Résumé
- L’attaque par rançongiciel contre la British Library est devenue un test de continuité du service public culturel car l’incident d’octobre 2023 a perturbé les services numériques, les catalogues, l’accès à la recherche, les workflows du personnel et la gestion des données, tandis que l’institution maintenait les locaux, expositions, événements et salles de lecture ouverts grâce à des solutions de contournement.
- Qui avait le contrôle effectif sur la segmentation du réseau, l’indépendance des sauvegardes, l’ordre de rétablissement des services numériques, la communication avec les lecteurs et chercheurs, la restauration des systèmes de collections, la notification des données et la preuve que la continuité du service public culturel s’est améliorée après l’attaque?
- Le problème de responsabilité est que les institutions culturelles gèrent désormais des services publics numériques critiques dont les preuves de rétablissement doivent être jugées par la continuité d’accès et la gestion des collections, et non seulement par la restauration des serveurs.
- Les chercheurs, lecteurs, personnel, éditeurs, financeurs publics, partenaires culturels, personnes concernées par les données et équipes de préservation numérique avaient besoin de preuves que la reprise avait reconstruit la résilience du service plutôt que de simplement remplacer les systèmes endommagés.
- Cet article traite l’examen des incidents cyber de la British Library, la page de reprise, le rapport annuel, les informations sur la disponibilité des services, les directives du NCSC, les directives de l’ICO, le cadre du dépôt légal, les archives parlementaires et des reportages sélectionnés comme un dossier de preuves publiques avec des limites explicites autour des détails judiciaires et réglementaires inconnus.
Pourquoi ce cas appartient à un dossier de risque et de responsabilité
L’attaque par rançongiciel contre la British Library appartient à un dossier de risque et de responsabilité car l’institution n’est pas simplement un site web avec une salle de lecture attenante. C’est une bibliothèque nationale, une infrastructure de recherche, un service public culturel, une institution de dépôt légal, un gestionnaire de préservation numérique, un lieu public, un partenaire d’autres bibliothèques et un détenteur de données du personnel et des utilisateurs. Lorsque le rançongiciel a endommagé son parc technologique en octobre 2023, le préjudice ne s’est pas mesuré uniquement en serveurs chiffrés.
Il s’est mesuré en accès aux catalogues, commande de collections, délais de recherche, workflows de prêt public, solutions de contournement du personnel, collections numériques, processus de dépôt légal, communication avec les utilisateurs et risque pour les personnes concernées par les données.
La page de reprise officielle de la British Library à l’adressehttps://www.bl.uk/about/cyber-attackindique que l’attaque cyber d’octobre 2023 a perturbé de nombreux services et que la restauration était en cours. Son blog d’apprentissage à l’adressehttps://www.bl.uk/stories/blogs/posts/learning-lessons-from-the-cyber-attacka présenté l’examen des incidents cyber et décrit l’attaque comme une attaque contre l’accès à la connaissance, tout en expliquant que l’institution devait éviter de publier des détails qui pourraient aider de futurs attaquants. L’examen officiel des incidents cyber à l’adressehttps://cdn.sanity.io/files/v5dwkion/production/99206a2d1e9f07b35712b78f7d75fbb09560c08d.pdfconstitue le dossier public central: une suspicion de reconnaissance hostile, une attaque majeure par rançongiciel le samedi 28 octobre 2023, l’exfiltration d’environ 600 Go de fichiers, la destruction ou le chiffrement d’une grande partie du parc de serveurs, un impact grave sur les services, des sauvegardes viables sans infrastructure immédiatement viable, et un programme Rebuild & Renew.
Ce dossier pose la question de la responsabilité: qui avait le contrôle effectif sur la segmentation du réseau, l’indépendance des sauvegardes, l’ordre de rétablissement des services numériques, la communication avec les lecteurs et chercheurs, la restauration des systèmes de collections, la notification des données et la preuve que la continuité du service public culturel s’est améliorée après l’attaque? Il ne s’agit pas de savoir si les criminels sont en faute. Ils étaient les attaquants. La question de responsabilité publique concerne ce qu’une institution culturelle d’importance nationale contrôlait avant, pendant et après l’incident.
Le cas se situe à l’intersection de la continuité du secteur public, de la souveraineté et de la localisation des données, ainsi que du cycle de vie logiciel et de la dépendance fournisseur. La continuité du secteur public demande si les services d’accès aux collections et de recherche disposaient de voies de repli. La souveraineté des données demande quelles données personnelles ont été copiées, comment les personnes concernées ont été notifiées, quels systèmes contenaient des informations sur le personnel et les utilisateurs, et comment l’Information Commissioner's Office a été impliqué.
Le cycle de vie logiciel et la dépendance fournisseur demandent pourquoi certains systèmes majeurs n’ont pas pu être restaurés dans leur forme antérieure à l’attaque parce qu’ils n’étaient plus pris en charge ou incompatibles avec la nouvelle infrastructure sécurisée.
Le rapport annuel et les comptes de la British Library pour 2023-2024 à l’adressehttps://assets.publishing.service.gov.uk/media/66a76368ce1fd0da7b592e51/British_Library_Annual_Report_and_Accounts_2023-2024.pdfconfirme le contexte de gouvernance plus large. Il décrit l’attaque cyber comme un choc profond, note des implications majeures pour les opérations et les finances, indique que les systèmes de paie et de finance basés sur le cloud ont été maintenus, enregistre des coûts supplémentaires directs de 0,6 million de livres sterling à la fin de l’exercice, et indique que les coordonnées d’environ 456 000 utilisateurs et les données personnelles d’environ 4 300 employés actuels et anciens ont été copiées et divulguées. Ces chiffres transforment l’incident d’une panne technologique en un événement de service public et de gouvernance des données.
L’infrastructure culturelle dépend désormais de la continuité numérique
La mission de la British Library dépend de l’accès. Un bâtiment physique peut rester ouvert pendant que les systèmes numériques qui rendent la recherche possible sont dégradés. C’est précisément pourquoi cet incident est important. L’examen a indiqué que les locaux de la bibliothèque, les expositions, les événements et l’accès à la salle de lecture ont été maintenus, mais les services de recherche ont été gravement restreints au cours des deux premiers mois et sont restés incomplets après le retour du catalogue principal consultable le 15 janvier 2024. La distinction est essentielle.
Garder les portes ouvertes a réduit les dommages, mais n’a pas entièrement préservé le service public car de nombreux workflows de collection et de recherche dépendent de systèmes numériques.
La page de reprise publique oriente les utilisateurs vers un guide de disponibilité des services à l’adressehttps://bl.libguides.com/whats-currently-availableafin qu’ils puissent prendre des décisions éclairées avant de se rendre sur place. La page de visite à l’adressehttps://www.bl.uk/visitavertit également que la reprise est en cours mais que tout n’est pas revenu. Le catalogue à l’adressehttps://catalogue.bl.uk/et le catalogue provisoire des archives et manuscrits à l’adressehttps://searcharchives.bl.uk/montrent comment l’accès public dépend désormais d’une restauration numérique progressive. Ces pages ne sont pas de simples commodités pour le service client. Ce sont des contrôles de continuité car elles informent les chercheurs de ce qui est possible, de ce qui ne l’est pas et de la façon de planifier autour de la perturbation.
L’examen des incidents a décrit les impacts spécifiques sur les missions de l’institution. La gestion et la recherche ont été les plus touchées. Les collections physiques ont été largement épargnées pour la sécurité et la préservation, mais la validation et l’accès aux collections numériques ont été limités. L’ingestion du dépôt légal non imprimé était indisponible. Les ressources électroniques, les revues en ligne, les bases de données, EThOS, l’audio et la vidéo, ainsi que d’autres contenus numériques n’étaient pas entièrement disponibles au moment de l’examen.
Les objectifs commerciaux, culturels, d’apprentissage et internationaux ont été moins affectés car de nombreux services sur place et réseaux de partenariat ont continué grâce à des solutions de contournement.
Cette carte des services montre pourquoi il est impossible de mesurer la reprise après un rançongiciel pour une institution culturelle par un simple pourcentage de disponibilité. Un catalogue peut être consultable mais pas totalement transactionnel. Une salle de lecture peut être ouverte alors que la commande à distance est manuelle ou indisponible. Une collection numérique peut être sauvegardée mais pas encore validée sur une nouvelle infrastructure. Une équipe peut répondre aux courriels mais perdre le système de workflow qui suit normalement les demandes.
Chacun de ces états est une condition de continuité différente avec des conséquences publiques différentes.
La loi sur les bibliothèques de dépôt légal de 2003 à l’adressehttps://www.legislation.gov.uk/ukpga/2003/28/contentsajoute une dimension juridique. La British Library fait partie d’un écosystème de dépôt légal, et la perturbation de son service numérique affecte plus que la commodité. Si les workflows de dépôt légal imprimé et non imprimé sont interrompus, les conséquences touchent le registre national, les bibliothèques partenaires, les éditeurs et les futurs chercheurs. Le dossier de reprise responsable doit donc montrer non seulement que les systèmes reviennent, mais que les devoirs de gestion et d’accès sont réconciliés après l’interruption.
L’examen officiel a transformé la reprise en preuve publique
La décision de la British Library de publier un examen des incidents est centrale pour la responsabilité. Le blog d’apprentissage a déclaré que le document était le propre récit de la bibliothèque, informé par des conseillers et adapté des enquêtes internes, dans le but de partager la compréhension et les leçons apprises. L’examen déclare explicitement qu’il évite les détails qui pourraient aider de futures attaques ou entraver les forces de l’ordre. Cet équilibre est important.
Les institutions publiques ne doivent pas publier de détails médico-légaux exploitables, mais elles doivent en publier suffisamment pour permettre aux utilisateurs, aux financeurs, aux institutions homologues et aux superviseurs de comprendre ce qui s’est passé et ce qui va changer.
L’examen identifie un point d’accès non autorisé probablement détecté en premier: un serveur Terminal Services installé en février 2020 pour soutenir l’accès des partenaires externes de confiance et des administrateurs informatiques internes. Il indique que le point exact et la méthode d’entrée n’ont pas pu être déterminés avec certitude en raison des graves dommages causés aux serveurs et des mesures anti-judiciaires, mais il considère que des identifiants de compte privilégiés compromis, éventuellement par hameçonnage, harponnage ou force brute, étaient la source la plus probable.
Il indique également que l’accès au serveur terminal n’était pas soumis à l’AMF, même si l’AMF avait été introduite pour les applications cloud telles que le courrier électronique, Teams et Word.
Cet aveu est important car il relie la conception technique à la prise de décision institutionnelle. L’absence d’AMF sur le domaine avait été identifiée et signalée comme un risque, mais les conséquences avaient été sous-estimées. L’examen indique que la décision avait été motivée par des considérations de praticité, de coût, d’impact sur les programmes en cours et de renouvellement de l’infrastructure en attente. C’est exactement le type de fait de gouvernance dont un dossier de responsabilité publique a besoin.
Il montre comment le risque cyber peut exister dans les limites institutionnelles raisonnables jusqu’à ce qu’un attaquant le transforme en un événement majeur de continuité.
L’examen documente également la gouvernance de la réponse. Le plan de gestion des incidents technologiques majeurs a escaladé le problème, le plan de gestion de crise a été activé à 09h15, l’équipe Gold Crisis Response Team s’est réunie par appel vidéo WhatsApp en l’absence de courrier électronique, le NCSC a été consulté, NCC Group a été mandaté, le DCMS et le Conseil ont été informés, et l’ICO et d’autres organismes ont été contactés dans les délais légaux applicables. Les directives de réponse et de rétablissement du NCSC à l’adressehttps://www.ncsc.gov.uk/guidance/response-recoveryet ses directives sur les rançongiciels à l’adressehttps://www.ncsc.gov.uk/ransomware/homefournissent le contexte pour comprendre pourquoi une réponse structurée, une discipline de communication et une planification de la reprise sont importantes.
Les preuves de la British Library sont solides car elles nomment à la fois les contrôles qui ont fonctionné et ceux qui n’ont pas fonctionné. Les systèmes de finance et de paie basés sur le cloud ont fonctionné normalement. Les bâtiments sont restés ouverts. Un logiciel de surveillance est intervenu dans certaines actions. Un autre système a empêché le chiffrement sur les parcs d’ordinateurs portables et de bureau. Les logiciels de défense plus anciens sur les serveurs n’ont pas résisté à l’attaque. Des sources de sauvegarde viables ont été identifiées, mais le manque d’infrastructure viable a ralenti la restauration.
Cet équilibre évite deux récits négatifs: l’échec total et l’apaisement superficiel. Il donne au public une image réelle du risque.
Les sauvegardes étaient nécessaires mais pas suffisantes
L’examen de la British Library établit l’une des distinctions les plus claires entre les sauvegardes et la capacité de récupération. Il indique que des copies sécurisées existaient des collections numériques, du contenu né-numérique et numérisé, et des métadonnées, et déclare plus tard que des sources viables de sauvegardes avaient été identifiées pour les collections numériques, les métadonnées des collections et d’autres données d’entreprise.
Mais il indique également que les attaquants ont détruit les serveurs pour entraver la reprise et que la bibliothèque a été entravée par le manque d’infrastructure viable sur laquelle restaurer les données. En d’autres termes, la survie des données n’équivaut pas à la reprise des services.
Cette distinction est une leçon fondamentale de responsabilité. Une institution culturelle peut avoir des sauvegardes et être encore incapable de rétablir rapidement les services si l’infrastructure est détruite, si l’application n’est plus prise en charge, si la base de données doit être validée, si le réseau doit être reconstruit ou si l’ancien système ne peut pas fonctionner dans un environnement moderne sécurisé. La reprise dépend de la compatibilité des applications, d’une infrastructure propre, de contrôles d’intégrité des données, de la capacité du personnel, du support des fournisseurs et d’un ordre de priorité des services.
Les sauvegardes ne sont qu’une partie de ce système.
L’examen indique que chaque ensemble de données devrait être validé avant la restauration sur la nouvelle infrastructure. C’est une mesure responsable. Une institution publique ne peut pas simplement recharger les collections numériques et les métadonnées après un événement destructeur sans vérifier l’intégrité. Mais la validation prend du temps, et le temps est la surface de préjudice pour les chercheurs.
Le dossier de reprise responsable devrait donc expliquer les priorités de reprise: quels ensembles de données reviennent en premier, quels services bénéficient de solutions de contournement provisoires, comment l’intégrité est vérifiée et comment les utilisateurs sont informés de ce qui reste indisponible.
Les directives du NCSC sur l’atténuation des attaques de logiciels malveillants et de rançongiciels à l’adressehttps://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attacksmettent l’accent sur la préparation, la stratégie de sauvegarde et la planification de la reprise. L’examen de la British Library ajoute la couche du service culturel: les sauvegardes immuables ou isolées sont importantes, mais aussi un catalogue, une plateforme de services bibliothécaires, l’ingestion du dépôt légal, le workflow de commande de collections, les outils de préservation numérique, les systèmes de demande et l’accès du personnel aux enregistrements nécessaires pour servir le public. La norme de réparation n’est pas seulement « pouvons-nous restaurer les fichiers » mais « pouvons-nous restaurer la mission publique en toute sécurité ».
Le programme Rebuild & Renew aborde directement cette question. L’examen indique que l’infrastructure renouvelée comprendra des services de sauvegarde robustes et résilients avec des copies immuables et isolées, des copies hors site, des copies chaudes et plusieurs points de restauration selon un modèle 4/3/2/1.
Elle comprend également une conception de réseau conforme aux meilleures pratiques, une segmentation, un contrôle d’accès basé sur les rôles, le moindre privilège, des outils de sécurité intégrés, une AMF renforcée, une gestion des accès privilégiés, une gestion des incidents et des vulnérabilités, des politiques de cycle de vie et une gouvernance renforcée. L’article n’a pas besoin de vérifier chaque étape de mise en œuvre pour reconnaître que l’examen lie correctement la reprise des sauvegardes à une architecture plus large.
La question responsable est désormais l’achèvement. Ces améliorations en matière de sauvegarde, de segmentation, d’AMF, de GAP, de cycle de vie et de gouvernance ont-elles été mises en œuvre? Ont-elles été testées par des exercices? Les ensembles de données des collections ont-ils été validés? Les objectifs de service ont-ils été atteints? La restauration a-t-elle amélioré la résilience, ou seulement ramené les services à une nouvelle base de référence? Les rapports publics devraient se poursuivre jusqu’à ce que les utilisateurs et les financeurs puissent voir la différence entre les contrôles planifiés et les contrôles réalisés.
Les systèmes hérités ont transformé le rançongiciel en une reprise plus longue
L’examen de la British Library est inhabituellement direct sur le risque du cycle de vie logiciel. Il indique que des systèmes logiciels majeurs n’ont pas pu être ramenés dans leur forme antérieure à l’attaque parce que certains n’étaient plus pris en charge par le fournisseur ou ne fonctionneraient pas sur la nouvelle infrastructure sécurisée. Il nomme la plateforme principale de services bibliothécaires comme l’un des systèmes affectés, soutenant le catalogage, l’ingestion du dépôt légal non imprimé, l’accès aux collections et le prêt entre bibliothèques.
D’autres systèmes ont nécessité une modification ou une migration vers des versions logicielles plus récentes avant la restauration.
C’est la leçon sur le cycle de vie logiciel et la dépendance fournisseur. Les systèmes hérités peuvent fonctionner pendant des années parce que les remplacer est coûteux, risqué et perturbateur. Ils peuvent être intégrés dans des workflows spécialisés, des contrats de fournisseurs, des pipelines de métadonnées, des habitudes du personnel et des attentes des partenaires. Mais lorsque le rançongiciel force une reconstruction, la dette cachée devient visible. Les systèmes non pris en charge ne peuvent pas simplement être redéployés.
Les systèmes qui nécessitent des environnements d’exploitation anciens peuvent être incompatibles avec les contrôles de sécurité modernes. Les transferts manuels de données entre applications plus anciennes peuvent multiplier les copies des données du personnel et des clients, augmentant ainsi la surface d’exposition.
L’examen relie la complexité héritée à l’impact. Il indique que le parc technologique inhabituellement diversifié et complexe de la bibliothèque avait ses racines dans la fusion de nombreuses collections, cultures et fonctions, et que la forme historiquement complexe du réseau a permis un accès plus large des attaquants qu’une conception moderne ne l’aurait fait. Il indique également que le recours à des applications plus anciennes et à des processus manuels a augmenté le volume de données du personnel et des clients détenues en plusieurs copies sur le réseau. Ce n’est pas simplement une plainte informatique.
C’est un constat de gouvernance du service public: l’histoire institutionnelle peut créer un risque cyber lorsque les systèmes ne sont pas renouvelés au rythme exigé par l’environnement de menace.
Le rapport annuel confirme que l’attaque cyber a affecté le paysage des risques. Il enregistre un risque accru pour l’infrastructure numérique, de nouveaux risques découlant de l’incident et un avis du chef de l’audit interne d’une assurance partielle avec des améliorations nécessaires après l’attaque cyber. Il décrit également des plans pour améliorer la transparence des risques et des preuves d’audit. Ce sont des déclarations de gouvernance, pas des détails techniques. Elles sont importantes car une reprise longue est rarement un échec purement technique.
Elle reflète le financement, le personnel, les achats, l’appétit pour le risque et les priorités sur de nombreuses années.
Le programme Modern Library Services fait donc partie de la réparation, et non un projet de modernisation distinct. L’examen indique qu’il centralisera et remplacera la plateforme actuelle de services bibliothécaires, les catalogues hérités, l’inscription en ligne des lecteurs, le système de préservation numérique et le système de gestion des demandes. La British Library a ensuite sélectionné Clarivate pour fournir les services bibliothécaires, comme en témoignent les archives publiques et sectorielles, mais la question de responsabilité est plus large que la sélection du fournisseur. Le nouveau système réduira-t-il la dépendance fournisseur?
Soutiendra-t-il une gestion sécurisée du cycle de vie? Améliorera-t-il la continuité? Les données seront-elles mieux cartographiées et minimisées? L’institution pourra-t-elle se rétablir sans reconstruire entièrement à partir de zéro?
La leçon pour les institutions homologues est directe. Les systèmes hérités ne sont pas seulement des logiciels anciens. Ce sont des passifs de continuité lorsqu’ils ne peuvent pas être restaurés dans un environnement sécurisé. Le moment de traiter ce risque est avant que le rançongiciel ne force chaque décision de remplacement dans un programme de crise.
La gouvernance des données faisait partie du préjudice
L’attaque a copié et divulgué des données personnelles. L’examen des incidents cyber indique qu’environ 600 Go de fichiers ont été exfiltrés, y compris des données personnelles des utilisateurs et du personnel de la bibliothèque, et que le matériel a été mis aux enchères puis diffusé sur le dark web lorsque aucune rançon n’a été payée.
Il décrit trois méthodes de copie de données: la copie en masse des enregistrements des équipes financières, technologiques et des ressources humaines; les recherches par mots-clés pour les noms de fichiers ou de dossiers sensibles; et le détournement d’utilitaires natifs pour créer des copies de sauvegarde de 22 bases de données. Il indique également que certaines bases de données clients contenaient probablement des coordonnées mais pas de coordonnées bancaires, et que les contrôles PCI DSS ont empêché la compromission des données de cartes de crédit.
Le rapport annuel fournit des chiffres de gouvernance ultérieurs: les coordonnées d’environ 456 000 utilisateurs et les données personnelles d’environ 4 300 employés actuels et anciens ont été copiées et divulguées, l’ICO a été notifiée dans les délais légaux, les personnes concernées ont été contactées avec assistance et conseils, et l’incident a été la seule violation de données signalable subie par la bibliothèque en 2023-2024.
La page de reprise publique ajoute une limite orientée utilisateur: les attaquants ont publié certaines données, y compris des informations personnelles d’utilisateurs, les utilisateurs ont été contactés avec des conseils du NCSC, et la bibliothèque peut ne pas être en mesure d’identifier exactement quelles informations ont été compromises compte tenu de la nature de l’attaque et de l’indisponibilité des systèmes.
Cette franchise est importante. La responsabilité envers les personnes concernées exige une notification rapide, mais la médecine légale des rançongiciels ne peut souvent pas fournir une certitude parfaite. Les directives de l’ICO à l’adressehttps://ico.org.uk/for-organisations/report-a-breach/et ses directives plus larges sur la sécurité des données à l’adressehttps://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/a-guide-to-data-security/security/définissent l’obligation de signaler et de sécuriser les données personnelles. Les propres déclarations de la British Library montrent la difficulté de remplir ces obligations lorsque les systèmes sont gravement endommagés et que les inventaires de données sont répartis sur des réseaux hérités, des lecteurs personnels, des bases de données et des extraits copiés.
La souveraineté et la localisation des données apparaissent dans la nature publique des données. Les utilisateurs et le personnel de la bibliothèque n’ont pas fourni d’informations à une plateforme marketing discrétionnaire seule. Ils ont interagi avec une institution culturelle nationale. Les dossiers du personnel, les dossiers des lecteurs, les coordonnées des clients, les extraits marketing et les fichiers personnels sont détenus dans un contexte de confiance publique.
Lorsque le rançongiciel les copie, le devoir de l’institution comprend la notification, les conseils, la surveillance du crédit le cas échéant, la coopération avec les régulateurs et les changements dans la manière dont les données sont stockées et dupliquées.
La déclaration de l’examen concernant l’augmentation des copies de données due aux processus manuels est l’une de ses leçons les plus importantes. La minimisation des données est souvent abordée comme une conformité à la vie privée. Ici, c’est aussi une résilience aux rançongiciels. Plus il existe de fichiers en double, d’extraits, de copies sur lecteurs personnels et d’ensembles de données non gérés, plus un attaquant peut en prendre et plus une institution doit travailler dur pour comprendre ce qui a été exposé.
Un programme de reprise moderne devrait donc inclure la cartographie des données, l’examen de la conservation, le contrôle d’accès, la consolidation du stockage et la formation du personnel, et non seulement la sécurité des terminaux.
La norme de responsabilité est la preuve que la surface des données est devenue plus petite et plus gérable. La bibliothèque a-t-elle réduit les données en double du personnel et des clients? A-t-elle amélioré la classification des données? A-t-elle restreint le stockage d’informations sensibles sur les lecteurs personnels? A-t-elle consolidé les systèmes de données clients dans l’architecture promise? A-t-elle amélioré les enregistrements de qui peut accéder à quoi? Ces questions relient la vie privée, la continuité et la conception des systèmes.
L’accès privilégié de tiers était une limite de contrôle
L’examen de la British Library identifie l’accès privilégié de tiers comme une limite de contrôle probable. Il indique que le serveur Terminal Services était utilisé pour les partenaires externes de confiance et les administrateurs informatiques internes, que l’utilisation à distance s’est développée pendant la pandémie et que les partenaires avaient différents niveaux d’accès allant d’un accès physique supervisé à un accès administrateur privilégié à des serveurs ou logiciels spécifiques.
Il indique également que l’utilisation croissante de fournisseurs tiers et la complexité de la gestion des accès avaient été signalées comme un risque fin 2022, avec un examen prévu pour 2024, mais que l’attaque s’est produite avant que les conditions préalables ne soient remplies.
C’est un problème institutionnel courant. Les organisations culturelles dépendent de fournisseurs pour des systèmes bibliothécaires spécialisés, des outils de préservation, des plateformes de numérisation, la maintenance de l’infrastructure et des projets de développement. La capacité du personnel et la spécialisation technique rendent souvent l’accès des fournisseurs nécessaire.
Mais l’accès des fournisseurs devient une voie privilégiée s’il atteint des serveurs, des magasins de données ou des outils administratifs sans AMF forte, surveillance de session, contrôles juste-à-temps, segmentation et obligations contractuelles claires en matière d’incidents.
L’examen indique que la source la plus probable était des identifiants de compte privilégiés compromis, tout en notant soigneusement l’incertitude autour de la méthode exacte. Cette formulation est responsable. Elle évite de trop affirmer tout en identifiant la classe de contrôle qui importe: l’accès privilégié. Elle indique également que l’infrastructure renouvelée comprendra une gestion considérablement améliorée de l’accès au réseau des tiers via la gestion des accès privilégiés. C’est une direction de réparation concrète.
La boîte à outils du conseil d’administration du NCSC à l’adressehttps://www.ncsc.gov.uk/collection/board-toolkitest pertinente car l’accès privilégié de tiers est un risque au niveau du conseil, et non un paramètre purement technique. Les dirigeants doivent décider de l’étendue acceptable de l’accès des fournisseurs, des contrôles compensateurs obligatoires, de la manière dont les exceptions sont approuvées, de la manière dont les contrats répartissent les responsabilités en cas d’incident et de la manière dont l’institution finance les outils et le personnel pour le gérer. Si ces décisions sont laissées aux équipes de projet sous pression de livraison, la prolifération des accès devient prévisible.
Le risque tiers recoupe également la responsabilité publique. Une institution financée par des fonds publics peut sous-traiter le travail, mais elle ne peut pas sous-traiter son devoir public de protéger l’accès à la connaissance et les données personnelles. La bibliothèque reste responsable de la manière dont l’accès des partenaires est conçu et surveillé, même lorsqu’un identifiant de fournisseur est impliqué. Les contrats devraient soutenir cette responsabilité en exigeant l’AMF, des comptes nominatifs, le moindre privilège, l’expiration de l’accès, la journalisation, la coopération en cas d’incident et la révocation rapide.
Le test post-incident est de savoir si l’accès tiers est passé de la commodité à la preuve. La bibliothèque peut-elle lister chaque compte partenaire, son propriétaire, son objectif, son niveau de privilège, sa date d’expiration, son statut AMF, ses journaux de session et la voie de révocation d’urgence? Peut-elle prouver que les partenaires n’ont pas un accès plus large que nécessaire? Peut-elle restreindre l’accès à des environnements segmentés? Peut-elle détecter des mouvements de données inhabituels à partir d’un compte partenaire?
Ces réponses font partie de la continuité du service public culturel car l’accès tiers peut décider si une voie de maintenance devient une panne de la bibliothèque nationale.
La communication était un contrôle de continuité
Pendant l’attaque, la British Library devait communiquer alors que ses canaux normaux étaient dégradés. L’examen indique que le site web et l’intranet étaient hors service, de sorte que la communication a d’abord utilisé les réseaux sociaux et les relais du personnel par courriel ou WhatsApp. Une fois en sécurité, la bibliothèque a contacté les lecteurs, les donateurs, les utilisateurs du Public Lending Right et d’autres par courriel, a orienté les personnes vers les directives de sécurité du NCSC, a utilisé les retours des utilisateurs pour élaborer les FAQ et a publié des informations via le blog d’entreprise et le site web provisoire.
Elle s’est également efforcée de veiller à ce que le personnel voie les communications externes avant le public afin de pouvoir répondre aux questions des utilisateurs.
C’est un travail de continuité, pas de relations publiques. Les utilisateurs avaient besoin de savoir si les bâtiments étaient ouverts, si les salles de lecture étaient utilisables, si les catalogues étaient consultables, si des commandes pouvaient être passées, si les mots de passe pouvaient être modifiés, si des données personnelles avaient pu être compromises et où trouver des mises à jour officielles. Le personnel avait besoin de savoir quoi dire aux utilisateurs tout en évitant les détails qui pourraient aider les attaquants.
Les chercheurs avaient besoin d’informations de planification car l’accès aux collections peut déterminer les délais, les subventions, les voyages et les calendriers de publication.
La page de reprise à l’adressehttps://www.bl.uk/about/cyber-attacken est un exemple orienté utilisateur. Elle explique que les systèmes restent indisponibles pour le changement de mot de passe, conseille aux utilisateurs de modifier les mots de passe similaires sur les services non liés à la British Library par précaution, renvoie aux conseils de sécurité publique du NCSC à l’adressehttps://www.ncsc.gov.uk/collection/top-tips-for-staying-secure-onlineet donne un contact pour la protection des données. Elle indique également que la bibliothèque pourrait ne pas être en mesure d’identifier exactement quelles informations ont été compromises et pourrait ne pas être en mesure de traiter les demandes immédiatement. C’est un message difficile, mais il est plus responsable qu’une certitude fausse.
La communication devait également couvrir la disponibilité des services publics. Les pages de service de la British Library, les catalogues et les interfaces d’archives font désormais partie du registre de la reprise. La mise à jour du programme International Dunhuang à l’adressehttps://idp.bl.uk/blog/idp-new-website-launch/montre un exemple de restauration, indiquant que l’attaque cyber avait considérablement affecté les services et que le projet a rétabli l’accès au contenu numérique pendant la reprise. Des pages publiques comme celles-ci permettent aux utilisateurs de voir des services spécifiques revenir, plutôt que d’entendre seulement des assurances institutionnelles générales.
Le registre des questions parlementaires à l’adressehttps://questions-statements.parliament.uk/written-questions/detail/2024-01-25/HL1928montre que la question a atteint la supervision publique. La réponse du gouvernement a indiqué que la bibliothèque travaillait dur pour rétablir les services et avait commencé un retour progressif des services clés le 15 janvier 2024. L’attention parlementaire est importante car une bibliothèque nationale est responsable non seulement envers les utilisateurs mais aussi envers les financeurs publics et la supervision élue.
La leçon de communication est que les institutions publiques devraient planifier à l’avance la communication par canaux dégradés. Si le site web est en panne, quelle est la page faisant autorité? Si le courriel est indisponible, comment le personnel est-il informé? Si les utilisateurs publics ont besoin de conseils sur les données, où se trouvent-ils? Si la disponibilité des services change chaque semaine, qui met à jour le guide? Si des spéculations paraissent dans la presse, que peut-on corriger sans nuire à la sécurité?
La communication réduit les dommages secondaires lorsqu’elle est précise, horodatée, accessible et liée aux états réels du service.
Le refus de rançon a changé le cadre de la reprise
L’examen de la British Library indique que la bibliothèque n’a effectué aucun paiement aux auteurs criminels et n’a eu aucune interaction avec eux, et il note la politique du Royaume-Uni selon laquelle de tels paiements ne devraient pas être effectués. Cette décision est importante pour la responsabilité. Refuser de payer n’évite pas le préjudice. Dans ce cas, des données ont été diffusées sur le dark web et les services sont restés perturbés. Mais payer ne garantirait pas la reprise, n’effacerait pas les données volées et pourrait financer de futures attaques.
Une institution publique a également le devoir plus large de ne pas créer d’incitations aux attaques contre le secteur public.
Le NCSC a constamment mis en garde contre le paiement de rançons, et des reportages publics comme celui du Guardian à l’adressehttps://www.theguardian.com/technology/2024/mar/17/british-library-did-the-right-thing-by-not-paying-cybercriminalsont décrit les éloges du NCSC pour le refus et la transparence de la bibliothèque. Il s’agit de reportages tiers, et non du dossier principal de l’incident, mais il soutient le contexte politique. La question responsable est de savoir comment une position de non-paiement est soutenue par une capacité de reprise. Si les institutions publiques refusent le paiement, elles doivent investir dans les sauvegardes, la segmentation, la réponse aux incidents, le personnel cyber, l’agilité des achats et les solutions de contournement des services publics afin que le refus soit viable.
L’examen de la British Library relie le refus à la reconstruction. Le programme Rebuild & Renew comprenait des phases Respond, Adapt et Renew. La phase Adapt visait à rétablir les services, les processus internes et les partenariats avec des solutions provisoires. La phase Renew visait à créer une infrastructure résiliente et des solutions permanentes en mettant à niveau, en adaptant ou en déployant de nouveaux systèmes. Cette structure montre que la reprise sans paiement n’est pas un slogan. Elle nécessite une gouvernance de programme, un financement, une hiérarchisation et une gestion du changement sur plusieurs mois.
Le dossier financier compte également. Le rapport annuel indique que les coûts supplémentaires directs attribuables à l’attaque cyber s’élevaient à 0,6 million de livres sterling à la fin de l’exercice, tandis que l’impact net total était encore en cours d’examen et que certains investissements numériques planifiés seraient accélérés. La presse a suggéré des coûts de reprise beaucoup plus élevés, y compris l’article du Guardian de janvier 2024 à l’adressehttps://www.theguardian.com/books/2024/jan/15/british-library-begins-restoring-digital-services-after-cyber-attack, mais l’article responsable ne doit pas traiter les estimations de la presse comme un coût final officiel. Le point officiel est plus étroit et plus fort: la reprise a modifié le plan financier et de risque, et l’impact total nécessitait un examen continu.
La responsabilité du non-paiement exige également un soutien aux personnes concernées par les données. Si des données volées sont divulguées, les individus portent un risque même après la reconstruction des systèmes. La bibliothèque a indiqué avoir contacté les personnes concernées, fourni des conseils et acheté une surveillance du crédit et une protection d’identité pour le personnel et certains autres lorsque cela était approprié. Ce soutien fait partie de la réduction des dommages. Le refus d’une institution publique de payer doit être accompagné d’une aide concrète pour les personnes dont les données sont exposées.
La leçon finale est que le refus de la rançon reporte la charge sur la résilience. C’est la bonne politique lorsqu’elle est soutenue par la préparation. Elle devient crédible lorsque les institutions publiques peuvent montrer qu’elles peuvent rétablir les services essentiels, protéger les personnes concernées par les données et reconstruire sans financer le crime organisé.
La gouvernance et le financement décident si la reprise devient une réparation
L’examen et le rapport annuel de la British Library montrent tous deux que la reprise est un programme de gouvernance. Le Conseil a approuvé le programme Rebuild & Renew. Un conseil de programme et une structure de gouvernance ont été établis. Un nouveau sous-comité du Conseil, le Comité du portefeuille numérique, superviserait le programme aux côtés d’autres travaux numériques et recruterait une expertise cyber externe. Le programme examinerait la continuité des activités, les tests formels, les régimes d’exercices, la gestion du changement et la préparation aux incidents d’ampleur similaire.
Ces détails sont importants car la reprise après cyber peut autrement devenir une séquence d’achats d’urgence. Acheter des outils n’équivaut pas à changer les contrôles. Une institution culturelle qui se remet d’un rançongiciel a besoin d’un portefeuille: segmentation du réseau, migration vers le cloud, architecture de sauvegarde, modernisation des applications, gouvernance des données, gestion des accès tiers, formation du personnel, gestion des risques, communication sur la disponibilité des services, suivi juridique et réglementaire, et restauration orientée utilisateur. La gouvernance rend ces volets cohérents.
Le financement est une question de responsabilité publique. Le rapport annuel indique que la bibliothèque avait déjà alloué des fonds pour l’investissement numérique, accélérerait les dépenses planifiées dans de nombreux cas et présenterait au Conseil une stratégie financière triennale révisée intégrant les coûts informatiques supplémentaires et les pertes de revenus. Il note également que la bibliothèque maintient généralement des réserves pour les problèmes imprévus, mais que l’attaque et l’inflation ont affecté cette position.
Les financeurs publics doivent savoir si les dépenses supplémentaires réduisent le risque ou simplement rétablissent des services fragiles.
Le Department for Culture, Media and Sport à l’adressehttps://www.gov.uk/government/organisations/department-for-culture-media-and-sportfait partie de l’environnement de responsabilité car il parraine les organismes culturels et a soutenu la bibliothèque pendant l’incident. Les organismes publics fonctionnent dans le cadre de contraintes de dépenses, de contraintes de recrutement, de règles d’achat et de politique cyber nationale. Un conseil peut exiger la résilience, mais il a également besoin de ressources, de talents cyber et de l’autorité pour abandonner les systèmes hérités qui peuvent s’être accumulés au fil des décennies.
L’évaluation des risques futurs de l’examen est franche quant à la capacité. Elle indique que le département technologique était surchargé avant l’incident, que la capacité en cybersécurité et en ingénierie cloud serait particulièrement aiguë et que la rémunération des compétences informatiques très demandées pourrait devoir être reconsidérée. C’est un fait de gouvernance, pas une excuse. Les institutions publiques concurrencent pour des talents cyber rares tout en faisant face à des contraintes salariales et budgétaires du secteur public. La responsabilité exige de nommer cette contrainte et de décider comment la gérer.
Le dossier de réparation responsable devrait donc lier le financement aux contrôles. Pour chaque dépense importante, quel risque réduit-elle? Une nouvelle plateforme de services bibliothécaires réduit-elle le risque de logiciel non pris en charge? La migration vers le cloud réduit-elle le risque de reprise sur site tout en introduisant des risques gérés dans le cloud? La GAP réduit-elle le risque d’accès tiers? La refonte des sauvegardes réduit-elle le risque de reprise destructive? La consolidation des données réduit-elle la surface d’exposition?
Sans cette cartographie, l’argent de la reprise peut disparaître dans un brouillard de modernisation générale.
Les preuves doivent séparer les faits confirmés, les inférences étayées et les inconnues
Les faits publics confirmés incluent l’attaque par rançongiciel d’octobre 2023, l’activation de la gestion de crise, la consultation du NCSC, la commande de NCC Group, la notification à l’ICO, l’exfiltration d’environ 600 Go, le chiffrement et la destruction de serveurs, l’absence de paiement de rançon, la perturbation grave des services, le maintien de l’accès aux bâtiments, la reprise via Rebuild & Renew, des sauvegardes viables mais une infrastructure de restauration immédiate insuffisante, et les chiffres ultérieurs du rapport annuel concernant les coordonnées des utilisateurs et les données personnelles du personnel copiées et
divulguées.
Les sources officielles sont inhabituellement détaillées, en particulier l’examen des incidents cyber et le rapport annuel.
Les inférences étayées incluent la conclusion que les lacunes de l’AMF, l’accès privilégié de tiers, la segmentation du réseau, la dette des applications héritées, la duplication des données, l’infrastructure de sauvegarde et le séquencement de la reprise étaient des objets de contrôle centraux. Cette inférence est directement étayée par la propre discussion de l’examen.
Il est également raisonnable d’inférer que la communication sur la disponibilité des services était un contrôle de continuité car l’institution a créé des pages de reprise et de disponibilité et s’est appuyée sur des canaux alternatifs pendant que les systèmes normaux étaient hors service.
Les inconnues subsistent. Le dossier public ne révèle pas chaque identifiant utilisé, le chemin complet des attaquants, chaque alerte de terminal, tous les artefacts de logiciels malveillants, tous les contrats de fournisseurs, tous les champs de base de données exfiltrés, toutes les conclusions des forces de l’ordre, les conclusions finales de l’ICO, tous les coûts de reprise, l’état d’achèvement de chaque contrôle de Rebuild & Renew, ou tous les objectifs de niveau de service pour la restauration complète.
L’examen lui-même indique que le point exact et la méthode d’entrée ne peuvent être énoncés avec certitude et que certaines analyses de données dépendaient d’une capacité de base de données restaurée.
Ces inconnues ne doivent pas être comblées par des spéculations. Il serait erroné d’affirmer qu’un fournisseur tiers spécifique a causé l’attaque à moins que le dossier officiel ne le dise. Il serait erroné de prétendre que toutes les collections numériques ont été perdues; l’examen indique que des copies sécurisées existaient et que les collections avaient besoin de validation. Il serait erroné de prétendre que la migration vers le cloud élimine le risque cyber; l’examen déclare explicitement que le passage au cloud transforme le risque plutôt que de le supprimer.
Il serait également erroné de traiter le chiffre de 0,6 million de livres sterling du rapport annuel comme le coût total final; le rapport indique que l’impact net total était encore en cours d’examen.
Les reportages sélectionnés peuvent aider les utilisateurs à comprendre l’impact public, mais les documents officiels portent le poids principal. Le rapport du Guardian de janvier 2024 sur la restauration du catalogue est utile pour la chronologie externe et le contexte orienté utilisateur. Le résumé du NISO à l’adressehttps://www.niso.org/niso-io/2024/03/report-british-library-cyber-incident-revieworiente les lecteurs du secteur vers l’examen. Ces sources soutiennent le contexte public de l’article mais ne remplacent pas l’examen et les rapports de la bibliothèque.
La limite des preuves fait partie de la responsabilité car elle aide les institutions homologues à apprendre sans copier les rumeurs. La contribution la plus forte de la British Library au dossier public n’est pas que chaque détail soit connu. C’est que l’institution a nommé les contrôles inconfortables: pas d’AMF sur le serveur terminal, complexité héritée, risque d’accès tiers, duplication des données, défenses de serveur plus anciennes, reprise lente causée par la destruction de l’infrastructure et la nécessité d’un changement culturel et de gouvernance.
Le test de continuité est la preuve d’un accès résilient
Le test final de responsabilité n’est pas de savoir si la British Library rétablit finalement ses services. Le test est de savoir si elle peut prouver un accès plus résilient à la connaissance. Cette preuve devrait inclure une segmentation achevée, une AMF renforcée, une GAP pour l’accès tiers, des sauvegardes immuables et isolées, une restauration validée des ensembles de données, des services bibliothécaires modernisés, une réduction des données en double, des exercices d’incidents améliorés, une gestion du changement renforcée et une communication sur la disponibilité des services sur laquelle les utilisateurs peuvent agir.
Pour les chercheurs, les preuves devraient montrer que les catalogues, les commandes, les workflows en salle de lecture, les ressources électroniques, les revues en ligne, les collections numériques, les archives, les manuscrits, le dépôt légal non imprimé et les systèmes de demande peuvent survivre ou se rétablir après un incident majeur avec moins de perturbations. Pour le personnel, elles devraient montrer que les workflows ne dépendent pas de systèmes non pris en charge ou de copies de données manuelles qui augmentent l’exposition.
Pour les personnes concernées par les données, elles devraient montrer que les données personnelles sont cartographiées, minimisées, protégées et déclarables. Pour les financeurs, elles devraient montrer que les dépenses numériques accélérées ont acheté une résilience mesurable.
Le contexte stratégique de la British Library est important. La stratégie Knowledge Matters de l’institution, décrite dans le rapport annuel et les pages publiques à l’adressehttps://www.bl.uk/about-us/, se concentre sur l’accès, des services bibliothécaires modernisés, les partenariats, la durabilité, la résilience et de nouveaux espaces. La reprise après rançongiciel devrait être jugée par rapport à cette stratégie. Un service bibliothécaire reconstruit mais inaccessible serait un échec de la mission. Un catalogue restauré qui laisse la gouvernance des données inchangée serait un échec de la leçon sur la vie privée. Une migration vers le cloud qui manque de capacité du personnel et de nouvelle gestion des risques serait un échec de la leçon sur le risque futur.
La norme de continuité devrait également être assez publique pour les utilisateurs. Les chercheurs n’ont pas besoin de diagrammes de pare-feu. Ils ont besoin de savoir quels services sont disponibles, ce qui reste dégradé, quand la restauration est prévue et comment contourner les lacunes. Le personnel n’a pas besoin de tous les détails médico-légaux. Il a besoin de formation, de canaux clairs et de systèmes qui soutiennent un travail sécurisé. Les institutions homologues n’ont pas besoin des journaux sensibles de la bibliothèque.
Elles ont besoin de leçons sur l’AMF, l’accès tiers, l’infrastructure héritée, les sauvegardes, la duplication des données et la communication de crise.
Le cas de la British Library n’est donc pas simplement une histoire de rançongiciel. C’est une histoire d’infrastructure culturelle. Les attaquants ont causé l’incident, mais le dossier de responsabilité publique appartient à l’institution et à son environnement de gouvernance car ils contrôlent l’investissement, l’architecture, la gestion des données, les priorités de service, l’accès tiers et la communication publique.
La leçon pour les institutions culturelles est directe: l’accès numérique fait désormais partie de la mission publique, et la résilience doit être prouvée au niveau du catalogue, de la salle de lecture, de la collection numérique, de la notification des personnes concernées, du workflow du personnel et du plan de financement. La reprise devient une réparation uniquement lorsque ces surfaces sont moins fragiles qu’elles ne l’étaient avant l’attaque.

