Cybersécurité du Musée du Louvre : un débat tronqué

La Cour des comptes vient de publier son rapport sur la gestion de l’établissement public du Musée du Louvre entre 2018 et 2024. Très attendu, notamment à la suite du cambriolage du 19 octobre, ce rapport pointe un « retard préoccupant en matière de systèmes d’information en cours de rattrapage », avec notamment un « sous-investissement chronique ».

On y apprend notamment que c’est en 2021 qu’une démarche de cartographie des risques a été lancée. Sans surprise, « les risques d’attaques informatiques externes sont ceux ayant reçu la cotation la plus élevée en termes d’impact et de probabilité ».

Le rapport révèle que « le recrutement d’un responsable de la sécurité des systèmes d’information (RSSI), prévu dans le plan d’action de la carte des risques, a pu se concrétiser en avril 2024, dans le contexte de préparation des Jeux olympiques et de tentatives récurrentes de fraudes à la billetterie ».

Avant cela, les missions correspondantes étaient « prises en charge par le chef de service système réseau et sécurité ». Selon les informations à notre disposition, ce dernier est resté en poste de novembre 2016 à juin 2023.

Nous avons retrouvé la trace d’une annonce du Musée du Louvre, le 5 juin 2023, pour le recrutement de son RSSI. Alors, donc, que son chef de service système réseau et sécurité était activement sur le départ. Le 29 décembre 2023, l’établissement public publiait une autre annonce, cherchant manifestement toujours son RSSI. Derrière la question de la cybersécurité du Louvre se cache peut-être aussi une question de gestion des ressources humaines.

Les révélations de nos confrères de Libération sur la cybersécurité du Louvre, qui pointent notamment deux audits de l’Agence nationale de la sécurité des systèmes d’information (Anssi) en 2014 et 2017, n’ont pas manqué de provoquer des débats animés, sur les mots de passe et la gestion de l’obsolescence.

Mais sans connaissance de la topologie du système d’information, et plus généralement des mesures susceptibles d’avoir été mises en place pour protéger les systèmes concernés, il est difficile de juger la véritable gravité de ce qui, superficiellement, pourrait paraître très préoccupant.

De nombreux connaisseurs l’ont relevé sur les réseaux sociaux : « si c’est en circuit fermé, peu importe le système, à moins de soupçonner les employés. Il y a plein de vieux systèmes comme ça dans l’industrie. Ils ne sont tout simplement pas connectés à l’extérieur et font très bien le job ».

L’ancien chef de service système réseau et sécurité du musée l’a lui-même relevé, indiquant à quand remonte le premier audit en question, et soulignant qu’il s’agissait d’un « réseau fermé », non exposé au risque d’intrusion logique. Et d’expliquer que « la mitigation du risque sur des PC isolés, dans des locaux sécurisés, dans des zones sécurisées, sans accès externe, sans Internet, en vase clos, sur une infra[structure] matérielle dédiée et isolée, ça enlève un certain nombre de risques ».

Lui, qui est donc arrivé entre les deux audits, insiste en outre : « beaucoup de choses ont été faites depuis ».