Le plus grand musée du Monde, la cybersécurité la plus vulnérable ? Analyse juridique d’un choc patrimonial 

Publié par le dans | Consulté 8 Fois

par Romane GRILLET, étudiante du Master 2 Droit des communications électroniques

« Le vol de joyaux de la Couronne est, à n’en pas douter, un signal d’alarme assourdissant sur le rythme très insuffisant » de rénovation des équipements de sécurité du musée, a déclaré ce jeudi 6 novembre 2025 Pierre Moscovici, le premier président de la Cour des comptes. 

En effet, le 19 octobre 2025, le « casse du siècle » s’est déroulé au musée du Louvre. En à peine sept minutes, quatre malfaiteurs ont pénétré dans la galerie d’Apollon à l’aide d’un monte-charge monté sur un camion et ont emporté huit joyaux de la Couronne pour un montant estimé à 88 millions d’euros. Si l’audace de ce cambriolage fascine, ce sont les révélations liées aux failles de sécurité, physiques comme numériques, qui interrogent sur la capacité d’une institution culturelle majeure à protéger un patrimoine d’intérêt national. 

Ce constat interroge sur la cybersécurité des institutions patrimoniales et pose notamment la question centrale de savoir comment une institution aussi emblématique et mondialement connue, censée protéger le patrimoine culturel national, peut se retrouver exposée à des risques numériques élémentaires, alors même que la sécurisation des infrastructures critiques constitue un enjeu essentiel du droit du numérique contemporain.

Un constat accablant : entre failles numériques et insuffisances structurelles révélées par le braquage

Selon certaines sources, notamment le journal « Libération », le mot de passe du système de vidéosurveillance du Louvre n’était autre que « Louvre » et, de même, un logiciel développé par la société Thalès pour la gestion des caméras était protégé par le mot de passe « Thalès ». De simples chaînes textuelles, sans chiffres ou caractères spéciaux et se rattachant directement à l’objet, ce qui est tout à fait inacceptable pour la sécurité de l’institution.

De plus, l’ANSSI a en effet signalé que l’on pouvait, depuis des postes bureautiques du réseau, prendre le contrôle des systèmes de sécurité tels que la vidéosurveillance ou le contrôle d’accès, éléments pouvant faciliter la préparation d’un braquage comme celui-ci. 

À ces failles de mots de passe s’ajoute l’obsolescence technologique que l’on constate à travers certains serveurs essentiels qui fonctionnaient toujours sous Windows 2000, système d’exploitation qui n’est plus supporté et ne reçoit plus de mises à jour de sécurité. Elle concernait également des postes sous Windows XP et des logiciels de sécurité comme le logiciel « Sathi » de Thalès qui n’étaient plus maintenus. 

Enfin, on peut noter une déficience concernant la couverture de vidéosurveillance avec seulement 39% des salles du musée qui étaient équipées de caméras en 2024 selon la Cour des comptes. Certaines zones clé, comme l’aile Richelieu, en étaient largement dépourvues. 

Des failles qui étaient donc connues, constatées et même documentées, alors que le musée est soumis à un cadre juridique concernant la protection du patrimoine qu’il englobe.

Le cadre juridique applicable : entre obligations de protection du patrimoine et exigences croissantes en cybersécurité 

Le vol s’inscrit dans un contexte juridique où la cybersécurité, la protection du patrimoine et la gouvernance numérique sont de plus en plus encadrés mais où subsistent des lacunes notables concernant les institutions culturelles. 

Un musée tel que le Louvre, en tant qu’établissement public administratif, se voit imposer des obligations de protection et de conservation du patrimoine que l’on retrouve au sein du code du patrimoine, notamment avec l’article 1er qui fonde l’exigence de sécurité dans toutes ses dimensions. Bien que ce code ne contienne pas de dispositions explicitement dédiées à la cybersécurité des musées, c’est son interprétation qui conduit à intégrer la dimension numérique dans la protection. Ainsi, la sécurisation des accès, des systèmes informatiques et des dispositifs de surveillance constitue un prolongement nécessaire des obligations de ces obligations au sens du droit. 

Au-delà des obligations directement liées au patrimoine, les institutions doivent respecter une obligation générale de sécurité adaptée aux risques. Par exemple, la simplicité des mots de passe contrevient à l’article 32 du RGPD qui impose des mesures techniques et organisationnelles appropriées pour la protection des données, notamment celles des images de vidéosurveillance qui sont des données à caractère personnel. La CNIL pourrait sanctionner le musée avec une amende allant jusqu’à 20 millions d’euros ou représentant 4% du chiffre d’affaires annuel en cas de manquement. A titre d’exemple, l’autorité l’a déjà fait en janvier 2024 avec une sanction infligée à Amazon qui comprenait une insuffisance des contrôles d’accès des systèmes de vidéosurveillance. 

De plus, les recommandations de l’ANSSI, bien qu’indicatives, constituent une référence incontournable en matière de bonnes pratiques dans les infrastructures sensibles telles que le musée du Louvre. 

Les réponses institutionnelles et les perspectives de régulation numérique envisagées 

Les autorités ont engagé une réponse immédiate afin de renforcer la sécurité du Louvre, mêlant mesures techniques d’urgence et révision de la gouvernance. L’inspection générale des affaires culturelles (IGAC) a formulé des recommandations poussant le ministère de la Culture à accélérer la modernisation des protocoles, à renforcer la direction de la sûreté numérique et à étendre la couverture de vidéosurveillance. Ces mesures sont censées répondre à une nécessité évidente, celle de replacer la cybersécurité au cœur de la stratégie institutionnelle et non plus comme un simple volet d’appui technique. 

Au-delà de la réaction immédiate, l’affaire a ouvert une réflexion sur l’opportunité d’un cadre normatif plus exigeant pour les musées sensibles, potentiellement aligné sur les standards imposés par la Directive NIS 2 n°2022/2555 applicable aux entités essentielles. Une telle évolution permettrait d’imposer des obligations renforcées en cybersécurité avec par exemple l’utilisation de systèmes à jour, des politiques de gestion des accès robustes et une gouvernance numérique encadrée par l’ANSSI davantage prescriptive que consultative.

Il faut également noter que les ambitions technologiques nouvelles, telles que le recours à des outils d’intelligence artificielle pour la surveillance, devront se conformer au cadre européen, notamment l’IA Act et les exigences de protection des données personnelles. 

Le patrimoine national constitue une richesse d’intérêt général, sa protection appelle donc un cadre normatif cohérent, actualisé et à la hauteur des risques contemporains. 

Sources :