Audits de cybersécurité au Louvre: des vulnérabilités historiques révélées par des documents confidentiels

Contexte et révélations issues d’audits

CheckNews, le service de fact-checking de Libération, s’appuie sur des audits confidentiels et des documents d’appels d’offres consultés pour dresser le portrait de la cybersécurité du musée du Louvre.

Depuis plus d’une décennie, des vulnérabilités de sécurité majeures sont décrites, allant de postes de travail sous des systèmes obsolètes à des mots de passe simples et à des logiciels de sécurité difficilement actualisés.

Éléments techniques et obsolescences

Des documents techniques publiés entre 2019 et 2025 indiquent que plusieurs logiciels de sécurité ne peuvent plus être mis à jour. Parmi eux, Sathi, outil de vidéoprotection développé par Thales et acquis en 2003, n’est plus maintenu par son éditeur mais demeure utilisé au Louvre. Un appel d’offres de 2025 le mentionne comme « logiciel ne pouvant pas être mis à jour ». Des serveurs tournent encore sous Windows Server 2003, système abandonné par Microsoft en 2015, et des ordinateurs fonctionnent sous Windows 2000. Cette chaîne d’obsolescence fragilise l’ensemble du dispositif.

Audits ANSSI et retours publics

En 2014, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été dépêchée sur place et a démontré une perméabilité du réseau à partir de simples postes de travail. Le constat relevait des mots de passe comme « LOUVRE » ou « THALES », des serveurs vieillissants et des logiciels non actualisés. L’ANSSI a recommandé de renforcer la complexité des accès, de migrer vers des logiciels récents et de mieux cloisonner les réseaux. Rien n’indique que ces conseils aient été suivis.

Trois ans plus tard, un nouvel audit de sûreté faisait état de « grosses carences »: technologies vieillissantes, maintenance partielle et failles persistantes dans les dispositifs de surveillance et de contrôle d’accès. En 2017, les experts avertissaient que le musée pourrait subir une atteinte aux conséquences dramatiques si les mesures n’étaient pas renforcées.

Réactions liées au cambriolage et contexte politique

À la suite du cambriolage spectaculaire du 19 octobre, la ministre de la Justice Rachida Dati a assuré que « les dispositifs de sécurité n’avaient pas failli ». Dix jours plus tard, la ministre de la Culture a reconnu « des failles sécuritaires » et annoncé un vaste audit pour comprendre comment l’incident avait pu se produire.

État fin 2024 et réactions officielles

Fin 2024, la préfecture de police de Paris a lancé un nouvel audit du système de sûreté. Le commissaire Vincent Annereau a déclaré que l’outil informatique avait besoin d’une modernisation profonde.

À ce stade, ni le Louvre, ni la préfecture ni le ministère de la Culture n’ont souhaité commenter ces informations.

Conclusion

Les documents consultés montrent que les signaux d’alerte existaient dès 2014 et que, huit ans plus tard, les failles de cybersécurité demeurent en partie non résolues, malgré les audits et les évaluations publiés au fil des années.