La r\u00e9silience num\u00e9rique dans le secteur culturel repose sur trois piliers : la gestion des cyberrisques, la gestion de l'intelligence artificielle - en particulier l'IA g\u00e9n\u00e9rative - et la souverainet\u00e9 technologique : la question de savoir dans quelle mesure une organisation souhaite d\u00e9pendre de mat\u00e9riel et de logiciels am\u00e9ricains ou non europ\u00e9ens.<\/p>\n\n\n\n
Dans une s\u00e9rie d'articles, j'examinerai de plus pr\u00e8s ces trois sujets. Je commencerai par les cyber-risques.<\/p>\n\n\n\n
Les cyber-attaques restent un sujet difficile \u00e0 appr\u00e9hender pour de nombreux responsables et superviseurs, en particulier dans le secteur culturel. Les discussions \u00e0 ce sujet se perdent rapidement dans des termes techniques et un jargon qui ne fournissent que peu d'indications \u00e0 ceux qui, en fin de compte, sont responsables de la politique et de la supervision.<\/p>\n\n\n\n
Il en r\u00e9sulte souvent un manque de clart\u00e9 sur le fond du probl\u00e8me : ce qu'est exactement une cyberattaque ou un piratage informatique, comment ils fonctionnent et quelles formes ils prennent.<\/p>\n\n\n\n
Dans le \u2018101\u2019 ci-dessous, j'\u00e9num\u00e8re donc clairement les principaux types de cyberattaques, avec des exemples concrets tir\u00e9s du secteur culturel (dans le jargon Internet et universitaire, \u201c101\u201d signifie une explication ou une introduction de base \u00e0 un sujet. Il fait r\u00e9f\u00e9rence \u00e0 la mani\u00e8re dont les mati\u00e8res sont souvent num\u00e9rot\u00e9es dans les universit\u00e9s).<\/p>\n\n\n\n
Les mus\u00e9es, les festivals, les th\u00e9\u00e2tres, les studios de design, les entreprises de m\u00e9dias et les fonds culturels ont longtemps eu tendance \u00e0 se consid\u00e9rer comme des cibles improbables des cyberattaques. Ce raisonnement est compr\u00e9hensible. Ils ne g\u00e8rent pas de r\u00e9seaux \u00e9lectriques, ne traitent pas de flux de paiements mondiaux et ne sont pas des minist\u00e8res de la d\u00e9fense ou des agences de renseignement. Mais ce vieux classement a depuis lors discr\u00e8tement disparu. Dans le paysage actuel des menaces, les attaquants ne s'attaquent pas seulement aux endroits o\u00f9 l'on peut gagner le plus d'argent. Ils ciblent \u00e9galement les organisations o\u00f9 la confiance est grande, o\u00f9 les d\u00e9fenses sont in\u00e9gales, o\u00f9 les syst\u00e8mes sont fortement interconnect\u00e9s et o\u00f9 les perturbations peuvent conduire \u00e0 des d\u00e9cisions h\u00e2tives. Et cela d\u00e9crit remarquablement bien une grande partie du secteur culturel et cr\u00e9atif.<\/p>\n\n\n\n
Trois rapports r\u00e9cents (Riedel, Cloudflare et Proton) expliquent clairement pourquoi il en est ainsi et vous pouvez les trouver au bas de l'article.<\/p>\n\n\n\n
Pour les directeurs et les superviseurs, il est utile de diviser ce paysage en trois grandes cat\u00e9gories :<\/p>\n\n\n\n
Les moyens peuvent se chevaucher. Les motifs, eux, ne se recoupent pas. Et c'est pr\u00e9cis\u00e9ment cette diff\u00e9rence de motivation qui importe pour la gouvernance :<\/p>\n\n\n\n
C'est le domaine des tests de p\u00e9n\u00e9tration, du \u2018red teaming\u2019, des analyses de vuln\u00e9rabilit\u00e9 et de la simulation d'un adversaire. Dans le meilleur des cas, il s'agit d'un exercice contr\u00f4l\u00e9 d'\u00e9chec. Il ne s'agit pas d'infliger des dommages, mais de r\u00e9v\u00e9ler les angles morts avant que quelqu'un de moins bien intentionn\u00e9 ne le fasse. Il peut s'agir d'un serveur obsol\u00e8te, d'une conception faible de l'identit\u00e9, d'un stockage en nuage mal configur\u00e9 ou d'un lien avec un fournisseur qui n'a jamais \u00e9t\u00e9 enti\u00e8rement cartographi\u00e9. Le rapport de RIEDEL met \u00e0 nouveau en lumi\u00e8re une vieille le\u00e7on : les vuln\u00e9rabilit\u00e9s connues sont souvent encore exploit\u00e9es longtemps apr\u00e8s qu'un correctif ait \u00e9t\u00e9 disponible. L'hygi\u00e8ne de base, telle que la gestion des correctifs, la surveillance et une r\u00e9ponse structur\u00e9e aux incidents, fait toujours la diff\u00e9rence entre ce qui est g\u00e9rable et ce qui est catastrophique. Pour un conseil d'administration ou de surveillance dans le secteur culturel, il ne s'agit pas d'un d\u00e9tail technique, mais d'un signal manag\u00e9rial. Le piratage \u00e9thique est l'un des rares moyens de remplacer la s\u00e9curit\u00e9 suppos\u00e9e par une r\u00e9silience d\u00e9montrable. (Un \u2018piratage \u00e9thique\u2019 tr\u00e8s r\u00e9cent chez McKinsey montre ce qu'est la prochaine \u00e9tape du risque num\u00e9rique : l'assistant d'IA g\u00e9n\u00e9rative interne Lilli, utilis\u00e9 par des dizaines de milliers de consultants pour rechercher dans des d\u00e9cennies de rapports, d'analyses et de pr\u00e9sentations, s'est av\u00e9r\u00e9 vuln\u00e9rable. La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 CodeWall a d\u00e9montr\u00e9, \u00e0 l'aide d'un agent d'IA autonome, que de tels syst\u00e8mes peuvent trouver et exploiter des vuln\u00e9rabilit\u00e9s de mani\u00e8re ind\u00e9pendante en quelques heures, ce qui permet \u00e0 l'IA d'acc\u00e9l\u00e9rer consid\u00e9rablement les \u00e9tapes classiques d'une cyberattaque. (Comment nous avons pirat\u00e9 la plateforme d'IA de McKinsey<\/a> )<\/p>\n\n\n\n Les attaques men\u00e9es par les \u00c9tats ont depuis longtemps d\u00e9pass\u00e9 l'image cin\u00e9matographique d'un espion d\u00e9robant des secrets diplomatiques. Le rapport de Cloudflare d\u00e9crit un monde o\u00f9 les groupes affili\u00e9s \u00e0 un \u00c9tat sont plus persistants, plus ax\u00e9s sur l'identit\u00e9 et font partie de campagnes strat\u00e9giques plus vastes. Par exemple, les acteurs chinois de la menace sont d\u00e9crits comme des parties cherchant des positions \u00e0 long terme dans les t\u00e9l\u00e9communications, le gouvernement et les services informatiques, d'une mani\u00e8re qui indique la pr\u00e9paration de perturbations et de moyens de pression futurs, et pas seulement l'espionnage imm\u00e9diat. La le\u00e7on \u00e0 retenir est que les piratages \u00e0 l'\u00e9chelle de l'\u00c9tat sont de plus en plus des op\u00e9rations de pr\u00e9positionnement : p\u00e9n\u00e9trer t\u00f4t, maintenir une pr\u00e9sence discr\u00e8te et se doter d'options pour plus tard.<\/p>\n\n\n\n \u00c0 premi\u00e8re vue, un mus\u00e9e, une compagnie th\u00e9\u00e2trale ou une maison d'\u00e9dition ne semble donc pas une cible logique. Mais les institutions culturelles g\u00e8rent bien plus que des \u0153uvres d'art et des programmes de pi\u00e8ces de th\u00e9\u00e2tre. Elles poss\u00e8dent des listes de donateurs, de la correspondance avec le conseil d'administration, des contrats avec des artistes, des documents non publi\u00e9s, des fiches de paie, des partenariats internationaux, des communications politiquement sensibles et un capital de r\u00e9putation. En outre, elles sont souvent ouvertement organis\u00e9es : tr\u00e8s ouvertes sur l'ext\u00e9rieur, elles d\u00e9pendent de la collaboration et s'appuient sur un patchwork de plateformes externes et de personnel temporaire. Dans un tel environnement, la ligne de d\u00e9marcation entre l'espionnage, l'influence et la compromission opportuniste devient moins th\u00e9orique que ce que de nombreux dirigeants aiment \u00e0 croire. (En mars 2026, l'entreprise am\u00e9ricaine de technologie m\u00e9dicale Stryker a \u00e9t\u00e9 victime d'une cyberattaque majeure qui a perturb\u00e9 ses syst\u00e8mes internes dans le monde entier. Selon certains rapports, le logo de Handala, un groupe de pirates informatiques li\u00e9 par les experts en cybers\u00e9curit\u00e9 aux cyberop\u00e9rations iraniennes, est apparu sur les \u00e9crans de connexion des employ\u00e9s. L'incident a entra\u00een\u00e9 des perturbations du r\u00e9seau Microsoft de l'entreprise et a restreint l'acc\u00e8s aux syst\u00e8mes internes pendant la dur\u00e9e de l'enqu\u00eate<\/p>\n\n\n\n La soci\u00e9t\u00e9 am\u00e9ricaine d'\u00e9quipements m\u00e9dicaux Stryker d\u00e9clare qu'une cyberattaque a perturb\u00e9 ses r\u00e9seaux mondiaux<\/a><\/p>\n\n\n\n La troisi\u00e8me cat\u00e9gorie, le piratage criminel, reste la menace la plus imm\u00e9diate pour la plupart des organisations. C'est aussi la cat\u00e9gorie la plus large. Cinq formes m\u00e9ritent une attention particuli\u00e8re \u00e0 cet \u00e9gard :<\/p>\n\n\n\n L'IA, quant \u00e0 elle, traverse ces trois cat\u00e9gories comme un courant \u00e9lectrique. Le c\u0153ur de l'histoire de Cloudflare (voir les rapports) est que l'IA abaisse le seuil, augmente la vitesse et aide les attaquants \u00e0 exploiter pr\u00e9cis\u00e9ment les couches de connexion des organisations modernes : les environnements en nuage, les int\u00e9grations SaaS et les structures d'identit\u00e9. Le r\u00e9sultat n'est pas simplement \u201cplus de piratages\u201d, mais des attaques plus rapides, plus \u00e9volutives et davantage automatis\u00e9es.<\/p>\n\n\n\n Proton ajoute l'aspect organisationnel. La plupart des entreprises utilisent d\u00e9sormais des services en nuage, beaucoup d\u00e9ploient des outils d'IA, mais la confiance dans la mani\u00e8re dont les fournisseurs traitent les donn\u00e9es de l'entreprise reste limit\u00e9e. Seules 14 % des organisations interrog\u00e9es dans le cadre de l'enqu\u00eate d\u00e9clarent avoir pleinement confiance dans la capacit\u00e9 des fournisseurs de services en nuage \u00e0 prot\u00e9ger leurs donn\u00e9es contre les violations, alors que 69 % d'entre elles utilisent d\u00e9j\u00e0 des outils d'intelligence artificielle. Chaque nouvelle application peut am\u00e9liorer le flux de travail, mais aussi augmenter la surface d'attaque. \u00c0 cet \u00e9gard, le piratage de McKinsey montre l\u2018\u2019\u00e9tat de l'art\", un agent d'IA qui fait tout. Dans un avenir proche, on s'attend \u00e0 ce que 80 \u00e0 90 % des piratages soient effectu\u00e9s par des agents d'IA.<\/p>\n\n\n\n C'est pr\u00e9cis\u00e9ment la le\u00e7on que les directeurs et les r\u00e9gulateurs du secteur culturel et cr\u00e9atif doivent maintenant assimiler. La gestion des cyberrisques n'est plus un sous-sujet technique pour le responsable informatique ni un paragraphe annuel de l'auditeur. Il s'agit d'une question de gouvernance concernant la continuit\u00e9, la confiance, la gestion des acc\u00e8s, la d\u00e9pendance \u00e0 l'\u00e9gard des tiers, la gestion prudente des donn\u00e9es et le jugement manag\u00e9rial. La bonne r\u00e9ponse n'est pas le m\u00e9lodrame, mais la discipline : tester les syst\u00e8mes de mani\u00e8re \u00e9thique, renforcer l'identit\u00e9 et l'acc\u00e8s, traiter l'adoption du cloud et de l'IA comme des d\u00e9cisions de s\u00e9curit\u00e9, et supposer que le prochain incident est plus susceptible d'entrer par les tissus de connexion de l'organisation que par sa porte d'entr\u00e9e visible. Dans un secteur qui prosp\u00e8re sur la confiance du public, la cyber-r\u00e9silience a depuis longtemps cess\u00e9 d'\u00eatre une hygi\u00e8ne de back-office. Elle fait d\u00e9sormais partie de l'infrastructure culturelle elle-m\u00eame.<\/p>\n\n\n\n\n
\n
\n
\n
\n
\n
\n
Et puis il y a l'IA<\/strong><\/h2>\n\n\n\n
Rapports<\/strong><\/h2>\n\n\n\n
\n