La Cité internationale de la bande dessinée et de l’image, installée à Angoulême, est l'un des derniers établissements culturels à être visé par une cyberattaque. Ces opérations malveillantes se multiplient un peu partout dans le monde, et notamment en France.

Il y a quelques jours, le groupe éditorial Bayard subissait une attaque de type rançongiciel, au cours de laquelle des données sont généralement « prises en otage » par les assaillants, qui les encryptent avant de réclamer ensuite le paiement d'une certaine somme pour fournir les moyens de récupération. L'entreprise avait mis son réseau informatique à l'arrêt. Au cours de l'été, plusieurs distributeurs ont aussi vu leur activité perturbée par l'attaque subie par un prestataire.

Le 10 septembre, l'enseigne Cultura annonçait à son tour un vol de données chez un de ses prestataires, qui concernait les nom, prénom, numéro de téléphone, adresse e-mail et postale et contenu des commandes de 1,5 million de clients.

Une faille exploitée

Lorsqu'une cyberattaque se déclare, le mot d'ordre reste la réactivité. Dans le cas de la Cité, l'ingénieur réseau a été alerté, en pleine nuit, d'une intrusion sur le réseau informatique de l'institution. « Deux ou trois heures après le début de l'attaque, il était sur place pour déconnecter l'ensemble du réseau », et ainsi éviter une propagation de l'opération malveillante, voire un blocage complet, souligne Vincent Eches, directeur de la Cité.

En août, une quarantaine de musées et institutions culturelles français ont été attaqués en quelques heures, dont le Grand Palais. « Nous étions en quelque sorte dans la queue de cette comète », explique le directeur de la Cité. Le personnel était bien sûr sensibilisé aux risques, mais « personne n'est préparé à une telle attaque », constate-t-il.

Et pour cause : la faille exploitée par l'équipe de hackers se trouvait dans un logiciel utilisé par les services de la Cité, et ne découle donc pas d'une défaillance du réseau ou d'un geste malencontreux, comme l'ouverture d'un email frauduleux. L'attaque a été revendiquée par le groupe RansomHub, mais l'origine précise fait encore l'objet d'une enquête.

Des données peu sensibles

Sans internet, l'institution du 9e art a quand même ouvert ses portes au public le dimanche 25 août, en mettant en place une billetterie manuelle pour le Musée et le cinéma, et des emprunts auprès des agents du côté de la bibliothèque.

Au moment de faire le bilan, la Cité de la BD s'en est plutôt bien sortie : un volume de copies de données a été exfiltré, correspondant à environ 2 % du total de l'institution. Et, sur cette fraction, 90 % concernent des numérisations de documents libres de droits, nous précisent Vincent Eches et Marina Sichantho, directrice générale adjointe. Le reste serait essentiellement constitué de données comptables et autres rapports financiers, « qui ont peu de valeur sur le marché, puisqu’extraits d'une comptabilité publique ».

Il semblerait que les hackers, dans la planification de l'attaque, repèrent les plus importants volumes de données dans l'infrastructure ciblée, afin d'optimiser leur frappe. Manque de chance (ou pas), dans le cas de la Cité, les dossiers renfermaient des pages numérisées de documents du domaine public... Donc librement accessibles.

Malgré tout, une demande de rançon a tout de même été envoyée aux services, lesquels n'ont absolument pas donné suite.

Une stratégie de remédiation

L'Agence nationale de la sécurité des systèmes d'information (Anssi), service public français, a immédiatement pris contact avec la Cité de la BD après l'attaque, explique Vincent Eches, en ajoutant que l'établissement bénéficie « d'un très bon accompagnement ».

Une fois les premières démarches auprès de la Commission nationale de l'informatique et des libertés (Cnil) et des services de police effectuées, l'Anssi a dirigé l'institution vers un prestataire, afin de reconstituer son architecture de sécurité. Au sein du plan élaboré par l'agence, plusieurs mesures de sécurité supplémentaires, comme la double authentification ou le cloisonnement des serveurs. « Nous passons d'un système où “tout est autorisé sauf ce qui est interdit”, à un autre où “tout est interdit sauf ce qui est autorisé”, mais cela évite de futurs désagréments. »

Néanmoins, la direction de la Cité de la BD est lucide, comme doivent l'être aujourd'hui toutes les organisations : « La question n’est pas de savoir si l'on va être attaqué, mais plutôt quand », résument Vincent Eches et Marina Sichantho. Et, alors que les hackers font preuve de connaissances technologiques de pointe, autant s'assurer de maitriser les compétences, les protocoles et les solutions pour y faire face.

Le préjudice financier de l'incident en lui-même, en raison de la nature des données dérobées, n'est donc pas bien élevé. Néanmoins, la remédiation elle-même, depuis le financement du nouvel équipement à la remise en état du réseau, pourrait aisément se chiffrer à plusieurs dizaines de milliers d'euros.

Photographie : La Cité de la BD, à Angoulême (ActuaLitté, CC BY SA 2.0)