top of page
Rechercher

Louvre : deux incidents, une même faille organisationnelle


ree

Introduction : quand la structure révèle les vulnérabilités

Moins d'un mois après le braquage du 19 octobre 2025, deux TikTokeurs belges parvenaient à accrocher leur tableau dans la salle des États, à proximité de la Joconde. Deux incidents radicalement différents, deux profils de malveillants sans lien apparent, deux réponses de sécurité qui se sont avérées insuffisantes.

Pourtant, ces deux incidents ne sont pas deux accidents malheureux. Ils révèlent une vérité organisationnelle dérangeante : le Louvre n'avait pas de gouvernance convergente sécurité-sûreté-cyber. Et cette absence de convergence a créé exactement les conditions pour que deux menaces totalement différentes exploitent les mêmes failles systémiques.

C'est précisément le diagnostic que pose CARINEL depuis des années : lorsqu'une institution cloisonne ses responsabilités de protection en silos étanches, les vulnérabilités s'accumulent dans les zones d'interface. Et les malveillants, eux, n'hésitent jamais à les exploiter.


Une séparation organisationnelle documentée

La preuve structurelle : trois mondes qui ne communiquent pas

Le Louvre n'est pas une institution amorphe. Elle dispose d'organigrammes, de responsabilités définies, et de chaînes de commandement claires. C'est justement le problème.

La Direction de l'Accueil du Public et de la Surveillance, dirigée par Dominique Buffin, regroupe environ 950 agents. Ses responsabilités : assurer l'accueil, la sécurité, la délivrance des titres d'accès, et surtout assurer la sûreté des collections nationales.

À côté de cette structure massale, une sous-direction minuscule des systèmes d'information (SDSI) compte environ 23 agents, rattachée non pas à la Direction de la Surveillance, mais à la Direction financière, juridique et des moyens. Elle gère les aspects informatiques, les réseaux, les télécommunications et progressivement, de manière presque accidentelle, la sécurité informatique.


Analyse CARINEL : 950 agents d'un côté, 23 de l'autre. Deux directions différentes. Zéro pont organisationnel. Cela s'appelle un cloisonnement.

Cette fragmentation structurelle n'est pas innocente. Elle signifie que personne n'a la responsabilité transversale de dire : "Et si un attaquant physique utilisait les failles cyber pour déverrouiller les vitrines ? Et si une cyberattaque désactivait la surveillance ?" Ces questions convergentes n'avaient simplement pas de destinataire.


La preuve cyber : un RSSI qui n'existait pas

Sept ans sans responsable de cybersécurité dédié

Pour une institution du calibre du Louvre, un RSSI (Responsable de la Sécurité des Systèmes d'Information) n'est pas un luxe. C'est une fonction structurante. Or, le Louvre en a été privé pendant environ sept ans.

Entre novembre 2016 et juin 2023, la fonction de RSSI était "prise en charge par le chef de service système réseau et sécurité". Traduction : un technicien qui gérait les serveurs était aussi censé orchestrer la stratégie cyber du musée le plus visité du monde. Logiquement, c'était l'une ou l'autre, jamais les deux.

Le 5 juin 2023, le Louvre a publié une annonce pour recruter son RSSI. Puis une autre le 29 décembre 2023. Ce n'est qu'en avril 2024 qu'un RSSI à temps plein a enfin été nommé.

Calcul simple : avril 2024 à octobre 2025 = 18 mois seulement entre la nomination et le braquage. Dix-huit mois pour qu'une fonction critique s'établisse, crée ses procédures, ses rapports de sûreté, et surtout, crée des liens de gouvernance avec la Direction de la Surveillance. C'était manifestement insuffisant.


La preuve historique : les audits ANSSI oubliés

Une décennie d'alertes sans suite

En décembre 2014, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a mené un audit du réseau de sûreté du Louvre. Le rapport de 26 pages aux conclusions alarmantes. Dix ans plus tard, en 2024, la Cour des comptes confirme : les failles identifiées en 2014 n'avaient jamais été correctement traitées.

Pourquoi ? Parce qu'un audit cyber adressé à une sous-direction IT minuscule, sans lien avec la Direction de la Surveillance, sans escalade organisationnelle claire, c'est un audit qui meurt en arrivant.

Si le RSSI avait existé, s'il avait eu le statut de membre de la gouvernance générale du Louvre, s'il avait participé aux réunions de Comité de sûreté, peut-être que cet audit 2014 aurait déclenché des réponses structurelles au lieu de rester en fiches techniques oubliées.

C'est l'une des lois silencieuses des organisations : ce qui n'est pas gouverné ensemble se dégrade ensemble.


La preuve ultime : la création du coordonnateur sûreté post-braquage


Un aveu involontaire

Dans les jours qui ont suivi le braquage de la Galerie d'Apollon, le Louvre a annoncé ses mesures correctives. Parmi elles, la création d'un nouveau poste : "Coordonnateur Sûreté", directement rattaché à la Présidence du musée. Ce coordonnateur aura la charge de "coordonner les actions et mesures de toutes les directions concernées en matière de sûreté, sur le terrain, dans le domaine des équipements techniques ou de l'informatique".

Pensez-y. Pourquoi créer ce poste maintenant s'il n'était pas nécessaire avant ? Pourquoi cette fonction de "coordinateur transversal" n'existait-elle pas déjà ?

La réponse est simple : cette fonction n'existait pas, parce que la convergence n'existait pas.

Créer ce poste post-braquage, c'est une admission involontaire : la structure précédente n'avait pas de gouvernance convergente.


Analyse CARINEL : comment l'absence de convergence a créé deux opportunités


Incident 1 : le braquage du 19 octobre (sûreté physique)

Le braquage a exploité des vulnérabilités bien documentées : effectifs réduits (190 postes supprimés en 10 ans), caméras manquantes (un tiers des salles sans surveillance), confusion organisationnelle entre urgence sécurité et urgence sûreté.

Mais pourquoi personne n'a activé de procédure convergente ? Parce qu'il n'y en avait pas. La Direction de la Surveillance avait ses procédures. L'équipe informatique avait les siennes. Sans coordination, sans RSSI intégré à la gouvernance, sans comité de crise transversal, l'institution a réagi en silos.


Incident 2 : les TikTokeurs du 15 novembre (sûreté-cyber combinée)

Neal et Senne ont utilisé un cadre LEGO démontable pour passer le scanner de sécurité. Ils ont utilisé la confusion des horaires de fermeture (annonce à 17h30, fermeture progressive des salles) pour agir. Ils ont exploité le flux touristique dense pour se fondre dans la foule.

Mais pourquoi les mesures renacées depuis octobre n'ont-elles pas tenu ? Probablement parce qu'elles ont traité le symptôme (plus de caméras, plus d'effectifs) sans traiter la cause : l'absence de gouvernance convergente qui aurait dit "ce type de contournement est possible, créons un protocole transversal pour le détecter."


Ce que révèlent ces incidents selon nos méthodologies


Red Traffic Analyses (RTA)

Notre approche RTA consiste à analyser les interactions entre vulnérabilités sécurité et menaces sûreté. Appliquée au Louvre, elle révèle :

  • Vulnérabilités sécurité exploitables : Absence de caméras, effectifs réduits, horaires de fermeture non optimisés. Aucun système n'était conçu pour détecter une intrusion organisée, ni pour l'évaluer en temps réel en mettant en alerte la cybersécurité.

  • Failles de gouvernance générant des risques : Pas de comité de crise unifiée sécurité-sûreté-cyber. Pas de procédure de remontée d'alerte transversale. Pas de chef d'orchestre capable de dire "attendez, si le système d'accès cyber a détecté une tentative d'intrusion, avons-nous alerté la sûreté physique ?"

  • Points de convergence manqués : Le système de contrôle d'accès aurait pu servir à la fois de protection contre les intrusions malveillantes ET de sécurité incendie. Mais pour cela, il aurait fallu une gouvernance unique. Or elle n'existait pas.


Security Circle Model (SCM)

Notre modèle SCM organise la protection en cercles concentriques : veille externe, contrôle et protection intermédiaire, protection rapprochée des actifs critiques.

Le Louvre fonctionnait avec des cercles non connectés :

  • Cercle de surveillance physique : caméras, agents, procédures d'entrée-sortie

  • Cercle cyber : firewall, authentification, logs système

  • Ces deux cercles ne communiquaient pas. Pas de fusion d'alertes. Pas de scénario conjoints.


Recommandations pratiques pour les institutions patrimoniales

Si vous dirigez un musée, une galerie, un site culturel, voici ce que le Louvre démontre par ses failles :


1. Nommez un Chief Risk Officer transversal

Pas juste un directeur de sûreté. Quelqu'un qui rend compte à la direction générale et qui a l'autorité de coordonner sécurité physique, sûreté et cybersécurité. Le Louvre a créé ce rôle après coup. Vous, créez-le maintenant.

2. Fusionnez votre gouvernance de crise

Créez un comité unifié qui se réunit régulièrement, pas au moment de la crise. Ce comité doit inclure responsable sécurité, responsable sûreté, RSSI, directeur financier. Chacun parle le même langage : les risques et les interactions.

3. Auditez vos zones d'interface

Où la sécurité physique rencontre la cybersécurité ? À ces points chauds : contrôle d'accès, surveillance vidéo, systèmes d'alarme. Assurez-vous qu'une faille cyber ne crée pas une vulnérabilité physique, et vice-versa.

4. Testez vos réponses de crise en mode convergent

Ne testez pas "et si un incendie ?" et "et si une cyberattaque ?" séparément. Testez "et si une cyberattaque désactive l'alarme incendie ?" C'est là que les vraies failles apparaissent.

5. Mesurez votre niveau de convergence

Utilisez le diagnostic CARINEL : vos équipes se réunissent-elles régulièrement ? Votre budget est-il mutualisé ou en silos ? Vos effectifs sont-ils formés aux interactions ? Vos procédures d'urgence sont-elles coordonnées ?


Conclusion : de la faille à la résolution

Le Louvre a compris. La création d'un Coordonnateur Sûreté transversal le prouve. Mais cela a pris un braquage et une intrusion pour arriver à cette conclusion.

Vous n'êtes pas obligé d'attendre une crise pour refondre votre gouvernance. Les deux incidents de novembre 2025 au Louvre ne sont pas des anomalies. Ils sont des symptômes d'une maladie organisationnelle bien connue : le cloisonnement des responsabilités de protection.


CARINEL accompagne les institutions qui souhaitent construire une gouvernance convergente avant la crise. Nos méthodologies Red Traffic Analyses et Security Circle Model ne sont pas théoriques. Elles sont nées d'années de missions dans des sites où chaque département protège son périmètre sans voir l'institution dans sa globalité.

La question n'est pas technique. Elle est organisationnelle. Et elle commence par cette simple décision : qui coordonne la protection globale ?


Contactez nos experts CARINEL

Diagnostiquez votre niveau de convergence sécurité-sûreté-cyber.

📞 Échange téléphonique : 01 89 71 59 06

📋 Mail : info@carinel.com


CARINEL – Experts en sécurité physique et sûreté convergente

Références

  1. Presse Louvre - Nomination Dominique Buffin (janvier 2024)

    Direction de l'Accueil du Public et de la Surveillance (950 agents)

    https://presse.louvre.fr/dominique-buffin-nommee-directrice-deleguee-de-la-direction-de-laccueil-du-public-et-de-la-surveillance/

  2. Le Monde Informatique - Rapport Cour des comptes (novembre 2025)

    Gouvernance IT du Louvre (SDSI 23 agents, sous-investissement chronique)

    https://www.lemondeinformatique.fr/actualites/lire-la-cour-des-comptes-expose-les-errements-it-du-louvre-98432.html

  3. Question écrite au Sénat (novembre 2025)

    Alerte sur 190 postes supprimés sécurité/surveillance (15% des effectifs)

    https://www.senat.fr/questions/base/2025/qSEQ25100751S.html

  4. LeMagIT - Cybersécurité du Louvre (novembre 2025)

    RSSI absent (nov 2016 → juin 2023), recrutement juin 2023 et décembre 2023, nomination avril 2024

    https://www.lemagit.fr/actualites/366634294/Cybersecurite-du-musee-du-Louvre-un-debat-tronque

  5. Silicon.fr - Audit ANSSI (novembre 2025)

    Audit 2014 (26 pages), rapport ANSSI révélant vulnérabilités majeures

    https://www.silicon.fr/business-1367/quand-un-rapport-de-lanssi-revelait-les-defaillances-cyber-du-louvre-224261

  6. Rapport Cour des comptes - Établissement public musée du Louvre (novembre 2025)

    Recrutement RSSI avril 2024, sous-direction IT rattachée à direction financière

    https://www.ccomptes.fr/sites/default/files/2025-11/20251106-Etablissement-public-musee-du-Louvre.pdf

  7. CARINEL - Blog sécurité (octobre 2025)

    Cambriolage au Louvre : analyse sécurité-sûreté

    https://www.carinel.com/post/braquage-louvre-analyse-securite-surete

  8. CNEWS - TikTokeurs Louvre (novembre 2025)

    Incident 15 novembre 2025, cadre LEGO démontable, contournement sécurité

    https://www.cnews.fr/france/2025-11-15/louvre-deux-tiktokeurs-expliquent-comment-ils-ont-dejoue-la-securite-pour

  9. Le Monde Informatique - Cybersécurité post-braquage (novembre 2025)

    Audits ANSSI 2014 et 2017, Windows obsolètes, mots de passe faibles

    https://www.lemondeinformatique.fr/actualites/lire-la-cybersecurite-du-louvre-en-question-apres-le-cambriolage-98399.html

  10. Siècle Digital - Audit accablant ANSSI (novembre 2025)

    26 pages audit 2014, vulnérabilités critiques ignorées 10 ans, rapports confidentiels

    https://siecledigital.fr/2025/11/05/securite-numerique-du-louvre-un-audit-accablant-refait-surface/

 
 
 

Commentaires

bottom of page