Il y a de fortes chances que vous le trouviez nouvelles sur le piratage a vu l'entreprise de télécommunications Odido et s'est dit : aux grandes entreprises, les grands problèmes. Ce serait une erreur. Pour les musées, les théâtres et les autres institutions culturelles en particulier, ce vol de données contient une leçon désagréable. Les PME (dont fait partie la majeure partie du secteur culturel) sont particulièrement vulnérables.
Je sais maintenant que mes propres données se trouvent dans l'ensemble de données capturées. Grâce à l'outil page de contrôle de la police a révélé que mon adresse électronique figurait dans les fichiers capturés par les attaquants. Cela signifie que mes données personnelles se trouvent probablement aussi dans cet ensemble de données. La conséquence est simple : dans les temps à venir - peut-être même dans les années à venir - je devrai faire preuve d'une vigilance accrue à l'égard des courriels d'hameçonnage, des faux appels téléphoniques et d'autres formes d'escroquerie numérique. Ce n'est pas une perspective agréable. Mais surtout, cela en dit long sur la valeur des données entre les mains des cybercriminels.
La puissance des données combinées
L'ensemble des données volées contient des combinaisons de données personnelles particulièrement utiles aux cybercriminels. Noms, adresses, numéros de téléphone, numéros de comptes bancaires et éventuellement des informations sur l'identité. Prises isolément, ces données peuvent sembler anodines. Pourtant, lorsqu'elles sont combinées, elles forment un profil complet. Avec de tels profils, les criminels peuvent commettre des fraudes très convaincantes. Un courriel semblant provenir d'une banque, un appel téléphonique d'une personne se faisant passer pour un employé d'un fournisseur de télécommunications, ou une demande de confirmation d'un compte qui vise en fait à obtenir l'accès à d'autres systèmes.
Ce type de fraude ciblée - souvent appelée ingénierie sociale - est en augmentation depuis des années. Avec l'aide de l'IA, cette approche peut devenir encore plus crédible. Aujourd'hui, il est facile de générer un courriel de phishing bien rédigé. La différence réside dans la qualité des données sous-jacentes. Et c'est précisément là que réside la première leçon pour le secteur culturel.
L'attaque n'est pas passée par le réseau
Ce qui rend l'affaire Odido si intéressante, ce n'est pas seulement l'ampleur des données saisies, mais surtout la manière dont elles ont été obtenues. L'image classique du pirate informatique se frayant un chemin à travers les murs numériques et les pare-feu n'est plus vraie depuis un certain temps. Pendant longtemps, la cybersécurité s'est articulée autour d'une question centrale : comment empêcher les intrus d'entrer ? Cette question est désormais dépassée.
En effet, le vol de données à Odido n'a pas impliqué une attaque sur le réseau de télécommunications lui-même. Selon les premières analyses, l'accès a été obtenu par le biais d'un système de service à la clientèle : un environnement de gestion de la relation client (CRM) dans lequel les attaquants ont capturé les identifiants de connexion des employés par hameçonnage. Avec ces données, ils ont pu facilement se connecter, puis copier et diffuser de grandes quantités de données sur les clients.
Ce détail est crucial. Les organisations investissent souvent des sommes considérables dans la protection de leurs systèmes centraux. Les entreprises de télécommunications sécurisent leur réseau, les banques leur infrastructure de paiement. Mais les plus grandes vulnérabilités se trouvent souvent ailleurs dans la chaîne numérique (SaaS) : dans les systèmes de gestion de la relation client, les outils de marketing, les plateformes de billetterie et autres environnements en nuage où convergent les données des clients. Ce sont précisément ces systèmes qui sont largement utilisés dans le secteur culturel.
En réalité, les attaquants les plus efficaces n'ont pas besoin d'entrer par effraction. Il leur suffit de se connecter. Dans ce type d'incidents, il s'agit rarement d'une fuite technique dans un logiciel, mais d'une identité volée : un mot de passe capturé par hameçonnage ou mis en vente quelque part sur le darkweb. Ainsi, au lieu d'entrer par effraction, il s'agit de se faufiler - ou plus simplement encore, d'entrer par la porte d'entrée avec des données de connexion valides. L'identité est donc devenue la nouvelle cible principale. Les murs et les serrures numériques traditionnels étant de plus en plus performants, les attaquants se concentrent sur les clés elles-mêmes.
À cela s'ajoute une autre évolution au moins aussi préoccupante pour les équipes de sécurité : la rapidité des attaques modernes. Aujourd'hui, de nombreuses attaques numériques prennent moins de 10 minutes, ce qui est trop rapide pour une intervention humaine. La détection et la réponse qui reposent sur une surveillance manuelle ne peuvent tout simplement plus suivre ce rythme.
Le corollaire est que les organisations doivent fondamentalement repenser leurs défenses. La cybersécurité ne peut plus être exclusivement réactive. Dans un monde où les attaques se produisent en quelques minutes, les organisations doivent passer à une posture de défense proactive et largement automatisée. Ce n'est qu'à cette condition qu'il sera encore possible d'arrêter les attaques avant qu'elles ne fassent des dégâts.
L'infrastructure numérique du secteur culturel
Chaque institution culturelle dispose aujourd'hui d'une base de données de visiteurs, d'un système de lettres d'information, d'une base de données de donateurs et d'une plateforme de billetterie. Ces systèmes sont parfois intégrés, mais ils sont souvent dispersés sur plusieurs plateformes interconnectées. En outre, beaucoup de ces systèmes fonctionnent comme des solutions SaaS avec des fournisseurs tiers. Cela rend la gestion plus complexe. Les données circulent entre les systèmes, les utilisateurs ont des droits d'accès différents et les mises à jour ou les paramètres de sécurité échappent en partie au contrôle direct de l'organisation elle-même.
De plus, le secteur est en pleine transformation numérique. Les données d'audience sont devenues essentielles pour le marketing, la collecte de fonds et l'analyse de l'audience. Ces données sont donc précieuses, mais aussi risquées.
Le problème de la gouvernance
Sous cette complexité technique se cache un problème de gouvernance reconnaissable dans de nombreuses organisations. Les données appartiennent à tout le monde et, en même temps, à personne. Le département informatique gère le système. Le marketing utilise les données pour les campagnes. Le service clientèle complète les profils. Le service de conformité rédige des règles sur la confidentialité et la sécurité. Mais qui est en fin de compte responsable du risque que représentent ces données ? Dans de nombreuses organisations, cette question est étonnamment peu claire.
Cela ne devient généralement apparent que lorsqu'un incident se produit. Il s'avère alors que personne n'avait une vue d'ensemble de l'endroit où les données étaient stockées, des personnes qui y avaient accès et de la manière exacte dont elles étaient protégées. Pour les institutions culturelles, la leçon la plus importante du piratage d'Odido est peut-être la suivante : la cybersécurité ne commence pas avec la technologie, mais avec la gouvernance.
Les conseils d'administration, les directeurs et les conseils de surveillance doivent prendre conscience que les données qu'ils collectent - informations sur les visiteurs, dossiers des membres et fichiers des donateurs - ne sont pas seulement un atout commercial précieux, mais aussi une vulnérabilité potentielle.
La réalité de l'assurance
Un autre aspect souvent sous-exposé dans le secteur culturel est la cyber-assurance. Les organisations sont assurées contre de nombreux risques : incendie, responsabilité civile, dommages aux bâtiments ou aux collections. Cependant, les cyber-risques sont encore rarement couverts de manière structurelle ; une étude menée par la DEN montre que moins de 20% des institutions culturelles disposent d'une cyber-assurance.
Il y a plusieurs raisons à cela. Parfois, il s'agit simplement d'un manque d'intérêt. Mais un problème plus important est que les assureurs portent un regard de plus en plus critique sur la qualité de la gestion des cyber-risques. On estime qu'une grande partie des demandes d'assurance cybernétique sont rejetées parce que les organisations ne maîtrisent pas suffisamment leurs risques numériques. Les institutions sont donc particulièrement vulnérables. En effet, les cyber-assurances ne couvrent pas seulement les pertes financières. Souvent, elle fournit également un soutien direct en cas d'incident : enquêtes médico-légales, communication avec les victimes et restauration des systèmes. Ce soutien peut s'avérer crucial lorsqu'une organisation est soudainement confrontée à une violation de données ou à une attaque par ransomware.
Comment les assureurs considèrent-ils un piratage ?
Pour les assureurs, un sinistre comme celui d'Odido est évalué selon plusieurs axes.
- La première question qui se pose est celle de l'ampleur des données saisies. Lorsque des données personnelles, des numéros de compte bancaire et des données d'identité d'un grand nombre de clients ont été volés, les coûts peuvent s'accumuler rapidement. Pensez aux enquêtes médico-légales, aux procédures judiciaires, à l'indemnisation des clients et à l'atteinte à la réputation.
- La deuxième question concerne la cause. S'agit-il d'une attaque sophistiquée ou de lacunes en matière de sécurité ? Une gestion inadéquate des accès, une mauvaise surveillance ou l'absence de suivi des alertes de sécurité peuvent déterminer si les dommages sont couverts par une police d'assurance.
- Enfin, les assureurs - ainsi que les régulateurs - s'intéressent de plus en plus à la gouvernance. Comment la gestion des données a-t-elle été organisée et qui a assumé la responsabilité de la protection des données ?
Ce dernier point devient de plus en plus important. Des autorités telles que l'Autorité des données personnelles peuvent imposer des amendes substantielles en cas d'infraction grave.
Les longues séquelles d'une violation de données
À cela s'ajoute un autre élément. Entre-temps, des rapports indiquent que des plaintes en masse sont préparées à l'encontre d'Odido. Si cela se produit, les conséquences juridiques et financières de ce piratage pourraient durer des années.
Pour les consommateurs, cela signifie avant tout qu'ils doivent rester vigilants. Les données volées disparaissent rarement de l'internet. Lorsque les organisations ne paient pas de rançon - ce que la police conseille à juste titre - les données continuent souvent de circuler sur les places de marché criminelles.
Mais pour les organisations culturelles, la leçon la plus importante est ailleurs.
La réalité des institutions culturelles
L'affaire Odido montre que même une entreprise de télécommunications comptant des centaines de spécialistes en informatique n'est pas à l'abri des violations de données. Si une telle organisation peut s'avérer vulnérable, il est sage pour les institutions plus petites de se demander si elles sont bien préparées.
Le Attaque par ransomware contre le Veenkoloniaal Museum en est un exemple. Au cours du processus, les noms et adresses, les adresses électroniques, les numéros de téléphone et les numéros IBAN des créanciers, des débiteurs et des donateurs ont également été divulgués. Les attaquants ont finalement publié ces données sur le dark web. La différence avec Odido réside principalement dans son ampleur et sa complexité. Pour les cybercriminels, il est souvent beaucoup plus facile de pénétrer dans une petite institution, surtout avec l'avènement des technologies basées sur l'IA. Après tout, de nombreux musées et organisations culturelles ne disposent pas de leur propre équipe de cybersécurité. (Et ils n'ont pas non plus d'assurance cybernétique qui leur permettrait de faire face immédiatement à une attaque).
De l'incident à la responsabilité
La réaction à la cybercriminalité est similaire. Les gens parlent d'un “incident” ou d'une “violation de données”, comme s'il s'agissait d'un dommage causé par une tempête qui n'a pas pu être évité. Ce faisant, le problème passe inaperçu pour les victimes. Il est conseillé aux citoyens d'être vigilants, de changer leurs mots de passe et de signaler les messages suspects. Mais les organisations ont leur propre responsabilité. La gestion des cyberrisques n'est plus un luxe. Elle fait partie de la bonne gouvernance.
Pour les institutions culturelles, cela signifie que la cybersécurité n'est plus seulement une question technique, mais une question stratégique. Il s'agit de la gestion des données, de la gouvernance, des responsabilités et de la sensibilisation aux risques.
Le piratage d'Odido montre surtout que les vulnérabilités numériques ne sont plus l'exception. Même les organisations dotées de budgets informatiques considérables peuvent être touchées. Pour le secteur culturel, la conclusion est donc simple mais inconfortable : attendre que les choses tournent mal n'est pas une stratégie. Les cyberrisques doivent être gérés activement - avant qu'un incident ne contraigne l'organisation à le faire.
Pour ceux qui veulent aller plus loin, voici deux rapports récents sur la cybersécurité :
Nederlands 
English (UK) 
Français 