Responsable de la sécurité des systèmes d’information du musée du Louvre, Christophe Delpierre gère l’un des périmètres cyber les plus singuliers de France : neuf millions de visiteurs par an, des œuvres inestimables, des systèmes aussi divers que la billetterie, la climatisation des salles et les bases de données patrimoniales. Rencontre avec un RSSI qui a pris la mesure, au fil du temps, de ce que signifie vraiment protéger un symbole national.
Quel est votre périmètre de responsabilité exact au Louvre ?
Mon périmètre, c’est bien sûr le Louvre et tout ce qui concerne son système d’information. Mais nous échangeons régulièrement avec les entités liées comme le Louvre-Lens, l’École du Louvre, les Amis du Louvre, qui sont des structures indépendantes. La coordination existe, même si chacun reste maître de sa propre sécurité.
En quoi la cybersécurité d’un musée national diffère-t-elle fondamentalement de celle d’une entreprise privée ?
Une entreprise privée protège ses activités, ses données, son chiffre d’affaires. Nous, nous protégeons le patrimoine culturel mondial. Le Louvre n’existe pas pour faire du profit ; il existe pour partager et transmettre. Cette mission première influence chaque décision de sécurité. Quand vous fermez un accès pour le sécuriser, vous devez toujours vous demander si cela ne contredit pas cette vocation de partage. C’est un équilibre permanent, et assez unique.
Comment s’articule votre rôle avec la tutelle du ministère de la Culture et les exigences de l’ANSSI ?
Le Louvre est un établissement public à caractère administratif national, et à ce titre nous avons des échanges réguliers et très constructifs avec l’ANSSI, avec le chef du bureau des institutions publiques, ainsi qu’avec le HFDS et le FSSI du ministère de la Culture. Les référentiels de l’ANSSI sont une aide concrète dans notre démarche cyber. Nous avons construit une relation de confiance qui facilite vraiment le travail au quotidien. C’est un cadre exigeant, mais c’est aussi une ressource.
Vous accueillez 9 millions de visiteurs par an, gérez des œuvres inestimables… quelles sont vos priorités absolues en matière de protection ?
Show must go on. C’est ma priorité absolue et elle résume tout. Le musée doit ouvrir, accueillir, fonctionner, quoi qu’il arrive. La disponibilité des systèmes est un enjeu de premier plan. Derrière, il y a évidemment une stratégie de résilience, des plans de continuité, des procédures de crise. Mais l’état d’esprit, c’est celui-là : on ne ferme pas.
Quels sont les systèmes les plus critiques à sécuriser ?
Chaque équipement a son propre profil de risque. La billetterie est exposée à la fraude. Les bases de données des collections sont des cibles privilégiées pour les rançongiciels. Les systèmes de climatisation sont critiques pour la conservation des œuvres. Une défaillance peut faire varier l’hygrométrie et exposer les tableaux aux insectes ou à l’humidité, et créer des dommages parfois irréversibles. Les systèmes de protection physique, eux, garantissent la sécurité des visiteurs autant que celle des œuvres. Ce sont des univers très différents, qui demandent des approches spécifiques.
« Le Tricheur à l’as de carreau de Georges de La Tour symbolise l’hameçonnage. Les œuvres du Louvre sont une source d’inspiration pour parler de cybersécurité ».
La numérisation des œuvres et leur mise en ligne représentent-elles un risque ou un levier ?
Les deux, inévitablement. Tout ce qui est en ligne est une surface d’attaque. C’est une réalité qu’on ne peut pas contourner. Mais le patrimoine a vocation à être partagé et c’est la première mission du Louvre. Impossible d’y renoncer au nom de la sécurité. Ce qui soulève aussi des questions nouvelles sur l’IA… L’utilisation des données patrimoniales par les LLM pose des enjeux à la fois de droits d’auteur et de pertinence des informations restituées. On ne maîtrise pas toujours ce que l’IA fait de nos collections.
Le Louvre est-il une cible privilégiée pour l’hacktivisme, l’espionnage étatique et le ransomware ?
La menace est variée, et elle ne s’arrête pas aux portes du numérique. Sur les œuvres elles-mêmes, cela va des insectes aux activistes, en passant par l’humidité, les voleurs, les risques d’incendie ou de terrorisme. Sur le système d’information, cela va des menaces étatiques à la cybercriminalité, en passant par la menace interne. L’actualité géopolitique amplifie tout cela. Les Jeux Olympiques, la guerre en Ukraine, les tensions au Proche-Orient, etc., chaque grand événement est régulièrement associé à une vague de cyberattaques. Les attaques DDoS et le hameçonnage sont devenus notre quotidien. Mais pas seulement.
Avez-vous observé une recrudescence des tentatives d’intrusion ces dernières années ?
Après chaque événement national ou international d’ampleur, nous constatons, c’est vrai, une recrudescence des cyberattaques sur les musées nationaux, européens, voire internationaux. C’est quasi systématique. Le Louvre, en tant que symbole national, est une cible naturelle pour ceux qui veulent faire parler d’eux ou déstabiliser une institution française.
Comment gérez-vous la menace interne dans un établissement qui emploie des milliers de personnes aux profils très variés ?
Il y a les agents du musée, que nous sensibilisons en continu. Et il y a les prestataires, qui représentent un périmètre souvent sous-estimé. Pour les uns comme pour les autres, nous avons inclus dans chaque contrat des clauses cyber et des clauses d’audit. C’est un levier de responsabilisation. La sécurité ne s’arrête pas aux portes de la DSI.
Comment sensibilisez-vous des équipes aussi diverses (conservateurs, agents de sécurité, personnel administratif, etc.) ?
J’ai la chance d’avoir le soutien actif de la direction. Mme Des Cars d’abord, aujourd’hui M. Leribault. C’est remarquable, et ça change tout. Quand la direction porte la démarche cyber, les agents l’accueillent différemment. Concrètement, nous combinons de la sensibilisation en ligne et des sessions au sein des départements et des services. Et pour rendre le message concret, j’utilise les œuvres du Louvre elles-mêmes comme support de communication. Le Tricheur à l’as de carreau de Georges de La Tour, par exemple, symbolise parfaitement l’hameçonnage. Quand les gens voient ça, ils comprennent immédiatement. Mais surtout, je mets en avant la menace cybercriminelle réelle, pas une menace abstraite. Les mesures sont mieux acceptées et comprises quand elles répondent à un danger concret.
Des systèmes patrimoniaux anciens et de nouvelles technologies coexistent au Louvre. Comment gérez-vous cette hétérogénéité ?
Nous avons établi une relation constructive avec le pôle innovation du musée, ce qui nous permet d’intégrer la sécurité dès le début de chaque projet. C’est un gain énorme, surtout dans une période où l’IA générative s’invite partout. Interdire son utilisation serait une aberration. Tout le monde dispose déjà d’une IA à titre personnel. La bonne approche, c’est de sensibiliser, d’expliquer les usages et de mesurer l’impact réel. La sécurité par la proscription ne fonctionne pas. La sécurité par la culture, si.
Comment anticipez-vous les pics de risque lors des grands événements ou des expositions temporaires ?
Chaque grand événement est un signal d’alerte. Nous avons mis en place des procédures dédiées et une cellule de crise qui nous permet d’être réactifs. La préparation en amont est essentielle. Nous ne pouvons pas improviser la gestion d’une crise cyber au moment où elle survient.
Le Louvre est-il concerné par la directive NIS2 ?
Oui, et nous attendons depuis un moment les décrets d’application. NIS2 s’articule autour de quatre axes : gouvernance, défense, résilience, protection et c’est un cadre de référence que chaque entité, publique ou privée, devrait utiliser pour progresser dans sa démarche cyber. Pas comme une contrainte supplémentaire, mais comme un référentiel structurant. La réglementation, quand elle est bien comprise, est une aide, pas un fardeau.
Quelle est la nature de votre relation avec l’ANSSI en cas d’incident ?
Le CSIRT de l’ANSSI nous accompagne dans la gestion des attaques que nous subissons régulièrement, et nous remonte parfois des informations sur la menace en cours. Ce lien est très utile et très fort. Savoir qu’on n’est pas seul face à une attaque, avoir un interlocuteur de confiance capable de réagir vite, c’est précieux.
L’intelligence artificielle change-t-elle votre approche de la détection des menaces ?
L’IA est déjà largement utilisée par les attaquants, il est logique que nous l’utilisions aussi pour la défense. La capacité d’analyser de grandes quantités de données permet d’identifier des signaux faibles, de détecter rapidement des attaques, voire de les contrer avant qu’elles ne causent des dommages. C’est un changement d’échelle dans notre capacité de réaction.
Quels sont vos grands chantiers pour les deux prochaines années ?
La mise en place d’un SOC, un centre opérationnel de sécurité, reste la priorité. D’autres chantiers sont en cours pour répondre aux exigences réglementaires. La direction du musée est engagée dans cette démarche, ce qui facilite beaucoup les choses. Quand on a le soutien de sa hiérarchie sur les enjeux cyber, on peut avancer.
Que répondez-vous à ceux qui pensent qu’un musée n’est pas une cible prioritaire pour les cybercriminels ?
Je leur dis qu’ils se trompent, comme toute entité qui pense ne pas être concernée. PME ou grand établissement public, la menace est omniprésente. La vraie question n’est pas de savoir si on sera attaqué, mais quand, et dans quelle mesure on sera prêt à y répondre.
Protéger le patrimoine culturel numérique, est-ce selon vous une responsabilité qui dépasse le cadre strictement technique ?
Absolument. Je n’avais pas conscience de cela lors de ma prise de fonction. Derrière le musée du Louvre et son patrimoine exceptionnel, l’enjeu n’est pas que culturel. Ce n’est pas une formule, c’est une réalité que j’ai comprise progressivement, au contact des œuvres, des équipes, de l’histoire de ce lieu. La cybersécurité, ici, n’est pas qu’une affaire de systèmes et de protocoles. C’est une responsabilité culturelle.
