Le 19 octobre 2025, en plein jour et en quelques minutes, quatre individus repartent du Louvre avec des bijoux de la Couronne. Le casse fait le tour du monde. Mais le détail qui sidère vraiment arrive quelques jours plus tard, quand CheckNews, le service de fact-checking de Libération, met la main sur les audits de sécurité du musée. Le mot de passe qui protégeait le serveur de vidéosurveillance du plus grand musée du monde, c’était : LOUVRE. Et pour accéder à un logiciel de Thales, c’était THALES.

Tu peux relire la phrase, elle ne changera pas. Le système censé surveiller la Joconde était verrouillé avec le nom du bâtiment. Et ce n’est pas une bourde découverte dans la panique de l’enquête : l’ANSSI l’avait écrit noir sur blanc dès 2014, audit à l’appui. Onze ans plus tard, rien n’avait bougé.

Alors on se pose la question, la vraie, celle qui dérange : comment un pays capable de construire des Rafale, d’envoyer des fusées en orbite et de sortir un champion mondial de l’IA en deux ans peut-il protéger son trésor national avec un mot de passe qu’un gamin de huit ans devinerait ?

Dix-sept par jour

Le Louvre n’est pas un accident isolé. C’est juste l’exemple le plus spectaculaire d’une série qui, ces deux dernières années, est devenue le bruit de fond de notre vie numérique. En 2025, la CNIL a enregistré 6 167 notifications de violations de données — son plus haut niveau jamais atteint, en hausse de 9,5 % sur un an, soit environ dix-sept par jour. Un incident sur deux est un piratage. Et derrière ces chiffres, des noms que tu connais : France Travail, et les données de quarante-trois millions de personnes en 2024 ; le fichier FICOBA de Bercy, qui recense tous les comptes bancaires du pays, 1,2 million exposés en février 2026 ; Cegedim et les données de santé d’environ quinze millions de patients, la même année.

Le plus parlant n’est pas le volume, c’est la nature des cibles. Ce ne sont pas des startups bricolées dans un garage. C’est l’État. Ce sont les administrations à qui tu es légalement obligé de confier tes données les plus intimes — tes revenus, ta santé, ton casier, tes comptes. Celles que tu ne peux pas quitter.

Et il y a ce cas, qui boucle la boucle avec le Louvre : en décembre 2025, une intrusion au ministère de l’Intérieur a permis la consultation illégale de deux fichiers de police majeurs — le traitement d’antécédents judiciaires, qui recense dix-sept millions de personnes, auteurs comme victimes, et le fichier des personnes recherchées. La maison qui détient les données les plus sensibles sur les citoyens — y compris celles des victimes — n’a pas su les garder.

Donc oui. Ton intuition est juste. Il y a quelque chose qui ne colle pas. Un pays qui maîtrise des technologies parmi les plus complexes de la planète n’arrive pas à faire ce qu’on demande à n’importe quelle PME : choisir un mot de passe correct et tenir ses systèmes à jour. Ce n’est pas une impression. C’est réel, c’est documenté, et ça mérite une explication.

Le réflexe du complot

Arrivé là, une petite voix s’installe. Et elle est tentante. On finit par se dire que ça ne peut pas être un hasard. Que tant d’incompétence, à ce niveau, avec ces moyens, c’est forcément voulu. Qu’on nous laisse exposés exprès — pour mieux nous surveiller, pour justifier des lois, pour une raison cachée qu’on ne nous dira jamais.

Je comprends le réflexe. Je l’ai eu aussi. Mais il faut le regarder en face, parce qu’il est faux — et surtout parce qu’il est faux d’une manière intéressante.

Le complot, au fond, c’est une explication rassurante. S’il y a un plan, c’est qu’il y a un pilote. Quelqu’un, quelque part, tient le volant et sait où va la voiture. C’est presque réconfortant : ça veut dire que le système est sous contrôle, même si ce contrôle joue contre toi. On préfère un méchant compétent à un vide.

Sauf que la réalité est plus inconfortable que n’importe quel complot. Il n’y a pas de pilote. Personne ne tient le volant. Le mot de passe « LOUVRE » n’est pas une porte dérobée laissée ouverte par un cerveau machiavélique : c’est ce qui arrive quand un audit dort dans un tiroir pendant onze ans parce que personne n’avait ni le budget, ni l’obligation, ni la moindre conséquence à craindre pour le sortir de là. Ce n’est pas un projet. C’est une absence de projet.

Salle de contrôle de sécurité déserte, écrans de surveillance allumés dans la pénombre

Personne aux commandes — pas par malice, par absence de conséquence.

Et c’est une bien plus mauvaise nouvelle. Parce qu’un complot, on peut le dénoncer, le combattre, espérer le faire tomber. La négligence structurelle, elle, ne tombe pas. Elle dure. Elle s’installe. Et c’est exactement pour ça qu’il faut comprendre comment elle marche.

Trois engrenages, aucun pilote

Si ce n’est pas un complot, alors quoi ? Trois engrenages, qui tournent ensemble.

Le premier, c’est que le talent ne va pas là où sont les trous. Tu as raison sur un point : la France a des ingénieurs remarquables. Mais ils sont chez Airbus, chez Safran, dans la défense, dans le nucléaire — des univers privés ou stratégiques, correctement financés, où la sécurité est une exigence vitale et payée comme telle. Un expert en cybersécurité de haut niveau ne va pas administrer le réseau d’un musée ou d’une mairie, pour une raison simple : il y gagnerait deux à trois fois moins qu’ailleurs. Le génie national existe. Il n’irrigue simplement pas les systèmes publics du quotidien, qui tournent souvent avec des équipes réduites, sous-payées, et des logiciels d’un autre âge. Deux mondes étanches, dans le même pays.

Le deuxième engrenage, c’est l’absence de conséquence. Reviens au Louvre : l’ANSSI avait tout écrit dès 2014. Un second audit, mené entre 2015 et 2017, avait confirmé exactement les mêmes failles. Les rapports existaient, les recommandations étaient claires. Et rien n’a bougé. Pourquoi ? Parce que ne rien faire ne coûtait rien. Aucune sanction, aucune amende, aucun responsable inquiété. Compare avec le privé : une entreprise qui laisse fuiter tes données risque le RGPD et des amendes qui se chiffrent en millions. L’administration, elle, a longtemps échappé à cet aiguillon. Ça commence à changer — la CNIL a sanctionné France Travail de 5 millions d’euros début 2026 et annonce durcir ses contrôles sur le secteur public. Mais c’est récent, et le Louvre, lui, a vécu dix ans sans la moindre conséquence. Quand l’inaction est gratuite et l’action coûteuse, l’inaction gagne. À chaque fois.

Le troisième, c’est le manque de moyens, tout bêtement. L’agence chargée de protéger la nation, l’ANSSI, ce sont 658 agents et un budget de 44,2 millions d’euros hors masse salariale — pour surveiller un pays entier, ses administrations, ses hôpitaux, ses collectivités. Et quand elle réclame de quoi tenir ses nouvelles missions, on lui dit non : pour 2025, elle avait demandé 35 millions et 60 postes supplémentaires, notamment pour appliquer la directive européenne NIS2 sur la cybersécurité. Elle a obtenu 27 millions et aucun poste. C’est un pompier seul devant une ville qui brûle, à qui on refuse une deuxième lance.

Et ces trois engrenages tournent sur un terrain qui aggrave tout : la centralisation. Plus on entasse les données au même endroit — un fichier national des comptes bancaires, un fichier unique des demandeurs d’emploi — plus la cible devient grosse. Un seul système compromis, et ce sont des dizaines de millions de personnes exposées d’un coup. On a construit des coffres géants, et on les a fermés avec des cadenas de vélo.

Une précision, parce qu’elle compte. Tout ça ne veut pas dire « tous pourris, tous nuls ». L’ANSSI fait un travail sérieux — c’est elle qui a détecté et documenté les failles du Louvre, c’est elle qu’on envoie au front à chaque crise. Le problème n’est pas les gens. C’est le système qui décide où va l’argent, qui ne sanctionne pas l’inaction, et qui empile les données sans sécuriser ce qu’il empile. La négligence n’est pas une faute morale. C’est un défaut de conception.

La seule porte que tu peux fermer

Alors, qu’est-ce que tu fais de tout ça ? Tu pourrais hausser les épaules. Si l’État n’y arrive pas, si France Travail fuit, si Bercy fuit, à quoi bon ? C’est exactement le piège. La fuite te dépasse, c’est vrai. Mais ses conséquences, elles, ne te dépassent pas toutes.

Voilà ce qu’il faut comprendre. Quand un de ces fichiers fuite, ton mot de passe se retrouve dans la nature. Et si tu utilises le même partout — ta boîte mail, ta banque, tes réseaux — alors une seule fuite, dans un seul service que tu ne contrôles pas, ouvre toutes tes autres portes d’un coup. C’est précisément comme ça que la plupart des gens se font vraiment avoir : pas par une attaque ciblée contre eux, mais par ricochet, parce qu’un mot de passe réutilisé traînait dans une base piratée ailleurs.

Et ça, c’est la seule case que personne ne peut cocher à ta place. Tu ne répareras pas l’ANSSI. Tu ne réécriras pas les marchés publics. Mais tu peux faire en sorte que la prochaine fuite — il y en aura une, c’est une certitude, pas une hypothèse — ne soit qu’un incident sans suite pour toi, au lieu d’une réaction en chaîne.

C’est tout le sens de ce blog, et c’est là qu’on va dans le prochain article : reprendre la main sur la seule chose qui t’appartient vraiment dans cette histoire. Tes accès. Pas parce que c’est confortable. Parce que c’est le seul endroit où, toi, tu décides.

Ta tech, tes règles, ta liberté.


Sources