique après un incident.
Les musées en particulier, en tant qu'institutions publiques investies d'une mission sociale, ne peuvent se permettre un tel flou. La confiance est leur capital le plus important - et cette confiance est aussi vulnérable numériquement que physiquement.
Responsabilité administrative
Les cyber-risques ne sont plus un phénomène périphérique. Ils touchent au cœur de la mission des musées : l'accès au patrimoine, l'entretien des collections, la fiabilité vis-à-vis du public et des financeurs. La cybersécurité est donc indéniablement une question de gouvernance.
La question n'est donc pas de savoir si un musée sera un jour attaqué, mais dans quelle mesure il est préparé. Sait-on clairement qui décide en cas d'incident ? Sait-on ce qu'un mois d'indisponibilité numérique signifie financièrement ? Ce qui est assurable est-il assuré - et les gens sont-ils conscients de ce qui n'est pas couvert ?
Il est surprenant de constater le peu d'attention accordée à cette question au niveau structurel dans le secteur. La résilience numérique devrait naturellement faire partie de la bonne gouvernance, surtout à l'heure où la numérisation est présentée comme un moteur de portée et de pertinence.
De l'angle mort à la condition de base
La cybersécurité n'est ni un luxe ni un projet de peur. Il s'agit d'une exigence fondamentale de continuité. Tout comme la sécurité incendie, la gestion des dépôts et le contrôle financier ont été professionnalisés, la gestion des cyberrisques devra également être fermement ancrée dans la politique, la supervision et la responsabilité.
Les récents ‘incidents’ de Dresde et de Veendam ne sont plus des incidents, mais des signaux. Ceux qui continuent à y voir de la malchance ou des coïncidences passent à côté du message structurel. Les musées ne sont pas des cibles faciles parce qu'ils sont naïfs, mais parce qu'ils se laissent faire.
La vraie question n'est pas de savoir si les musées sont numériquement vulnérables - ils le sont. La question est de savoir combien de temps les administrateurs et les superviseurs peuvent se permettre de ne pas y faire face explicitement.
Nederlands 
English (UK) 
Français 