Auditorias ignoradas, sistemas obsoletos e senhas fracas: o colapso de segurança no maior museu do mundo é um retrato do que acontece quando GRC vira burocracia.

O roubo ao Musée du Louvre em outubro de 2025 trouxe à tona algo que especialistas em segurança já conheciam, mas que, agora, se tornou visível para o mundo: a fragilidade de instituições que tratam governança como formalidade. Em vez de prevenir riscos, o museu colecionou alertas ignorados, sistemas obsoletos e controles frágeis. E pagou caro por isso.

A apuração pós incidente revelou que servidores críticos de vídeo vigilância eram acessíveis com a senha “LOUVRE”. Um segundo sistema, da Thales Group, fornecedor de tecnologia para o museu, operava com a senha padrão “THALES”. Esses achados, longe de serem pontuais, já haviam sido registrados quase uma década antes.

Em dezembro de 2014, a Agence nationale de la sécurité des systèmes d’information (ANSSI) realizou uma auditoria completa nos sistemas de TI do Louvre. O relatório alertava, entre outras falhas, sobre o uso de credenciais fracas, falta de segregação de funções e sistemas legados rodando versões desatualizadas do Windows (como Windows XP e Server 2003). As recomendações incluíam revisão urgente de senhas, migração para versões atualizadas de software e aplicação de políticas de hardening, mas não há confirmação pública de que essas medidas tenham sido integralmente adotadas.

O que sabemos até aqui:

·      A senha “LOUVRE” estava registrada em servidores de CCTV desde, ao menos, 2014.

·      O sistema da Thales, também crítico, usava a senha padrão “THALES”.

·      Diversos dispositivos operavam sem patches de segurança aplicados.

·      A ANSSI havia alertado para esses riscos mais de uma década antes do incidente.

·      O museu não confirmou se as senhas permaneceram ativas até 2025.

·      Não há evidência pública de que essas credenciais tenham sido usadas diretamente no roubo de joias em 19 de outubro de 2025, mas seu uso simboliza, de forma contundente, uma falha grave de gestão.

Governança ignorada vira risco material

O caso do Louvre revela o que acontece quando auditorias são vistas como rituais e não como instrumentos de transformação. Não se trata de um incidente causado por tecnologia fraca. Se trata de governança ineficiente. Governança que não monitora, não corrige, não exige rastreabilidade e não integra tecnologia, segurança da informação e compliance em um ecossistema contínuo.

Como a Vennx enxerga esse cenário

Para a Vennx, o caso do Louvre não é apenas uma anomalia, é o reflexo de um padrão ainda recorrente em grandes instituições: a dissonância entre diagnóstico e ação. Auditar não é suficiente. Governança exige resposta em tempo real, visibilidade contínua e correção automatizada de falhas. Por isso, nossos clientes operam com tecnologias como o Oráculo, que detecta e corrige acessos indevidos sem depender de processos manuais, e a SoD Discovery, que entrega matrizes de segregação de funções com precisão e velocidade inéditas. Não basta identificar o risco, é preciso garantir que ele não permaneça ativo por uma década.

A pergunta que fica para as empresas é simples:

Se uma senha como “LOUVRE” pode subsistir por anos sem revisão, quantos acessos críticos estão hoje esquecidos na sua estrutura?