Deux vulnérabilités critiques notées 9,8 sur 10 dans le logiciel Ivanti Endpoint Manager Mobile (EPMM) ont déclenché l’une des pires séries de compromissions d’institutions publiques européennes de la décennie. En quelques semaines, début 2026, la Commission européenne, l’autorité néerlandaise de protection des données et le Conseil de la magistrature des Pays-Bas ont été touchés via ces failles exploitées avant tout correctif. Dans le même temps, la France a vu le registre national des comptes bancaires piraté, exposant 1,2 million de comptes. La faille Ivanti est devenue le symbole d’un risque que les régulateurs européens nomment depuis des mois : les équipements de périphérie restent le maillon faible de la cyberdéfense du continent.
Cette analyse retrace la chronologie des attaques, décortique les deux zero-days à l’origine de la crise, mesure l’impact sur le marché et la réglementation, et donne la parole aux agences et aux chercheurs. Toutes les données chiffrées proviennent des avis de sécurité officiels et des communications publiques des organisations concernées.
Faille Ivanti 2026 : ce qui s’est réellement passé
Le 29 janvier 2026, Ivanti publie un avis de sécurité décrivant deux vulnérabilités dans EPMM, sa plateforme de gestion des terminaux mobiles. Les deux sont notées 9,8 sur l’échelle CVSS, soit la catégorie « critique » la plus élevée. Les deux étaient déjà exploitées comme zero-days, c’est-à-dire attaquées avant qu’un correctif n’existe. Ivanti a indiqué qu’« un nombre très limité de clients » avait été affecté par l’exploitation de ces deux failles, sans nommer de victime ni de groupe responsable.
Quelques jours plus tard, en février 2026, l’ampleur réelle apparaît. La Commission européenne confirme avoir été compromise via ces vulnérabilités Ivanti EPMM. Aux Pays-Bas, l’autorité de protection des données (la Dutch Data Protection Authority) et le Conseil de la magistrature reconnaissent eux aussi avoir été pénétrés par le même vecteur. Dans l’incident néerlandais, des données professionnelles ont été consultées : noms, adresses e-mail et numéros de téléphone. Le caractère institutionnel des cibles transforme un bulletin technique en crise politique européenne.
La séquence ne s’arrête pas en février. Plus tard dans l’année, Ivanti divulgue une troisième faille EPMM exploitée en conditions réelles, CVE-2026-6973, ajoutée au catalogue des vulnérabilités activement exploitées de l’agence américaine CISA. En mai 2026, un nouvel avis couvre des correctifs supplémentaires, dont CVE-2026-5786. Le tableau ci-dessous récapitule la chronologie vérifiée des événements.
| Date | Événement | Cible / acteur | Impact connu |
|---|---|---|---|
| 20 janvier 2026 | Proposition d’amendements ciblés à la directive NIS2 | Commission européenne | Clarification juridique du périmètre |
| 29 janvier 2026 | Divulgation des zero-days CVE-2026-1281 et CVE-2026-1340 | Ivanti EPMM | Deux failles notées 9,8, déjà exploitées |
| 1er février 2026 | Échéance de remédiation imposée par CISA (catalogue KEV) | Agences fédérales américaines | Correctif obligatoire sous quelques jours |
| Février 2026 | Compromission confirmée via Ivanti EPMM | Commission européenne, autorités néerlandaises | Noms, e-mails, téléphones consultés (Pays-Bas) |
| Février 2026 | Piratage du registre national des comptes bancaires | Ministère de l’Économie (France) | 1,2 million de comptes exposés |
| 24 mars 2026 | Cyberattaque sur l’infrastructure cloud de la plateforme Europa | Commission européenne | Exfiltration probable, contenue rapidement |
| Mai 2026 | Nouvel avis EPMM couvrant CVE-2026-5786 et d’autres failles | Ivanti | Correctifs additionnels publiés |
Les deux zero-days notés 9,8 qui ont tout déclenché
Une note CVSS de 9,8 signale une vulnérabilité exploitable à distance, sans authentification, avec un impact maximal sur la confidentialité, l’intégrité et la disponibilité. Pour un logiciel exposé sur Internet comme une passerelle de gestion mobile, ce profil représente le pire scénario : un attaquant peut prendre la main sans identifiants valides. C’est exactement le cas de CVE-2026-1281 et CVE-2026-1340.
EPMM occupe une position stratégique dans un système d’information. La plateforme administre les smartphones et tablettes des collaborateurs, distribue les politiques de sécurité, déploie les applications et stocke des certificats d’authentification. Compromettre EPMM, c’est potentiellement accéder à l’ensemble du parc mobile d’une organisation et aux secrets qui y transitent. Voilà pourquoi des attaquants ciblent en priorité ce type de serveur plutôt qu’un poste de travail isolé.
| Identifiant CVE | Score CVSS | Date de divulgation | Statut |
|---|---|---|---|
| CVE-2026-1281 | 9,8 (critique) | 29 janvier 2026 | Zero-day exploité, ajouté au catalogue KEV de la CISA |
| CVE-2026-1340 | 9,8 (critique) | 29 janvier 2026 | Zero-day exploité, correctif publié |
| CVE-2026-6973 | Non communiqué publiquement | Courant 2026 | Zero-day exploité, ajouté au catalogue KEV |
| CVE-2026-5786 | Non communiqué publiquement | Mai 2026 | Couvert par un avis Ivanti, correctif disponible |
Le score CVSS de CVE-2026-6973 n’a pas été communiqué dans les avis publics au moment de la rédaction. Nous ne lui attribuons donc pas de chiffre, conformément aux données disponibles. Ce qui est confirmé, en revanche, c’est son exploitation active et son inscription au catalogue des vulnérabilités exploitées tenu par la CISA, le signal le plus clair qu’une faille n’est pas théorique mais déjà utilisée contre des cibles réelles.
La Commission européenne contenue en neuf heures
Dans l’incident lié à Ivanti EPMM, la Commission européenne a déclaré avoir contenu la brèche en neuf heures. Ce délai mérite d’être souligné. Dans la plupart des compromissions documentées, les attaquants restent présents des semaines, voire des mois, avant d’être détectés. Une remédiation en neuf heures suppose une surveillance continue, une capacité de réponse opérationnelle et des procédures d’isolement testées à l’avance.
La rapidité de réaction n’efface pas la gravité du fait. Une institution disposant de moyens parmi les plus importants d’Europe a tout de même été pénétrée via un produit du commerce. Cela illustre une réalité dérangeante : la défense ne consiste plus seulement à empêcher l’intrusion, mais à réduire le temps de présence de l’attaquant. Neuf heures, c’est une bonne performance défensive ; zéro heure aurait exigé un correctif qui n’existait pas encore au moment de l’attaque.
Un second épisode frappe la Commission le 24 mars 2026. Une cyberattaque vise l’infrastructure cloud hébergeant la plateforme web Europa. La Commission indique que l’incident a été contenu rapidement et que les premières analyses suggèrent une exfiltration de données. Aucun groupe n’a été nommé. La répétition des incidents en quelques semaines, sur des vecteurs différents, montre que les institutions de l’Union sont devenues des cibles permanentes et coordonnées.
Registre bancaire français : 1,2 million de comptes exposés
En février 2026, le ministère de l’Économie révèle qu’un pirate a utilisé des identifiants volés pour accéder au registre national des comptes bancaires. Cet incident est distinct des failles Ivanti : il repose sur le vol de crédentiels, pas sur une vulnérabilité logicielle. Mais il s’inscrit dans la même vague d’attaques contre les infrastructures publiques européennes au premier trimestre 2026.
Le bilan est lourd : environ 1,2 million de comptes concernés. Les données exposées comprennent les IBAN, les noms des titulaires, les adresses et, dans certains cas, des identifiants fiscaux. Les autorités précisent un point essentiel : l’attaquant n’a pas pu consulter les soldes ni effectuer de transactions. Le registre recense l’existence des comptes, pas leur contenu financier en temps réel.
La distinction entre données exposées et fonds dérobés est cruciale pour évaluer le risque réel. Aucun euro n’a été directement volé via ce registre. En revanche, la combinaison IBAN, nom, adresse et identifiant fiscal constitue une matière première idéale pour des campagnes d’hameçonnage ciblé, d’usurpation d’identité et de fraude au prélèvement. La menace est différée, pas absente. Pour comprendre comment ces fuites alimentent la fraude, voir notre dossier sur les fuites de données et leurs conséquences.
Pays-Bas : la protection des données elle-même visée
L’ironie de l’incident néerlandais n’a échappé à personne : l’autorité chargée de faire respecter la protection des données a vu ses propres systèmes pénétrés. Via les zero-days Ivanti EPMM, des données professionnelles ont été consultées, dont des noms, des adresses e-mail et des numéros de téléphone. Le Conseil de la magistrature, organe central du système judiciaire néerlandais, figure également parmi les victimes confirmées.
Cibler une autorité de protection des données et un organe judiciaire n’a rien d’anodin. Ces institutions concentrent des informations sensibles sur des enquêtes, des plaignants et des fonctionnaires. Un attaquant qui accède au répertoire de contacts d’une telle structure dispose d’une cartographie précieuse pour des opérations ultérieures de renseignement ou d’ingénierie sociale. La nature des cibles oriente fortement les soupçons vers un acteur étatique ou paraétatique, même si aucune attribution officielle n’a été rendue publique.
Pourquoi Ivanti revient sans cesse dans l’actualité
La crise de 2026 ne sort pas de nulle part. Ivanti traîne un historique chargé de vulnérabilités critiques sur ses produits exposés au réseau. En 2024 déjà, sa gamme Connect Secure (anciennement Pulse Secure) avait été au cœur d’une vague d’exploitation massive, avec des failles enchaînées par des attaquants pour contourner l’authentification et exécuter du code à distance. Ces incidents avaient provoqué des directives d’urgence et des opérations de remédiation en catastrophe dans des milliers d’organisations.
Un schéma qui se répète sur les équipements de périphérie
Le problème dépasse Ivanti. Les équipements de périphérie, VPN d’entreprise, passerelles de gestion mobile, pare-feu, partagent une caractéristique dangereuse : ils sont exposés à Internet par conception, fonctionnent souvent sur des systèmes propriétaires difficiles à auditer, et restent en service de longues années. Chaque vulnérabilité non corrigée devient une porte d’entrée directe. Les groupes d’attaquants sophistiqués, en particulier ceux liés à des États, en ont fait leur terrain de chasse privilégié depuis 2023.
La répétition pose une question de fond sur la qualité logicielle de ces produits. Quand un même éditeur cumule les zero-days notés 9,8 d’une année sur l’autre, le marché finit par s’interroger sur ses pratiques de développement sécurisé. C’est précisément ce que vise le règlement européen sur la cyberrésilience, qui impose aux fabricants de tester leurs produits avant leur mise sur le marché.
Ce que disent les agences et les chercheurs
Côté éditeur, Ivanti a maintenu une ligne de communication mesurée, évoquant « un nombre très limité de clients » affectés par l’exploitation de CVE-2026-1281 et CVE-2026-1340. Cette formulation, fréquente dans les communications de crise, contraste avec la nature des victimes finalement révélées, parmi lesquelles des institutions européennes de premier plan.
Du côté américain, la CISA a agi vite : la faille CVE-2026-1281 a été inscrite au catalogue des vulnérabilités activement exploitées, avec une échéance de remédiation fixée au 1er février 2026 pour les agences fédérales. Une inscription au catalogue KEV est un signal fort à l’échelle mondiale : elle confirme une exploitation réelle et déclenche, par effet d’entraînement, des plans de correction dans le secteur privé.
En France, l’ANSSI, via son centre CERT-FR, alerte régulièrement sur l’exposition des équipements de périphérie et publie des bulletins de remédiation pour ce type de produit. L’agence, dirigée par Vincent Strubel depuis janvier 2023, place la réduction de la surface d’attaque des équipements exposés parmi ses priorités opérationnelles. Au niveau européen, l’ENISA documente la même tendance : la chaîne d’approvisionnement logicielle et les équipements réseau figurent en tête des menaces structurelles pour le continent.
La communauté de la recherche en sécurité, notamment les équipes qui analysent les produits de périphérie, partage un constat répété depuis deux ans : ces appliances accumulent des défauts d’architecture qui facilitent l’enchaînement de vulnérabilités. Ce diagnostic, formulé indépendamment par plusieurs cabinets, explique pourquoi le cas Ivanti est traité comme un symptôme systémique plutôt qu’un accident isolé.
Impact sur le marché de la gestion des terminaux
L’impact commercial d’une telle série d’incidents se mesure d’abord en confiance. La gestion unifiée des terminaux (UEM) est un marché concurrentiel où Ivanti affronte des acteurs comme Microsoft Intune, VMware Workspace ONE, Jamf ou MobileIron, qu’Ivanti a lui-même absorbé. Quand un éditeur enchaîne les zero-days critiques sur son produit phare, les directions de la sécurité réévaluent leur dépendance et étudient des alternatives lors du renouvellement des contrats.
Cette dynamique ne se traduit pas instantanément par des pertes de parts de marché, car migrer une plateforme UEM est un projet lourd, étalé sur plusieurs mois et coûteux en formation. Mais elle pèse sur les renouvellements, les négociations tarifaires et la prime de risque que les assureurs cyber appliquent aux organisations exposées. Un parc reposant sur un produit régulièrement cité dans les catalogues de vulnérabilités exploitées devient un argument défavorable lors de la souscription d’une cyberassurance.
L’effet de réputation se double d’un effet réglementaire. Avec le règlement européen sur la cyberrésilience, les fabricants doivent désormais tester leurs produits contre les vulnérabilités avant leur commercialisation et assurer un suivi des correctifs. Les éditeurs qui multiplient les failles critiques s’exposent à un examen accru et à une pression contractuelle de leurs clients institutionnels, premiers concernés par les obligations de NIS2.
NIS2, cyberrésilience : le durcissement réglementaire européen
La crise Ivanti tombe au moment précis où l’Union européenne resserre son cadre cyber. La directive NIS2 impose aux opérateurs d’infrastructures critiques des mesures « à l’état de l’art » contre les risques de cybersécurité, et étend le périmètre des entités concernées bien au-delà de la première directive NIS. Le 20 janvier 2026, la Commission a proposé des amendements ciblés pour clarifier juridiquement ce périmètre.
Les sanctions prévues par NIS2 changent l’échelle des enjeux. Pour les entités dites essentielles, les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. Pour les entités importantes, le plafond est de 7 millions d’euros ou 1,4 % du chiffre d’affaires. La directive introduit aussi une responsabilité accrue des dirigeants, qui peuvent être tenus personnellement comptables des défauts de gouvernance cyber.
La France a transposé NIS2 dans son droit national, confiant à l’ANSSI le rôle d’autorité compétente et élargissant le nombre d’entités soumises à des obligations de sécurité et de notification. Le site officiel cyber.gouv.fr détaille les obligations applicables aux opérateurs concernés. Le règlement sur la cyberrésilience complète l’édifice côté produits : il impose aux fabricants de matériel et de logiciel de tester les vulnérabilités avant la mise sur le marché. L’addition de ces textes change la donne pour des éditeurs comme Ivanti.
Comparaison : Ivanti face aux autres équipements exposés
Ivanti n’est pas seul à figurer régulièrement dans les catalogues de vulnérabilités exploitées. Depuis 2023, la quasi-totalité des grands fournisseurs d’équipements de périphérie a connu des zero-days majeurs : passerelles VPN, pare-feu de nouvelle génération, solutions d’accès distant. Le point commun reste l’exposition directe à Internet et la difficulté d’auditer des systèmes propriétaires fermés.
Pour les responsables de la sécurité, la leçon n’est pas de remplacer un fournisseur par un autre dans l’espoir d’échapper au problème, car le risque est structurel. La bonne approche consiste à réduire l’exposition : limiter l’accès aux interfaces d’administration, segmenter le réseau, surveiller en continu les équipements de périphérie et appliquer les correctifs dans des délais comptés en heures, pas en semaines. La cyberhygiène sur les comptes d’administration reste déterminante ; nos guides sur la sécurité des mots de passe et la détection de l’hameçonnage couvrent ces bases.
La comparaison met aussi en lumière un avantage des solutions cloud natives comme Microsoft Intune : la surface d’attaque exposée sur site disparaît, remplacée par un service géré dont l’éditeur assume le correctif. Ce modèle déplace le risque sans l’éliminer, mais il réduit la fenêtre d’exposition liée aux serveurs auto-hébergés, précisément le type de cible touché dans la crise Ivanti EPMM.
Comment se protéger d’une faille comme Ivanti EPMM
Face à un zero-day exploité sur un équipement de périphérie, la priorité absolue est d’identifier si l’on est exposé, puis d’appliquer le correctif ou la mesure de contournement publiée par l’éditeur. Pour EPMM, cela passe par la vérification de la version installée et la restriction des accès à l’interface d’administration. La commande ci-dessous illustre une vérification d’exposition basique d’un service exposé sur le réseau.
# Vérifier rapidement la version exposée d'un service web (à des fins de diagnostic)
curl -sI https://votre-passerelle.exemple.fr/ | grep -i "server|x-powered-by"
# Lister les correctifs Ivanti et leur version cible avant déploiement
# (toujours se référer à l'avis officiel forums.ivanti.com)
echo "Comparer la version installée aux versions corrigées de l'avis du 29/01/2026"Au-delà du correctif immédiat, plusieurs mesures réduisent durablement le risque. Restreindre l’accès aux interfaces d’administration à un réseau de gestion dédié ou à un VPN. Activer l’authentification multifacteur sur tous les comptes privilégiés. Surveiller les journaux d’authentification à la recherche de connexions anormales, signe possible d’exploitation. Conserver des sauvegardes hors ligne pour pouvoir restaurer un système compromis. Et préparer à l’avance une procédure d’isolement, car la rapidité de réaction, comme l’a montré la Commission européenne avec ses neuf heures, fait la différence entre un incident contenu et une catastrophe.
Enfin, le chiffrement des données sensibles limite la valeur de ce qu’un attaquant peut exfiltrer. Pour comprendre les fondations techniques de cette protection, consultez notre explication de HTTPS et TLS, et notre dossier sur la cryptographie post-quantique, qui prépare les communications de demain.
Cinq prédictions pour la suite de la crise
1. De nouveaux zero-days sur équipements de périphérie en 2026. Le rythme observé depuis 2023 ne montre aucun signe de ralentissement. D’autres failles critiques notées au-dessus de 9 seront divulguées et exploitées contre des cibles européennes avant la fin de l’année.
2. Une première sanction NIS2 d’ampleur en Europe. Avec les amendes pouvant atteindre 2 % du chiffre d’affaires mondial, un régulateur national finira par faire un exemple, probablement contre une entité essentielle ayant tardé à corriger une vulnérabilité connue.
3. Une accélération vers les solutions de gestion cloud natives. La fatigue liée aux serveurs auto-hébergés régulièrement vulnérables poussera davantage d’organisations vers des plateformes gérées, déplaçant la responsabilité du correctif vers l’éditeur.
4. Une pression assurantielle renforcée. Les assureurs cyber intégreront plus systématiquement l’exposition aux équipements de périphérie vulnérables dans leurs grilles tarifaires, augmentant le coût de couverture des organisations dépendantes de produits à risque.
5. Des attributions plus explicites. La pression politique croissante après chaque compromission d’institution européenne conduira les agences à nommer plus ouvertement les groupes responsables, rompant avec la prudence actuelle des communications officielles.
Contexte historique : des appliances réseau aux institutions
L’exploitation d’équipements réseau pour pénétrer des organisations n’est pas nouvelle. Elle a connu une accélération marquée à partir de 2023, lorsque les groupes étatiques ont compris que les passerelles VPN et de gestion offraient un accès durable et discret. Ces équipements échappent souvent aux outils de détection installés sur les postes de travail, ce qui en fait des points d’ancrage idéaux pour une présence de long terme.
La nouveauté de 2026 tient à l’identité des victimes. On est passé d’attaques opportunistes contre des entreprises à des compromissions ciblées d’institutions de l’Union européenne et d’organes judiciaires nationaux. Ce glissement traduit une stratégie : utiliser une vulnérabilité produit générique pour atteindre des cibles à haute valeur de renseignement. La faille Ivanti devient ainsi un cas d’école de la convergence entre cybercriminalité technique et géopolitique. La couverture d’autres incidents majeurs, comme l’attaque contre Jaguar Land Rover, montre la même montée en gamme des cibles et des montants en jeu.
Questions fréquentes sur la faille Ivanti 2026
Quelles sont les failles Ivanti exploitées en 2026 ?
Les principales sont CVE-2026-1281 et CVE-2026-1340, deux vulnérabilités d’Ivanti Endpoint Manager Mobile notées 9,8 sur 10 et divulguées le 29 janvier 2026. Elles ont été exploitées comme zero-days. Une troisième faille, CVE-2026-6973, et d’autres couvertes par un avis de mai 2026 dont CVE-2026-5786, complètent la série.
Qui a été victime de ces failles Ivanti ?
La Commission européenne, l’autorité néerlandaise de protection des données et le Conseil de la magistrature des Pays-Bas ont confirmé des compromissions via Ivanti EPMM en février 2026. Dans l’incident néerlandais, des noms, adresses e-mail et numéros de téléphone professionnels ont été consultés.
Le piratage du registre bancaire français est-il lié à Ivanti ?
Non. Le piratage du registre national des comptes bancaires, qui a exposé 1,2 million de comptes en février 2026, reposait sur l’usage d’identifiants volés, pas sur une vulnérabilité Ivanti. Les deux incidents appartiennent à la même vague d’attaques contre les infrastructures publiques européennes, mais leurs vecteurs sont différents.
Mes données bancaires ont-elles été volées ?
Pour le registre français, les données exposées comprennent IBAN, noms, adresses et parfois identifiants fiscaux, mais pas les soldes ni la possibilité d’effectuer des transactions. Le risque principal est l’hameçonnage ciblé et l’usurpation d’identité. Restez vigilant face aux messages prétendant émaner de votre banque ou de l’administration fiscale.
Que signifie un score CVSS de 9,8 ?
C’est une note critique, presque maximale (le plafond est 10). Elle indique généralement une faille exploitable à distance, sans authentification, avec un impact total sur la confidentialité, l’intégrité et la disponibilité du système. Pour un serveur exposé sur Internet, ce profil impose une correction en urgence.
Comment une organisation peut-elle se protéger ?
Appliquer immédiatement les correctifs publiés par Ivanti, restreindre l’accès aux interfaces d’administration, activer l’authentification multifacteur sur les comptes privilégiés, surveiller les journaux d’authentification et préparer une procédure d’isolement rapide. La directive NIS2 impose d’ailleurs ce type de mesures aux entités essentielles et importantes.
Qui est responsable de ces attaques ?
Aucune attribution officielle n’a été rendue publique au moment de la rédaction. La nature des cibles, des institutions européennes et des organes judiciaires, oriente les soupçons vers un acteur étatique ou paraétatique, mais ni Ivanti, ni la Commission européenne, ni les autorités néerlandaises n’ont nommé de groupe responsable.
Related Coverage
- Sécurité en ligne : le guide pratique
- Fuites de données : comment elles surviennent et comment s’en protéger
- Attaques par hameçonnage : les reconnaître et les éviter
- Sécurité des mots de passe : ce qui protège vraiment les comptes
- HTTPS et TLS expliqués : ce que le cadenas signifie vraiment
- Cryptographie post-quantique : où en est le web
- Cyberattaque Jaguar Land Rover : une facture de 1,9 milliard
Article publié le 11 juin 2026. Toutes les données chiffrées proviennent des avis de sécurité officiels et des communications publiques des organisations concernées au moment de la rédaction.
