Le recenti notizie sul furto dei gioielli della corona francese al Louvre hanno riportato l’attenzione su un tema centrale: quanto anche le istituzioni più prestigiose possano risultare vulnerabili di fronte a strategie di cybersecurity non adeguate.
Nell’articolo di seguito, Denis Cassinerio, Senior Director & General Manager South EMEA di Acronis, analizza il caso del Louvre per evidenziare come gestione del rischio, patching, migrazione dei sistemi e utilizzo corretto delle password rimangano aspetti decisivi per proteggere i “tesori” digitali di qualsiasi organizzazione.
Buona lettura!
Oltre una semplice password: cosa insegna il furto al Louvre sulla cybersecurity
Il furto dei gioielli della corona francese al Louvre è uno dei casi più discussi dell’anno, non solo per l’audacia del colpo ma anche per ciò che ha rivelato sulle fragilità della sicurezza informatica del celebre museo. La password “LOUVRE” è solo il dettaglio più eclatante di una strategia di protezione tutt’altro che robusta.
Per contestualizzare, i presunti ladri hanno sottratto i gioielli della corona francese dal Louvre in un colpo durato solo quattro minuti, in pieno giorno, una domenica mattina di ottobre. La vicenda era già di per sé sorprendente prima che emergesse un ulteriore dettaglio: la password del sistema di videosorveglianza del museo era “LOUVRE”, o almeno lo era nel 2014, quando un audit di sicurezza aveva evidenziato gravi falle e avvertito che il Louvre era un bersaglio estremamente vulnerabile.
Il museo, tuttavia, non ha adottato quasi nessuna misura per quasi un decennio. Ora è stato definito un piano di potenziamento della sicurezza, da completare entro il 2032. Non è chiaro se la password LOUVRE sia rimasta in uso dal 2014 al 2025, – presumibilmente nel frattempo è stata aggiornata. È invece evidente che il Louvre presentava lacune significative nella propria strategia di protezione dei dati, tra cui l’uso di Windows 2000 nel 2014, quattro anni dopo la fine del supporto ufficiale da parte di Microsoft.
Eliminare completamente le vulnerabilità di cybersecurity è impossibile
Il Louvre non era affatto l’unica organizzazione con una strategia di cybersecurity incompleta e potenzialmente rischiosa. Il fatto è che i rischi informatici esistono ovunque e non possono essere eliminati del tutto. La chiave è saperli gestire. Due sono i fattori principali da considerare nella valutazione del rischio: la vulnerabilità in sé e la probabilità che questa venga sfruttata.
Il patching è un esempio significativo: si tratta di un’attività decisiva per la protezione dei sistemi. Secondo l’Acronis Cyberthreats Report H1 2025, le vulnerabilità non corrette hanno rappresentato il 27% degli attacchi rivolti ai managed service provider (MSP). Quando i sistemi non vengono aggiornati, diventano un obiettivo immediato per il ransomware, che nella prima metà del 2025 ha registrato un incremento delle vittime pari al 70% rispetto allo stesso periodo del 2023 e del 2024.
Tuttavia, è quasi impossibile per un’organizzazione applicare immediatamente ogni patch su ogni sistema o applicazione. In alcuni casi, applicare una patch prima del necessario può addirittura peggiorare la situazione, come dimostrato dal noto blackout delle compagnie aeree causato da CrowdStrike nel 2024.
Applicare prima le patch ai sistemi più esposti
Un approccio più efficace e realistico consiste nell’isolare i sistemi, le applicazioni o le macchine che non è possibile aggiornare subito. È fondamentale, ad esempio, non lasciare non aggiornato un sistema esposto a internet. Se un sistema ha molti utenti o è connesso direttamente alla rete (o entrambe le cose), va aggiornato il più rapidamente e frequentemente possibile perché rappresenta uno dei vettori d’attacco principali.
I sistemi e le applicazioni di back office seguono una logica diversa. Possono rimanere non aggiornati più a lungo se sono isolati da internet e utilizzati esclusivamente da amministratori o personale formato e affidabile. Quando non si prevede di applicare patch regolarmente, è inoltre utile proteggerli con più livelli di firewall. È vero che un sistema non patchato resta un punto debole nell’infrastruttura, ma limitarne in modo drastico l’accesso costituisce un metodo efficace per gestire il rischio che comporta.
Migrare i sistemi vulnerabili e isolare gli altri
Lo stesso approccio vale per la migrazione di sistemi basati su sistemi operativi o applicazioni obsoleti. Budget, tempi e vincoli prestazionali spesso non consentono alle organizzazioni di migrare tutto alle versioni più recenti, o anche solo a quelle ancora supportate. In molti ambienti industriali, ad esempio, i sistemi OT funzionano ancora con Windows XP, un sistema operativo che ha 25 anni e che Microsoft non supporta da oltre di un decennio.
La regola è simile a quella per le patch: se un sistema è esposto a internet o ha molti utenti, va migrato prima della fine del supporto. Se la migrazione non è fattibile o non rappresenta una priorità, quel sistema deve essere protetto da più livelli di protezione e accessibile solo a personale formato che ne ha realmente bisogno. Anche qui, non è possibile eliminare tutte le vulnerabilità, ma è possibile renderle estremamente difficili da raggiungere per gli attaccanti.
Riducendo la visibilità dei sistemi vulnerabili, diminuisce la probabilità che vengano attaccati. Più alta è la probabilità di un attacco, più rigorosa deve essere la strategia di patching e migrazione. Le vulnerabilità non si possono eliminare, ma si possono nascondere.
Una nota sulle password
L’elemento che ha reso l’attacco al Louvre così noto nel mondo della cybersecurity è senza dubbio la password “LOUVRE”. Ma prima di sorridere, vale la pena ricordare un dato: secondo CNET, una delle principali testate tecnologiche statunitensi, metà degli americani adotta comportamenti rischiosi nella gestione delle password. Circa un quarto riutilizza la stessa password su più account; e c’è di peggio: l’8% utilizza password che sa essere già state compromesse in un data breach. Quelle persone potrebbero essere dipendenti di qualsiasi organizzazione, o anche membri del proprio team.
Esistono diversi accorgimenti per promuovere un uso più consapevole e sicuro delle password. La formazione continua è fondamentale. L’autenticazione multifattore è imprescindibile. Inoltre, è utile valutare l’obbligo di usare un password manager, il metodo più sicuro per creare e conservare le password.
Alcuni accorgimenti, però, potrebbero sorprendere. Per cominciare, una password non dovrebbe essere una parola, ma una frase. P@ssword1!, per esempio, è in realtà meno efficace e più semplice da violare rispetto a qualcosa come thisismypersonalpasswordwithdetailsnobodycouldeverguess. Con un password manager, l’utente deve ricordare solo la passphrase principale; l’applicazione genererà e conserverà tutto il resto.
C’è poi un’abitudine diffusa che non porta reali benefici: cambiare periodicamente le password. Se una password funziona, funziona. Non c’è motivo di cambiarla. Richiedere cambi frequenti può avere effetti negativi, come la creazione di password troppo semplici (inclusi “capolavori” come Fall2025! Seguito da Winter2025!). E, se non fosse già chiaro, non andrebbe mai utilizzato il nome della propria organizzazione come password.
Proteggere i dati con un piano di cybersecurity efficace
Le informazioni emerse sulla sicurezza del Louvre dovrebbero spingere le organizzazioni a rivedere i propri piani di protezione. I dati e i sistemi rappresentano i “gioielli della corona” aziendale. È impossibile rendere le difese informatiche completamente inattaccabili, ma con una strategia adeguata è possibile sviluppare un piano di cybersecurity che bilanci vulnerabilità ed esposizione agli attacchi, riducendo in modo significativo la probabilità di subire un incidente.
di Denis Cassinerio, Senior Director & General Manager South EMEA di Acronis
