Constats issus d’audits et de documents d’appels d’offres
Des documents confidentiels consultés par CheckNews et le service de fact-checking de Libération indiquent que le musée du Louvre fait face à des vulnérabilités informatiques importantes depuis plus d’une décennie. Des postes affichent Windows 2000, un mot de passe jugé faible pour accéder à la vidéosurveillance et des logiciels de sécurité qui ne peuvent pas être mis à jour, selon les sources examinées.
À la suite d’un cambriolage spectaculaire survenu le 19 octobre, Rachida Dati a affirmé que « les dispositifs de sécurité n’avaient pas failli ». Dix jours plus tard, la ministre de la Culture a reconnu « des failles sécuritaires » et annoncé un audit approfondi pour comprendre comment un tel incident avait pu se produire. Les documents accumulés sur plus de dix ans suggèrent toutefois que les signaux d’alerte existaient déjà.
Signaux d’alerte et retours d’expérience
En 2014, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a été dépêchée sur place et a démontré la perméabilité du réseau en s’introduisant via de simples postes de travail. Le constat relevait des mots de passe peu robustes comme LOUVRE ou THALES, des serveurs obsolètes et des systèmes non mis à jour. L’Anssi a recommandé d’accroître la complexité des accès, de migrer vers des logiciels récents et de mieux cloisonner les réseaux. Aucune indication ne laisse penser que ces conseils aient été suivis.
Trois ans plus tard, un nouvel audit de sûreté répétait le même diagnostic, évoquant des « grosses carences »: technologies vieillissantes, maintenance partielle et failles persistantes dans les dispositifs de surveillance et de contrôle d’accès. En 2017, les experts avertissaient que le musée pourrait subir une atteinte aux conséquences dramatiques, même si l’établissement avait, à ce moment, été en partie épargné.
Équipements et logiciels en déclin
Des documents techniques publiés entre 2019 et 2025 indiquent que plusieurs outils de sécurité ne peuvent plus être mis à jour. Parmi eux figure Sathi, une solution de vidéoprotection développée par Thales et acquise en 2003, qui n’est plus suivie par son éditeur mais reste utilisée au Louvre. Un appel d’offres daté de 2025 mentionne explicitement ces logiciels comme ne pouvant pas être mis à jour.
Certains serveurs continuent de fonctionner sous Windows Server 2003, un système abandonné par Microsoft depuis 2015. Ces obsolescences successives fragilisent un dispositif déjà complexe et largement vieillissant.
Audits récents et appel à la modernisation
Fin 2024, la préfecture de police de Paris a lancé un nouvel audit du système de sûreté. Le commissaire Vincent Annereau, responsable de l’étude, a déclaré que l’outil informatique a besoin d’être profondément modernisé. Pour l’heure, ni le Louvre, ni la préfecture ni le Ministère de la Culture n’ont souhaité commenter.
