Un cambriolage qui met le SI du Louvre sous les projecteurs

Le récent cambriolage du musée du Louvre a agi comme un révélateur brutal des failles organisationnelles et techniques de l’établissement. Après les critiques portant sur la cybersécurité, c’est désormais la Cour des comptes qui, dans son rapport consacré au musée pour la période 2018-2024, pointe un « retard préoccupant en matière de système d’information », en cours de rattrapage mais encore loin des standards attendus pour une institution de cette envergure.

Un sous-investissement numérique jugé structurel

Selon la Cour des comptes, le numérique n’a pas été traité comme un axe stratégique au Louvre. Des efforts ont bien été réalisés, notamment la mise en ligne des collections en 2021, mais ils s’inscrivent dans un contexte de « sous-investissement chronique » sur le volet SI.

Sur le plan budgétaire, le constat est sans appel : entre 2018 et 2022, les dépenses annuelles consacrées au système d’information ont plafonné autour de 5 M€. À partir de 2023, ce budget a été porté à plus de 6 M€, un niveau que la Cour qualifie néanmoins de « structurellement faible » au regard des enjeux. La stratégie numérique décidée en 2018 n’a généré, in fine, qu’un surplus d’investissement d’environ 2 M€ étalés sur sept ans, ce qui reste très en deçà des besoins d’un SI moderne, résilient et sécurisé.

Des applications métiers obsolètes remplacées dans l’urgence

Ce manque d’investissement se traduit directement dans le parc applicatif. La Cour relève un réveil tardif à partir de 2022, lorsque l’obsolescence de plusieurs applications métiers est devenue critique.

• Gestion financière : l’outil en place datait de 1995 et n’était plus supporté par son éditeur. La nouvelle solution n’a été mise en production qu’au 1^er janvier 2024. Dès son déploiement, des anomalies importantes ont été constatées, ralentissant l’activité et retardant le traitement des paiements.
• Billetterie : le système précédent, installé en 2012, a été remplacé par une solution plus récente mise en production début 2025 pour les visiteurs individuels. Là encore, la migration intervient après une longue période d’utilisation d’un outil vieillissant.
• Gestion des collections : deux outils distincts, l’un datant de 1989 et l’autre de 2011, doivent être fusionnés au sein d’un système unifié à partir de mi-2026. Ce chantier illustre l’ampleur du retard pris sur des fonctions pourtant centrales pour un musée.

L’ensemble dessine une trajectoire de modernisation subie plutôt que pilotée, avec des mises à jour lancées lorsque l’obsolescence ne laisse plus d’alternative, au risque de dégrader temporairement l’activité opérationnelle.

Un pilotage SI éclaté, sans véritable DSI

Au-delà des choix technologiques, la Cour des comptes souligne un problème de gouvernance : le Louvre ne dispose pas d’une direction des systèmes d’information à part entière.

La responsabilité du numérique est confiée à une sous-direction rattachée à la direction financière, juridique et des moyens. Cette entité regroupe 23 agents répartis en six petits services. Quatre d’entre eux suivent les principaux applicatifs métiers (gestion des collections, billetterie, finances, ressources humaines). Les deux autres sont chargés, respectivement, de l’entretien du parc informatique (matériel et logiciel) et des infrastructures réseaux (administration système, sécurité).

Pour la Cour, cette organisation ne permet pas d’assurer un pilotage stratégique des systèmes d’information et du numérique. Elle recommande la création d’« une véritable direction des systèmes d’information et du numérique » dans le cadre du prochain schéma directeur des SI, afin de structurer la vision, les priorités d’investissement et la maîtrise des risques.

Cybersécurité : un RSSI nommé tardivement

Sur le volet cybersécurité, la juridiction constate quelques avancées mais souligne un décalage entre les risques et les mesures prises.

Une démarche de cartographie des risques numériques a été engagée à partir de 2021, ce qui constitue un premier socle. Cependant, il a fallu attendre avril 2024 pour qu’un RSSI (Responsable de la sécurité des systèmes d’information) soit nommé à temps plein, et ce, sous la pression des Jeux olympiques de Paris. Auparavant, cette fonction était assurée en plus d’autres missions par le chef du service système, réseau et sécurité.

La Cour salue cette évolution mais la considère comme insuffisante au regard du contexte de menace cyber qui pèse sur les grandes institutions culturelles. Elle appelle le musée à renforcer ses dispositifs de protection et de gestion de crise.

Des chantiers prioritaires : astreinte, PCA/PRA et gouvernance renforcée

Dans ses recommandations, la Cour des comptes insiste sur la nécessité pour le Louvre d’aller au-delà des premières mesures déjà engagées. Plusieurs chantiers sont jugés prioritaires :

• Mettre en place un service d’astreinte dédié à la gestion des incidents numériques majeurs ;
• Définir et tester une politique de plan de continuité d’activité (PCA) et de plan de reprise d’activité (PRA) adaptée aux risques pesant sur le musée ;
• Clarifier la gouvernance du numérique et de la sécurité, en alignant le SI sur les enjeux stratégiques, financiers, culturels et de sûreté de l’établissement ;
• Inscrire les investissements SI dans une trajectoire pluriannuelle, pour sortir de la logique de rattrapage au profit d’une approche anticipatrice et structurée.

Le cas du Louvre illustre un enjeu plus large : sans gouvernance claire ni investissement soutenu, un système d’information devient un facteur de vulnérabilité, y compris pour le cœur de mission culturelle. Le renforcement du pilotage SI, de la cybersécurité et des plans de continuité n’est plus un sujet technique, mais un impératif stratégique pour la pérennité et la crédibilité des grandes institutions publiques.

Source : rapport de la Cour des comptes sur le musée du Louvre (exercices 2018-2024).