Dans un rapport, la haute juridiction financière administrative a épinglé le retard préoccupant des systèmes d’information du musée. Absence d’une DSI, sous-investissements chroniques, applications obsolètes et sécurisation insuffisante sont relevés.
Le cambriolage du musée du Louvre a mis un éclairage sur plusieurs dysfonctionnements de l’établissement culturel. Si les faiblesses en matière de cybersécurité ont été récemment pointées du doigt, la Cour des comptes vient d’ajouter sa contribution en taclant notamment le volet IT. Dans son rapport sur le musée pour l’exercice 2018-2024, la juridiction dédie un passage au « retard préoccupant en matière de système d’information en cours de rattrapage ». Dans cette section, on apprend que les SI n’étaient clairement pas une priorité pour le Louvre. Certes des efforts ont été réalisés comme la mise en ligne des collections en 2021, mais les SI souffrent « d’un sous-investissement chronique ».
Sur le plan budgétaire, les chiffres sont accablants. Entre 2018 et 2022, le montant annuel consacré au SI était de 5 M€ et il a augmenté à plus de 6 M€ à partir de 2023. Un niveau jugé « structurellement faible » par les sages de la rue Cambon. Ils indiquent que les investissements issus de la stratégie numérique décidée en 2018 ne s’est traduit que par un effort de 2 M€ sur 7 ans. Par ailleurs, ils constatent un réveil en 2022 face à l’obsolescence de certaines applications métiers. C’est le cas de l’outil de la gestion financière qui datait de 1995 et n’était plus supporté par l’éditeur. La solution choisie a été mise en production au 1er janvier 2024, mais « des anomalies ont été constatées » ralentissant l’activité et retardant les paiements. De même l’outil de billetterie datant de 2012 a été remplacé par un système mise en production au début 2025 pour les visiteurs individuels. Enfin, les outils de gestion des collections datant pour l’un de 1989 et l’autre de 2011 sont en voie de modernisation au sein d’un seul outil à partir de mi-2026.
Une absence de DSI et un RSSI nommé en 2024
Pour la Cour des comptes, un autre problèmes réside dans l’absence d’un pilote dans la stratégie numérique du musée. Elle constate que la tâche est confiée à « une sous-direction rattachée à la direction financière, juridique et des moyens ». Cette structure comprend 23 agents répartis en six services de petite taille, dont quatre sont consacrés au suivi des principaux applicatifs métiers du musée (gestion des collections, billetterie, finances et ressources humaines), les deux autres étant consacrés respectivement à l’entretien du parc informatique (matériel et logiciel), et aux infrastructures réseaux (administration système, sécurité). La juridiction plaide pour la création « d’une véritable direction des systèmes d’information et du numérique » dans le cadre du prochain schéma directeur des SI et du numérique.
Toujours sur le plan organisationnel, la juridiction observe une sécurisation insuffisante des SI du Louvre. Elle constate qu’une démarche de cartographie des risques a été menée à partir de 2021, mais il faut attendre avril 2024 pour qu’un RSSI à temps plein soit nommé sous la pression de la tenue des Jeux Olympiques. Ce poste était auparavant dévolu au chef de service système réseau et sécurité. Un premier pas salutaire, mais la Cour des comptes souhaite que le musée mettent en place d’autres mesures contre les cyberattaques comme un service d’astreinte et une politique de PCA/PRA.