Cybersécurité du Louvre : des mots de passe inacceptables et des systèmes obsolètes !
Le spectaculaire cambriolage du 19 octobre 2025 au musée du Louvre n'a pas seulement mis en lumière des failles dans le système de sécurité physique : il a révélé des vulnérabilités importantes au niveau du système informatique. Derrière ses chefs-d’œuvre mondialement connus, l’institution culturelle la plus visitée du monde fonctionnait encore avec des systèmes obsolètes et des mots de passe à peine croyables…
Quand le mot de passe du Louvre était… LOUVRE
Une enquête menée par CheckNews (Libération) après le braquage de la Galerie d’Apollon du musée du Louvre a révélé que la sécurité informatique ne semblait pas être une priorité au sein de cette institution culturelle.
En effet, le réseau de sûreté du musée, censé protéger le système de gestion des accès, des alarmes, de la vidéosurveillance et de la gestion des badges, reposait sur des mots de passe d’une faiblesse déconcertante.
L'ANSSI (Agence nationale de la sécurité des systèmes d’information), qui avait audité l’infrastructure dès 2014, avait déjà tiré la sonnette d’alarme : certains serveurs critiques, dont celui dédié à la vidéosurveillance, étaient protégés par un mot de passe que n'importe qui pourrait deviner : LOUVRE, tout simplement. C'est l'exemple typique du mot de passe à éviter. Dans le même esprit, l'accès à un logiciel de l'entreprise Thales était protégé par le mot de passe... THALES. Facile. Oui, un peu trop.
Dans ce contexte, les auditeurs de l'ANSSI avaient pu accéder à des équipements sensibles depuis un poste de travail connecté au réseau. Cela ouvrait la porte à la modification des accès, voire au contrôle des caméras.
Des systèmes obsolètes et vulnérables
Le constat ne s’arrêtait pas là. L’audit de 2014 avait également relevé la présence de systèmes obsolètes, notamment Windows 2000 et Windows XP, toujours en fonctionnement. Trois ans plus tard, un nouvel audit conduit par l’Institut national des hautes études de la sécurité et de la justice (INHESJ) pointait des failles identiques, évoquant une maintenance défaillante.
On pourrait se dire que depuis 2014 et 2017, la situation a évolué… Malheureusement non, puisque des documents techniques datés entre 2019 et 2025 ont confirmé que le Louvre n’avait pas modernisé ses infrastructures. Par exemple, 8 logiciels liés à la vidéosurveillance et aux contrôles d’accès restaient privés de toute mise à jour. Par exemple, un logiciel développé par Thales tournait sur un serveur Windows Server 2003, abandonné par Microsoft depuis le 14 juillet 2015.
Malgré les avertissements répétés de l’ANSSI et de l’INHESJ, le Louvre semble avoir repoussé sans cesse les investissements nécessaires à la sécurisation de son système informatique. Même si certaines faiblesses ne relèvent pas de l'investissement financier, mais plutôt d'une négligence de la part des équipes techniques.
Le cambriolage d'octobre 2025 n’est pas seulement une affaire criminelle : c’est aussi un cas d’école sur les dangers d’une cybersécurité négligée. Depuis plus de 10 ans, le Louvre semble mettre de côté les investissements liés à la sécurité, en particulier sur la partie informatique. Désormais, la situation de crise liée au braquage semble avoir forcé la direction du Louvre à passer à l'action...
Bonjour,
Malheureusement ces systèmes de vidéosurveillance, mais également de gestion technique de bâtiment, gestion d’accès bâtiment … sont souvent gérés par des services technique historiquement et qui n’a pas cette culture cyber à la différence des DSI.
Cordialement
On n’est plus en 2005, le personnel de vidéosurveillance doit être formé à la cybersécurité, d’autant plus que 80% que des caméras utilisent le réseau TCP/IP aujourd’hui.
C’est malheureux, ça va réagir en mode « pompier » donc les coûts ne seront pas les mêmes que si ils avaient fait les investissements au fur et à mesure des 10 ans.
Bonjour,
Souvent, les techniciens sont pleinement sensibilisés, mais la nécessité d’investir dans la sécurisation du SI n’est généralement pas une priorité pour les décideurs, jusqu’au jour où c’est trop tard.
Malheureusement, c’est l’équipe technique qui en fait les frais après.
+1
Mon cas actuellement en entreprise.
C’est mieux de mette des mots de passe simples quand on fait appel exclusivement a de la sous-traitance !
Pour avoir des employés compétents, il faut payer !
Et y’a pas d’argent puisqu’il faut rembouser la dette !
De l’argent il y en a au Louvre. Il s’agit juste de priorités d’investissements.
Quel est le rapport entre mot de passe simple et sous traitance ? Vous sous entendez que les sous traitants sont des idiot ? Quand bien même ce serait le cas un mot de passe complexe ne demande pas d’effort ou de compétence particulière pour être mit en place
Bonjour,
Beaucoup de bienveillance ici envers l’équipe technique et le management. Pourtant après 2 audits de sécurité… ce n’est même plus de l’incompétence… mais de la faute professionnelle à ce stade !
<>
On parle ici d’un établissement avec plus de 2200 agents (pas de direction informatique? pas de RSSI ?)
Le problème n’est pas les techniciens mais la direction souvent quand tu remonte sa on te dit-on n’a pas de budget et ça fonctionne et le jour où il y a vraiment un souci ba la direction vient pleurer je vois sa tous les jours on est obligé de maintenir du Windows nt et 3.1 pour des outils de prod …