Un audit mené par l’ANSSI en 2014 révélait déjà des vulnérabilités majeures dans les systèmes numériques et de sûreté du Musée du Louvre. Près de douze ans plus tard, au lendemain du vol spectaculaire de joyaux dans la Galerie d’Apollon, ces alertes, restées partiellement sans suite, révèlent le défi que représente la protection numérique et physique des institutions patrimoniales.
Des mots de passe simplistes et des systèmes obsolètes
Selon les révélations de CheckNews, qui indique avoir consulté des documents internes et rapports techniques confidentiels, l’étendue des failles informatiques touchant « le premier musée du monde » était déjà alarmante à l’époque. Parmi les éléments relevés, certains détails font frémir : un mot de passe aussi élémentaire que “LOUVRE” permettait d’accéder à un serveur de vidéosurveillance, tandis qu’un identifiant “THALES” ouvrait l’accès à un logiciel du groupe éponyme. Les systèmes de sécurité reposaient encore sur des postes Windows 2000/XP et des serveurs Windows Server 2003, obsolètes et non maintenus.
L’audit précisait qu’un utilisateur interne pouvait, depuis le réseau bureautique, accéder au réseau de sûreté, modifier les droits d’un badge ou perturber le système de vidéosurveillance. Autrement dit, des failles susceptibles de faciliter un acte de malveillance ou d’en compromettre la détection.
Des failles criantes dans la cybersécurité du Louvre
Les constats de 2014 n’ont pas tous été suivis d’effet. La Cour des comptes, qui s’est penchée sur la période comprise entre 2019 et 2024, constate des retards significatifs dans la modernisation des dispositifs de sécurité. Les projets de renouvellement de la vidéosurveillance et des systèmes d’accès, pourtant prévus dès 2017, ont été plusieurs fois reportés, en raison de contraintes budgétaires, de lourdeurs administratives et d’un manque de coordination entre les services techniques du musée.
La Cour estime par ailleurs que « sous l’effet d’une fréquentation croissante, le cycle d’obsolescence des équipements techniques du musée s’est accéléré de façon nettement plus importante que le rythme des investissements engagés par l’établissement pour y remédier ». En d’autres termes, la modernisation des infrastructures ne suit pas le rythme imposé par l’usure et l’intensité d’exploitation d’un lieu accueillant plus de neuf millions de visiteurs par an.
Le numérique, maillon faible de la sûreté patrimoniale
Le rapport de l’ANSSI met en évidence un risque majeur : l’interconnexion des réseaux bureautiques et des systèmes de sûreté. Une architecture qui, en cas d’intrusion, ouvrait la voie à des manipulations physiques à partir d’un accès informatique.
Ce cas illustre un enjeu plus large : dans les établissements patrimoniaux comme dans les infrastructures complexes, la cybersécurité n’est plus un domaine séparé de la sûreté – elle en est désormais un pilier.
