Le 19 octobre, des voleurs ont pénétré par une fenêtre du deuxième étage à l’aide d’un monte-meubles et ont dérobé huit bijoux. Si les alarmes ont bien fonctionné et que la police est arrivée en trois minutes, l’incident a déclenché un audit complet de la sécurité physique. En toile de fond, la cybersécurité du Louvre apparaît elle aussi défaillante, à la lumière d’anciens rapports qui refont surface. L’IGAC a livré des premières conclusions (gouvernance renforcée, caméras supplémentaires, mise à jour des protocoles d’ici fin d’année), tandis que des audits antérieurs pointaient déjà des faiblesses structurelles.
Ce que disaient déjà les audits : des failles basiques, mais critiques
2014 : systèmes obsolètes et mots de passe triviaux
Un audit de l’Anssi aurait constaté la présence de Windows 2000 sur le réseau bureautique — un système non supporté depuis 2010 — ainsi que des mots de passe par défaut : un serveur de vidéosurveillance protégé par « Louvre », une application Thales par « Thales ». Recommandations : mots de passe robustes, migration vers des versions supportées, correction des failles connues.
2017 : dette technique confirmée
Un audit de l’INHESJ évoquait encore des postes sous Windows 2000 et XP (support terminé en 2014), sans mises à jour antivirus, ni verrouillage de session. Autrement dit : une surface d’attaque élargie sur des systèmes clés opérationnels.
Vidéosurveillance : empilement de solutions, fin de support et angles morts
Vingt ans de dette technique ont produit un patchwork : vidéosurveillance analogique et numérique, détection d’intrusion, contrôle d’accès, serveurs dédiés et applications propriétaires.
Exemple cité : Sathi (Thales), installé en 2003, non supporté depuis 2019. Une instance tournait sur Windows Server 2003 (support expiré en 2015). Même si rien ne relie formellement ces éléments au cambriolage d’octobre, l’IGAC souligne des failles systémiques : surveillance insuffisante et sous-estimation du risque d’intrusion depuis 20 ans.
Pourquoi la cybersécurité du Louvre doit avancer au même rythme que la sûreté
La sécurité physique (barrières, patrouilles, vitrines, caméras) et la cybersécurité (réseaux, serveurs, SI de sûreté, identités) sont indissociables.
-Un SI de sûreté obsolète peut désactiver ou aveugler la vidéosurveillance par simple exploitation logicielle.
-Des mots de passe faibles ou comptes partagés facilitent l’escalade de privilèges.
-La fin de support multiplie les CVE non corrigées : l’attaquant n’a plus qu’à répliquer des exploits publics.
En bref : la cybersécurité du Louvre est un maillon opérationnel de la protection des œuvres, autant que les sas, les rondes ou les détecteurs.
Ce qu’il faut retenir
-Le vol récent a mis en lumière une cybersécurité du Louvre fragilisée par une dette technique de longue date.
-Les audits 2014/2017 pointaient déjà des OS obsolètes et des mots de passe faibles : des failles faciles à corriger, mais jamais prioritaires.
-La priorité n’est pas la « perfection », mais une réduction rapide du risque : inventaire, patch, segmentation, IAM/PAM, supervision.
-La sécurité physique et la cybersécurité doivent être pilotées ensemble – sinon, le plus faible des deux dicte le niveau de protection.
Liens externes utiles (sources)
–Quand un rapport de l’ANSSI révélait les défaillances cyber du Louvre — Silicon
–“Louvre” en mot de passe ? Failles informatiques épinglées — Les Numériques.
Merci d’avoir lu. Si ce sujet vous a été utile, partagez l’article et abonnez-vous à nos actus. Pour aller plus loin : lisez nos derniers articles:
-WSUS CVE-2025-59287 : attaque RCE en cours.
-Apple Starlink iPhone : vers une alliance historique entre Apple et Elon Musk.
Votre avis compte. Dites-nous en commentaire ce que vous pensez du sujet et des garde-fous à mettre en place.
Partagez l’article si vous l’avez trouvé utile — ça nous aide beaucoup.