Cyber-attaques 101 : ce que les directeurs et les régulateurs du secteur culturel doivent savoir

La résilience numérique dans le secteur culturel repose sur trois piliers : la gestion des cyberrisques, la gestion de l'intelligence artificielle - en particulier l'IA générative - et la souveraineté technologique : la question de savoir dans quelle mesure une organisation souhaite dépendre de matériel et de logiciels américains ou non européens.

Dans une série d'articles, j'examinerai de plus près ces trois sujets. Je commencerai par les cyber-risques.

Les cyber-attaques restent un sujet difficile à appréhender pour de nombreux responsables et superviseurs, en particulier dans le secteur culturel. Les discussions à ce sujet se perdent rapidement dans des termes techniques et un jargon qui ne fournissent que peu d'indications à ceux qui, en fin de compte, sont responsables de la politique et de la supervision.

Il en résulte souvent un manque de clarté sur le fond du problème : ce qu'est exactement une cyberattaque ou un piratage informatique, comment ils fonctionnent et quelles formes ils prennent.

Dans le ‘101’ ci-dessous, j'énumère donc clairement les principaux types de cyberattaques, avec des exemples concrets tirés du secteur culturel (dans le jargon Internet et universitaire, “101” signifie une explication ou une introduction de base à un sujet. Il fait référence à la manière dont les matières sont souvent numérotées dans les universités).

Le secteur culturel est une cible attrayante pour les pirates informatiques‘

Les musées, les festivals, les théâtres, les studios de design, les entreprises de médias et les fonds culturels ont longtemps eu tendance à se considérer comme des cibles improbables des cyberattaques. Ce raisonnement est compréhensible. Ils ne gèrent pas de réseaux électriques, ne traitent pas de flux de paiements mondiaux et ne sont pas des ministères de la défense ou des agences de renseignement. Mais ce vieux classement a depuis lors discrètement disparu. Dans le paysage actuel des menaces, les attaquants ne s'attaquent pas seulement aux endroits où l'on peut gagner le plus d'argent. Ils ciblent également les organisations où la confiance est grande, où les défenses sont inégales, où les systèmes sont fortement interconnectés et où les perturbations peuvent conduire à des décisions hâtives. Et cela décrit remarquablement bien une grande partie du secteur culturel et créatif.

Trois rapports récents (Riedel, Cloudflare et Proton) expliquent clairement pourquoi il en est ainsi et vous pouvez les trouver au bas de l'article.

Des astuces en trois saveurs

Pour les directeurs et les superviseurs, il est utile de diviser ce paysage en trois grandes catégories :

1. Le premier est le piratage éthique ou commercialLe système d'information sur la sécurité (SIS) est une tentative autorisée de tester les systèmes et de trouver les vulnérabilités avant qu'un véritable attaquant ne le fasse.

2. Le second est le piratage à l'échelle de l'ÉtatActivité numérique associée à des objectifs géopolitiques, tels que l'espionnage, le prépositionnement dans des systèmes ou l'exercice d'une influence.

3. Le troisième est le piratage criminelcambriolage à motivation financière visant à l'extorsion, au vol, au sabotage ou à la perturbation.

Les moyens peuvent se chevaucher. Les motifs, eux, ne se recoupent pas. Et c'est précisément cette différence de motivation qui importe pour la gouvernance :

1. Le hack éthique ou commercial

C'est le domaine des tests de pénétration, du ‘red teaming’, des analyses de vulnérabilité et de la simulation d'un adversaire. Dans le meilleur des cas, il s'agit d'un exercice contrôlé d'échec. Il ne s'agit pas d'infliger des dommages, mais de révéler les angles morts avant que quelqu'un de moins bien intentionné ne le fasse. Il peut s'agir d'un serveur obsolète, d'une conception faible de l'identité, d'un stockage en nuage mal configuré ou d'un lien avec un fournisseur qui n'a jamais été entièrement cartographié. Le rapport de RIEDEL met à nouveau en lumière une vieille leçon : les vulnérabilités connues sont souvent encore exploitées longtemps après qu'un correctif ait été disponible. L'hygiène de base, telle que la gestion des correctifs, la surveillance et une réponse structurée aux incidents, fait toujours la différence entre ce qui est gérable et ce qui est catastrophique. Pour un conseil d'administration ou de surveillance dans le secteur culturel, il ne s'agit pas d'un détail technique, mais d'un signal managérial. Le piratage éthique est l'un des rares moyens de remplacer la sécurité supposée par une résilience démontrable. (Un ‘piratage éthique’ très récent chez McKinsey montre ce qu'est la prochaine étape du risque numérique : l'assistant d'IA générative interne Lilli, utilisé par des dizaines de milliers de consultants pour rechercher dans des décennies de rapports, d'analyses et de présentations, s'est avéré vulnérable. La société de sécurité CodeWall a démontré, à l'aide d'un agent d'IA autonome, que de tels systèmes peuvent trouver et exploiter des vulnérabilités de manière indépendante en quelques heures, ce qui permet à l'IA d'accélérer considérablement les étapes classiques d'une cyberattaque. (Comment nous avons piraté la plateforme d'IA de McKinsey )

2. Hacks de l'acteur d'État

Les attaques menées par les États ont depuis longtemps dépassé l'image cinématographique d'un espion dérobant des secrets diplomatiques. Le rapport de Cloudflare décrit un monde où les groupes affiliés à un État sont plus persistants, plus axés sur l'identité et font partie de campagnes stratégiques plus vastes. Par exemple, les acteurs chinois de la menace sont décrits comme des parties cherchant des positions à long terme dans les télécommunications, le gouvernement et les services informatiques, d'une manière qui indique la préparation de perturbations et de moyens de pression futurs, et pas seulement l'espionnage immédiat. La leçon à retenir est que les piratages à l'échelle de l'État sont de plus en plus des opérations de prépositionnement : pénétrer tôt, maintenir une présence discrète et se doter d'options pour plus tard.

À première vue, un musée, une compagnie théâtrale ou une maison d'édition ne semble donc pas une cible logique. Mais les institutions culturelles gèrent bien plus que des œuvres d'art et des programmes de pièces de théâtre. Elles possèdent des listes de donateurs, de la correspondance avec le conseil d'administration, des contrats avec des artistes, des documents non publiés, des fiches de paie, des partenariats internationaux, des communications politiquement sensibles et un capital de réputation. En outre, elles sont souvent ouvertement organisées : très ouvertes sur l'extérieur, elles dépendent de la collaboration et s'appuient sur un patchwork de plateformes externes et de personnel temporaire. Dans un tel environnement, la ligne de démarcation entre l'espionnage, l'influence et la compromission opportuniste devient moins théorique que ce que de nombreux dirigeants aiment à croire. (En mars 2026, l'entreprise américaine de technologie médicale Stryker a été victime d'une cyberattaque majeure qui a perturbé ses systèmes internes dans le monde entier. Selon certains rapports, le logo de Handala, un groupe de pirates informatiques lié par les experts en cybersécurité aux cyberopérations iraniennes, est apparu sur les écrans de connexion des employés. L'incident a entraîné des perturbations du réseau Microsoft de l'entreprise et a restreint l'accès aux systèmes internes pendant la durée de l'enquête

La société américaine d'équipements médicaux Stryker déclare qu'une cyberattaque a perturbé ses réseaux mondiaux

3. Le piratage criminel

La troisième catégorie, le piratage criminel, reste la menace la plus immédiate pour la plupart des organisations. C'est aussi la catégorie la plus large. Cinq formes méritent une attention particulière à cet égard :

• Le premier est le attaque par ransomware. Il fut un temps où les ransomwares consistaient principalement à crypter des fichiers et à demander une rançon pour obtenir la clé. C'est toujours le cas, mais le modèle a changé. De plus en plus, les ransomwares sont devenus un modèle d'extorsion qui repose sur le vol d'accès et de données. Le rapport RIEDEL montre que les ransomwares sont restés l'un des principaux modèles de dommages au cours du second semestre 2025. Cloudflare va plus loin en indiquant que les attaquants modernes travaillent souvent avec des identifiants de connexion valides, ou des services de confiance plutôt qu'avec des techniques d'intrusion bruyantes. De plus en plus, les criminels ne claquent donc plus la porte, mais se connectent simplement. Pour un organisme culturel, cela peut signifier qu'un attaquant, via un compte de messagerie compromis ou une connexion d'administrateur, accède aux archives, aux systèmes financiers, aux bases de données des donateurs ou aux plateformes de billetterie avant que quiconque ne se rende compte que le bâtiment est déjà en feu. (Le cas du musée national de la marine royale montre les dégâts qu'une telle attaque peut causer (Le musée national de la marine royale victime d'une cyberattaque )

• Le deuxième formulaire est le violation de données. Ces informations peuvent provenir d'une boutique en ligne, d'un système de gestion de la relation client, d'un environnement de stockage en nuage, d'un partenaire de billetterie ou d'un mot de passe saisi. En termes culturels, il s'agit de fichiers de membres, d'informations sur les visiteurs, de correspondance avec des mécènes, de fichiers de provenance, de contrats avec des créateurs ou de documentation sur les ressources humaines. Les dommages sont rarement de nature purement technique. Ils se traduisent par des obligations de déclaration, des coûts juridiques, des distractions opérationnelles et une perte de confiance rampante. Le rapport de Proton met en évidence l'aspect commercial de la confiance : 66 % des organisations déclarent que la démonstration du traitement sécurisé des données des clients est très importante, voire essentielle, pour obtenir de nouveaux contrats ou de nouveaux clients. Dans les secteurs qui tournent autour de la réputation et des relations, cela fait rapidement d'une violation de données un événement stratégique plutôt qu'un incident informatique. (Le cas du Metropolitan Opera le montre : Lacunes en matière de sécurité dans les institutions culturelles )

• Le troisième est le menace de sabotage de l'intérieur. Les conseils d'administration considèrent encore souvent que le risque cybernétique vient de l'extérieur. Mais une discipline d'accès insuffisante, des autorisations trop larges et un partage informel des comptes créent des risques à l'intérieur de l'entreprise. Proton constate que même les organisations dotées de gestionnaires de mots de passe continuent de partager des informations de connexion par le biais d'e-mails, de documents, d'applications de messagerie et d'autres canaux non sécurisés, tandis qu'un contrôle d'accès médiocre rend plus difficile le suivi des comportements suspects ou la révocation de l'accès de manière nette. Dans le secteur culturel, où les indépendants, les conservateurs, les techniciens, les producteurs et les partenaires de collaboration temporaire passent constamment d'un système à l'autre et d'un projet à l'autre, il ne s'agit pas d'un problème marginal. Elle est souvent ancrée dans les pratiques de travail quotidiennes. (Le cas du British Museum : Un employé du British Museum licencié est arrêté après avoir ‘mis hors service’ les systèmes informatiques du musée )

• La quatrième forme est défaillance du système ou corruption des données. Toutes les crises numériques ne commencent pas par un adversaire. Les systèmes tombent en panne. Les données sont corrompues. Les dépendances se brisent. Les mauvaises configurations provoquent des défaillances qui, vues de l'extérieur, peuvent ressembler à s'y méprendre à un piratage. Cela est important car les institutions dépendent de plus en plus de la continuité numérique pour leurs activités principales : billetterie, enregistrement des collections, paie, communication, collecte de fonds et programmation des publics. Une perturbation dans un système lié peut rapidement nuire à la réputation et entraîner des problèmes opérationnels dans d'autres domaines. La leçon à tirer pour les administrateurs est que la résilience ne consiste pas seulement à arrêter les attaquants, mais aussi à être capable de se rétablir rapidement lorsque la technologie s'effondre sous son propre poids. (Le cas de Crowdstrike : 2024 Pannes informatiques liées à CrowdStrike )

• La cinquième forme est la Attaque DDoS: une attaque par déni de service distribué qui surcharge les services en ligne jusqu'à ce qu'ils deviennent inaccessibles. L'objectif n'est pas nécessairement le vol, mais la paralysie. Cloudflare décrit un environnement de menace dans lequel les attaques DDoS hyper-volumétriques peuvent paralyser l'infrastructure à des taux exceptionnellement élevés. Pour les institutions culturelles, cela est particulièrement important aux moments de visibilité maximale : le début de la vente de billets, un week-end d'ouverture, une première numérique, une campagne de recrutement de membres, une campagne de collecte de fonds ou un moment de publication politiquement sensible. Si l'accessibilité fait partie de la mission publique, alors une attaque DDoS n'est pas une déviation technique mais une attaque contre le visage public de l'institution. (Le cas de Live Nation et Taylor Swift : Live Nation Entertainment a accusé des bots d'être à l'origine du fiasco des billets de Taylor Swift. S'agit-il d'une explication légitime ou d'une simple excuse ? )

Et puis il y a l'IA

L'IA, quant à elle, traverse ces trois catégories comme un courant électrique. Le cœur de l'histoire de Cloudflare (voir les rapports) est que l'IA abaisse le seuil, augmente la vitesse et aide les attaquants à exploiter précisément les couches de connexion des organisations modernes : les environnements en nuage, les intégrations SaaS et les structures d'identité. Le résultat n'est pas simplement “plus de piratages”, mais des attaques plus rapides, plus évolutives et davantage automatisées.

Proton ajoute l'aspect organisationnel. La plupart des entreprises utilisent désormais des services en nuage, beaucoup déploient des outils d'IA, mais la confiance dans la manière dont les fournisseurs traitent les données de l'entreprise reste limitée. Seules 14 % des organisations interrogées dans le cadre de l'enquête déclarent avoir pleinement confiance dans la capacité des fournisseurs de services en nuage à protéger leurs données contre les violations, alors que 69 % d'entre elles utilisent déjà des outils d'intelligence artificielle. Chaque nouvelle application peut améliorer le flux de travail, mais aussi augmenter la surface d'attaque. À cet égard, le piratage de McKinsey montre l‘’état de l'art", un agent d'IA qui fait tout. Dans un avenir proche, on s'attend à ce que 80 à 90 % des piratages soient effectués par des agents d'IA.

C'est précisément la leçon que les directeurs et les régulateurs du secteur culturel et créatif doivent maintenant assimiler. La gestion des cyberrisques n'est plus un sous-sujet technique pour le responsable informatique ni un paragraphe annuel de l'auditeur. Il s'agit d'une question de gouvernance concernant la continuité, la confiance, la gestion des accès, la dépendance à l'égard des tiers, la gestion prudente des données et le jugement managérial. La bonne réponse n'est pas le mélodrame, mais la discipline : tester les systèmes de manière éthique, renforcer l'identité et l'accès, traiter l'adoption du cloud et de l'IA comme des décisions de sécurité, et supposer que le prochain incident est plus susceptible d'entrer par les tissus de connexion de l'organisation que par sa porte d'entrée visible. Dans un secteur qui prospère sur la confiance du public, la cyber-résilience a depuis longtemps cessé d'être une hygiène de back-office. Elle fait désormais partie de l'infrastructure culturelle elle-même.

Rapports

1. Le Rapport OOPS H2-2025 de RIEDEL Networks est une vue d'ensemble des cyberincidents signalés publiquement en Allemagne au cours du second semestre 2025. Le rapport identifie les schémas d'attaque récurrents, les dommages probables et les leçons à tirer sur le plan organisationnel. Le résultat est clair : les cybercriminels dominent toujours le tableau des incidents et le vol de données et les ransomwares représentent ensemble environ deux tiers des types d'attaques observés. Les événements et les médias figurent également sur la carte du secteur, rappelant que la culture a depuis longtemps disparu du tableau.

2. Le Rapport sur les menaces Cloudflare 2026, publié cette année en tant que premier rapport mondial sur les menaces, est basé sur les données télémétriques d'un réseau qui, selon la société, protège environ 20 % du web. Le message principal est clair : La cybermenace s'industrialise, L'identité est devenue la cible principale et l'IA, ainsi que la complexité croissante des environnements SaaS, donnent aux attaquants un avantage sur la vitesse des machines.

3. Le Rapport Proton sur la cybersécurité des PME 2026 enfin, une récente enquête menée fin 2025 auprès de 3 000 fondateurs, directeurs et responsables informatiques dans six marchés, sur l'adoption du cloud, l'erreur humaine, l'utilisation de l'IA et la confiance des clients. Le message qui en découle est également pertinent pour les institutions culturelles : l'investissement dans les outils n'a pas éliminé la vulnérabilité, tandis que la sécurité numérique est de plus en plus un signal de confiance commercial en soi.

J'apprécie cet article !