Le 19 juin 2026, des chercheurs en cybersécurité de Cybernews ont détecté la mise en vente d’une base de données associée à ENI France sur un forum cybercriminel souterrain. Le fichier, distribué au format Excel (.xlsx), contiendrait 89 463 enregistrements B2B appartenant à des administrations publiques, des universités, des hôtels et des entreprises privées françaises. L’acteur à l’origine de la publication revendique des liens avec l’écosystème Lapsus$, groupe tristement célèbre pour ses attaques contre Samsung, Microsoft et Nvidia. Aucune donnée bancaire n’a été observée dans l’échantillon analysé, mais les informations opérationnelles exposées ouvrent directement la voie à des campagnes de phishing ciblé et d’ingénierie sociale contre des centaines d’organisations clientes.
L’incident survient dans un contexte de multiplication des violations de données touchant la France depuis le début de 2026 : le registre FICOBA (1,2 million de comptes bancaires), l’ANTS (11,7 millions de comptes de titres sécurisés), la messagerie gouvernementale Tchap (73 467 fonctionnaires). Pour ENI, filiale française du géant énergétique italien ENI S.p.A., la violation ne se limite pas à un chiffre : elle expose des identités, des références clients internes et des horodatages d’accès appartenant à un tissu professionnel très large. La récurrence des incidents ciblant le groupe ENI, après une première alerte en mars 2026, soulève des questions légitimes sur la robustesse de ses dispositifs de sécurité.
ENI France : la fuite du 19 juin 2026 en 6 chiffres clés
Trois jours après la détection de l’incident, le tableau factuel se dessine avec précision. 89 463 lignes de données B2B sont revendiquées par l’acteur malveillant, même si les chercheurs de Cybernews estiment que le chiffre réel est probablement inférieur en raison de doublons. Le fichier est proposé à la vente en format Excel sur un forum cybercriminel clandestin. Les entités concernées incluent des organismes gouvernementaux, des universités, des structures hôtelières et des PME. Aucune information de paiement n’a été observée dans l’échantillon analysé par les chercheurs. L’acteur se réclame de l’écosystème Lapsus$, groupe responsable de plusieurs attaques retentissantes entre 2021 et 2026. ENI n’a pas confirmé publiquement la violation au 22 juin 2026.
Les chercheurs de Cybernews précisent dans leur analyse publiée le 19 juin : “Les comptes affectés semblent être des comptes B2B. L’ensemble de données inclut des organismes gouvernementaux, des universités, des hôtels et des petites entreprises.” Cette diversité sectorielle amplifie le risque systémique : un attaquant disposant de ces données peut cibler indifféremment un ministère, une grande école ou une PME hôtelière avec des messages personnalisés s’appuyant sur des informations internes réelles.
ENI S.p.A. : le géant énergétique derrière ENI France
ENI S.p.A. est un groupe énergétique italien fondé en 1953 à Rome. Avec un chiffre d’affaires de €82,2 milliards en 2025 et 35 198 employés répartis dans 62 pays (données Revelio Labs, décembre 2025), ENI figure régulièrement dans les classements Fortune Global 500 et Forbes Global 2000 parmi les entreprises énergétiques les plus importantes au monde. Le groupe couvre l’ensemble de la chaîne de valeur énergétique : exploration et production pétrolière et gazière, GNL, électricité renouvelable, bioraffinerie, chimie et économie circulaire.
Sa filiale française, ENI France, assure la fourniture de gaz et d’électricité aux clients professionnels sur le marché libéralisé hexagonal. C’est précisément ce portefeuille clients B2B qui se retrouve au coeur de la fuite détectée en juin 2026. ENI n’a pas confirmé l’étendue de la violation ni précisé si les données provenaient d’une compromission directe de ses systèmes ou d’un prestataire tiers. Cette ambiguïté, fréquente dans les premières heures suivant la découverte d’un incident, complique l’évaluation du périmètre réel et des obligations de notification applicables.
89 463 enregistrements B2B dans un fichier Excel : le contenu de la base
La société d’alerte Brinztech, qui a analysé le fichier mis en circulation, souligne que les données sont “complètes et opérationnelles”. Contrairement à une simple liste de contacts, la base expose des informations internes qui révèlent l’organisation commerciale d’ENI France et le statut précis de chaque compte client. Les analystes de Brinztech notent notamment la présence de profils distinguant les rôles “Admin” et “Client”, ce qui suggère que la fuite pourrait inclure des accès liés à la gestion interne de la plateforme et non uniquement des données clients passifs.
| Champ exposé | Type d’information | Risque principal d’exploitation |
|---|---|---|
| Prénom et nom | Identité personnelle | Spear-phishing, usurpation d’identité |
| Adresse e-mail professionnelle | Contact direct | Phishing ciblé, credential stuffing |
| Nom de l’entreprise ou organisme | Identité organisationnelle | Ingénierie sociale contextuelle |
| Référence client ENI | Identifiant interne | Fraude B2B, usurpation de compte |
| Statut du compte (actif/inactif) | État opérationnel | Ciblage prioritaire des comptes actifs |
| Type de profil (Admin / Client) | Niveau d’accès | Escalade de privilèges potentielle |
| Intitulé de poste | Rôle professionnel | Attaques ciblées par fonction (DAF, DSI) |
| Date de création du compte | Ancienneté de la relation | Contextualisation des messages frauduleux |
| Horodatage dernière connexion | Activité récente | Identification des comptes vulnérables inactifs |
L’absence de données bancaires dans l’échantillon est une bonne nouvelle relative. Mais les informations opérationnelles disponibles suffisent à construire des attaques d’ingénierie sociale hautement crédibles. Un attaquant connaissant le nom, l’e-mail, l’entreprise, la référence client et l’intitulé de poste d’un interlocuteur peut rédiger un message frauduleux pratiquement indiscernable d’une communication légitime d’ENI France, en invoquant par exemple un renouvellement contractuel, une alerte de sécurité ou une mise à jour tarifaire réglementaire.
L’écosystème Lapsus$ : méthodes, victimes et présence en 2026
L’acteur à l’origine de la mise en vente revendique des liens avec l’écosystème Lapsus$, également connu sous la désignation DEV-0537 attribuée par Microsoft. Ce groupe, actif depuis 2021, s’est fait connaître par des techniques d’ingénierie sociale sophistiquées : SIM swapping, fatigue d’authentification multifacteur (MFA fatigue), achat de credentials sur des forums souterrains et recrutement d’initiés au sein même des entreprises cibles. Ses victimes les plus médiatisées incluent Samsung, Nvidia, Microsoft, Okta, Uber et Rockstar Games, toutes compromises en 2022 via des vecteurs similaires.
Le rapport IBM X-Force Threat Intelligence Index 2026 confirme la persistance de cette menace à l’échelle mondiale. Selon ce rapport : “IBM X-Force a observé en 2025 une multiplication des campagnes visant à exploiter les relations avec les chaînes d’approvisionnement et les prestataires tiers, portées en partie par trois groupes cybercriminels prolifiques : Scattered Spider, LAPSUS$ et ShinyHunters.” IBM X-Force a par ailleurs recensé près de 40 000 vulnérabilités en 2025, dont 56 % exploitables sans authentification préalable. Cette donnée illustre l’ampleur de la surface d’attaque disponible même pour des acteurs peu sophistiqués.
La revendication d’affiliation à Lapsus$ ne signifie pas nécessairement une appartenance directe au groupe original. Dans l’écosystème cybercriminel, des acteurs indépendants revendiquent régulièrement des liens avec des groupes connus pour crédibiliser leurs offres sur les forums et justifier un prix de vente plus élevé. L’enquête devra déterminer si l’acteur derrière la fuite ENI France dispose réellement de capacités techniques comparables au groupe historique ou s’il exploite simplement la réputation de la marque pour maximiser la valeur perçue des données volées.
Administrations, universités, hôtels : qui est réellement exposé ?
La composition du portefeuille clients exposé est particulièrement préoccupante du point de vue de la sécurité institutionnelle. Des organismes gouvernementaux figurent parmi les entités dont les données de compte ont été mises en circulation : pour des administrations publiques, l’exposition d’adresses e-mail professionnelles, de noms et de références internes crée un vecteur d’attaque direct vers des agents dont la compromission pourrait avoir des implications bien au-delà de la relation commerciale avec ENI France. Un e-mail frauduleux portant les détails exacts d’un contrat énergétique réel sera traité comme légitime par la plupart des destinataires sans formation spécifique.
Les universités et établissements d’enseignement supérieur présents dans la base de données représentent une catégorie de cibles particulièrement vulnérables. Ces organisations gèrent des données de recherche sensibles, opèrent des infrastructures numériques partagées entre étudiants et personnels, et présentent des niveaux de sensibilisation à la cybersécurité très hétérogènes selon les départements. Les hôtels, pour leur part, sont connus pour une rotation élevée du personnel et des marges de sécurité informatique réduites. Les PME et TPE complètent ce tableau en ajoutant une catégorie de cibles encore moins équipées pour détecter et contrer des attaques d’ingénierie sociale sophistiquées.
Phishing ciblé et fraude B2B : les scénarios d’attaque concrets
Avec les neuf champs de données exposés dans la base ENI France, un attaquant peut construire au moins trois types d’attaques à fort impact immédiat. Le premier scénario est le spear-phishing par usurpation d’identité ENI France : connaissant la référence client exacte, le statut du compte et l’adresse e-mail, l’attaquant peut envoyer un message imitant une communication légitime d’ENI avec des détails internes vérifiables. Le taux d’ouverture de ce type de message dépasse généralement 60 % selon les études de simulation de phishing en entreprise.
Le deuxième scénario est la fraude au virement bancaire ciblée (Business Email Compromise, BEC). Les profils administrateurs exposés dans la base permettent d’identifier les interlocuteurs en charge de la gestion des comptes, qui peuvent être ciblés avec des demandes de modification de coordonnées bancaires ou de virement urgent, présentées comme émanant d’un interlocuteur ENI connu. Cybernews souligne explicitement que “les attaquants pourraient utiliser les détails de compte professionnel exposés pour mener des campagnes de phishing ciblé et d’ingénierie sociale contre les organisations et leurs utilisateurs.”
Le troisième scénario est le credential stuffing croisé : les adresses e-mail professionnelles exposées, combinées à des bases de mots de passe issus d’autres fuites antérieures, permettent des tentatives automatisées de connexion sur des dizaines d’autres services en ligne. Ce type d’attaque est particulièrement efficace contre des organisations dont les collaborateurs réutilisent les mêmes mots de passe sur plusieurs plateformes, une pratique encore très répandue selon les études de comportement des utilisateurs.
RGPD et CNIL : les obligations légales d’ENI France
Du point de vue réglementaire, la fuite présumée place ENI France dans le périmètre immédiat d’application du Règlement général sur la protection des données (RGPD). Les données exposées incluent des noms, des adresses e-mail professionnelles, des identifiants et des informations relatives à l’activité des comptes, ce qui constitue des données à caractère personnel au sens de l’article 4 du RGPD. En vertu de l’article 33, ENI France est tenue de notifier la CNIL dans un délai de 72 heures après avoir pris connaissance de la violation, sauf si celle-ci est peu susceptible d’engendrer un risque pour les droits et libertés des personnes.
Si la violation est susceptible d’engendrer un risque élevé pour les personnes concernées (article 34 du RGPD), ENI France devrait également les notifier directement et sans délai. La mise en vente publique de données personnelles sur un forum cybercriminel constitue par définition un risque élevé : les données ont déjà quitté le contrôle du responsable de traitement et sont potentiellement accessibles à un grand nombre d’acteurs malveillants. Les amendes prévues par le RGPD peuvent atteindre €20 millions ou 4 % du chiffre d’affaires mondial annuel. Pour ENI S.p.A., avec €82,2 milliards de revenus en 2025, l’exposition théorique maximale dépasse €3,2 milliards.
En pratique, la CNIL tient compte dans ses décisions de la réactivité du responsable de traitement, des mesures correctives déployées et de la gravité effective de la violation. Le silence public d’ENI depuis le 19 juin 2026 est lui-même un facteur qui sera pris en compte par le régulateur : l’absence de communication rapide vers les personnes concernées constitue potentiellement un manquement aux obligations de l’article 34. La sanction record infligée à Yango (100 M€) pour transfert de données vers la Russie illustre la détermination croissante des régulateurs européens. Notre analyse de la condamnation RGPD de Yango détaille les précédents applicables.
La France face à une vague de violations de données en 2026
La fuite ENI France s’inscrit dans un contexte national particulièrement dégradé. Depuis janvier 2026, plusieurs violations de données majeures ont frappé des entités françaises de premier plan, révélant des vulnérabilités systémiques dans la protection des données tant dans le secteur public que privé.
| Organisation | Date | Volume exposé | Type de données | Statut |
|---|---|---|---|---|
| FICOBA (registre bancaire, Min. Économie) | Février 2026 | 1,2 million de comptes | Données bancaires, identités | Enquête en cours |
| ANTS (titres sécurisés) | Avril 2026 | 11,7 millions de comptes | CNI, passeports, permis, e-mails, adresses | CNIL / ANSSI / Parquet de Paris |
| Tchap (messagerie gouvernementale) | 2026 | 73 467 fonctionnaires | Identités, 13,5 Go de messages | Enquête en cours |
| Commission européenne (via Ivanti) | Février 2026 | Non divulgué | Données professionnelles, e-mails | Contenu en 9 heures |
| ENI France | Juin 2026 | 89 463 enregistrements B2B | E-mails, références clients, statuts | Non confirmé par ENI |
FICOBA, ANTS, Tchap : les cibles françaises se multiplient
La violation du registre FICOBA en février 2026, survenue via des credentials volés permettant l’accès au registre bancaire national, avait déjà mis en lumière les risques liés à une authentification insuffisante sur des systèmes contenant des données financières très sensibles. Le piratage de Tchap, la messagerie sécurisée des fonctionnaires français, avait quant à lui soulevé des questions graves sur la capacité de l’État à protéger ses propres communications internes. La violation de l’ANTS en avril 2026, exposant les données de titres d’identité de 11,7 millions de Français, constitue à ce jour la plus grave violation d’une administration française de l’histoire.
Ces incidents s’accumulent à l’heure où la directive NIS2, dont la France est sous la pression de la CJUE pour sa transposition tardive, impose de nouvelles exigences aux opérateurs de services essentiels. Le secteur énergétique figure parmi les secteurs expressément couverts par NIS2. Notre analyse de la situation NIS2 en France détaille les 10 000 entités désormais soumises à ces obligations renforcées, dont les fournisseurs d’énergie comme ENI France.
Le secteur énergétique, cible prioritaire des cybercriminels
Le secteur énergétique est depuis plusieurs années parmi les plus exposés aux cyberattaques, en raison de la criticité de ses infrastructures et de la valeur des données qu’il détient. Selon IBM, les violations de données dans le secteur industriel et énergétique coûtent en moyenne $5,56 millions par incident, soit 13 % au-dessus de la moyenne mondiale, selon le rapport IBM Cost of a Data Breach 2024. Des analyses sectorielles complémentaires établissent que les violations touchant spécifiquement le secteur énergétique atteignent $4,83 millions par incident en moyenne. IBM confirme que le secteur industriel a enregistré la plus forte hausse de coût de violation de toutes les industries analysées en 2024, avec une augmentation de $830 000 par incident par rapport à l’année précédente.
Le marché mondial de la cybersécurité dédiée au secteur énergétique est évalué à $1,78 milliard en 2026 et devrait atteindre $3,03 milliards d’ici 2033 selon Coherent Market Insights, soit un taux de croissance annuel composé de 7,8 %. Cette expansion traduit la prise de conscience progressive des opérateurs face à une menace qui ne se limite plus aux systèmes industriels (OT/SCADA) mais s’étend aux données clients, aux portails B2B et aux systèmes de gestion commerciale. La violation ENI France illustre précisément ce glissement : ce ne sont pas les infrastructures de production qui ont été ciblées, mais le système de gestion des comptes clients professionnels, un vecteur moins surveillé mais tout aussi exploitable.
IBM X-Force 2026 : l’exploitation des applications exposées en hausse de 44 %
Le rapport IBM X-Force Threat Intelligence Index 2026 documente un changement fondamental dans les tactiques d’accès initial utilisées par les cyberattaquants en 2025. L’exploitation des applications exposées sur Internet a progressé de 44 % pour représenter 40 % des incidents recensés, dépassant pour la première fois depuis deux ans l’abus de credentials volés (32 %). Ce basculement résulte de la multiplication des vulnérabilités dans les applications web d’entreprise, souvent déployées rapidement dans des contextes de numérisation accélérée et insuffisamment sécurisées.
IBM X-Force indique que les attaquants “ont de plus en plus exploité les vulnérabilités et les mauvaises configurations des applications orientées internet, une tendance alimentée par des chaînes d’approvisionnement fragiles, des pratiques de développement non sécurisées et des faiblesses telles qu’une authentification insuffisante et du code non sécurisé.” Le rapport identifie également une intensification des compromissions de chaînes d’approvisionnement tierces, trois groupes cybercriminels menant la charge : Scattered Spider, LAPSUS$ et ShinyHunters. Si la fuite ENI France provient d’un prestataire tiers plutôt que de systèmes directs d’ENI, elle correspondrait parfaitement à ce schéma d’attaque documenté.
La vulnérabilité zero-day Ivanti EPMM exploitée contre la Commission européenne en février 2026 (CVSS 9.8) illustre la rapidité avec laquelle des applications d’entreprise largement déployées deviennent des vecteurs d’intrusion à l’échelle continentale. Notre analyse de la vulnérabilité Ivanti EPMM détaille les 5 secteurs ciblés lors de cette campagne. Les attaques de ShinyHunters contre Europa.eu (350 Go exfiltrés) montrent par ailleurs que même des institutions disposant de ressources importantes ne sont pas à l’abri de compromissions profondes.
Recommandations ANSSI pour les opérateurs du secteur énergétique
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) place le secteur énergétique parmi les opérateurs d’importance vitale (OIV) soumis aux obligations de cybersécurité les plus strictes. La stratégie nationale de cybersécurité 2026 de l’ANSSI souligne que “la France fait face à un continuum d’attaques plus étroitement imbriquées, impliquant des acteurs étatiques et des cybercriminels”, et que cette réalité exige une posture de défense permanente et non simplement réactive.
Pour les portails B2B et les systèmes de gestion des comptes clients exposés sur Internet, l’ANSSI recommande plusieurs mesures prioritaires. La première est la mise en oeuvre de l’authentification multifacteur (MFA) sur tous les accès distants et les interfaces de gestion client : une mesure qui aurait pu empêcher ou limiter significativement l’accès non autorisé aux données ENI France si les credentials d’un administrateur ont été compromis. La deuxième est l’application des correctifs de sécurité dans les 48 heures suivant la disponibilité des patches critiques, en particulier sur les applications exposées sur Internet. La troisième concerne la surveillance continue des journaux d’accès et la détection des comportements anormaux, notamment les exports massifs de données ou les connexions depuis des plages IP inhabituelles.
ENI, une cible récurrente : l’incident de mars 2026
La fuite ENI France de juin 2026 ne représente pas le premier incident de sécurité impliquant le groupe ENI en l’espace de quelques mois. En mars 2026, un acteur extorsif avait déjà revendiqué une intrusion dans les systèmes d’Eni S.p.A., la maison mère italienne, exposant une base de données d’environ 90 000 enregistrements selon les données enregistrées par le site databreach.com. Deux incidents distincts ciblant des entités ENI à six mois d’intervalle constitue un signal préoccupant.
Cette récurrence suggère plusieurs hypothèses. La première est que le groupe ENI présente des vulnérabilités structurelles dans sa gestion de l’accès aux données clients qui n’ont pas été corrigées entre les deux incidents. La deuxième est que la réussite apparente de la première opération a attiré l’attention d’autres acteurs sur ENI comme cible potentiellement lucrative. La troisième, et la plus préoccupante, est que la fuite de juin 2026 pourrait être une exploitation de données acquises lors de l’intrusion de mars et mises en vente ultérieurement. L’enquête en cours devra déterminer laquelle de ces hypothèses correspond à la réalité des événements.
5 prédictions pour la cybersécurité des données énergétiques B2B
- Multiplication des attaques sur les portails B2B énergie avant fin 2026. La visibilité donnée à la fuite ENI France va inciter d’autres acteurs à cibler les portails clients des fournisseurs d’énergie européens. Les entreprises qui n’ont pas audité leurs applications web exposées dans les prochaines semaines seront les premières touchées lors de la vague suivante.
- La CNIL lancera au moins une enquête formelle contre un fournisseur d’énergie d’ici la fin de 2026. Dans un contexte où la CNIL a déjà ouvert des procédures liées à l’ANTS et où plusieurs incidents touchent désormais le secteur énergétique, le régulateur va inévitablement intensifier sa surveillance des opérateurs d’énergie qui détiennent des données personnelles de clients professionnels.
- L’authentification multifacteur deviendra une exigence explicite pour les portails B2B énergie sous NIS2. En réponse aux violations répétées impliquant des credentials compromis, les autorités nationales de cybersécurité vont exiger formellement le MFA sur tous les portails exposant des données clients dans le secteur des services essentiels, avec des délais de mise en conformité contraignants d’ici 2027.
- Les acteurs liés à l’écosystème Lapsus$ vont cibler d’autres fournisseurs d’énergie européens. La démonstration que les portails B2B d’un opérateur majeur comme ENI France peuvent être compromis va inciter des groupes similaires à tester les défenses des fournisseurs concurrents en France, en Allemagne, en Italie et en Espagne dans les prochains mois.
- Le cyber threat intelligence deviendra une clause standard dans les contrats d’assurance cyber du secteur énergétique d’ici 2028. La détection de la fuite ENI France par des chercheurs externes (Cybernews, Brinztech) avant toute communication officielle de l’entreprise démontre la valeur opérationnelle de la surveillance des forums cybercriminels. Les assureurs vont intégrer des exigences minimales de monitoring des forums souterrains dans leurs conditions de couverture pour les opérateurs énergétiques.
Ce que doivent faire immédiatement les organisations clientes d’ENI France
Pour les organisations dont les données de compte B2B figurent potentiellement dans la base exposée, trois actions immédiates s’imposent. En premier lieu, changer les mots de passe de tous les comptes liés aux portails ENI France, ainsi que sur tout autre service en ligne utilisant les mêmes identifiants, le credential stuffing automatisé exploitant précisément cette réutilisation. En second lieu, informer les équipes du risque accru de phishing ciblé utilisant des informations internes réelles issues de la fuite : une communication interne factuelle et rapide réduit significativement le taux de succès de ces campagnes. En troisième lieu, surveiller les journaux d’accès des systèmes internes et des services cloud pour détecter des tentatives de connexion inhabituelles utilisant les adresses e-mail professionnelles exposées.
Les profils administrateurs potentiellement exposés dans la base de données doivent faire l’objet d’une attention particulière. Si des employés possédaient des accès “Admin” sur la plateforme ENI France, il convient de vérifier immédiatement si des connexions non autorisées ont eu lieu, de révoquer les accès non nécessaires et d’activer l’authentification multifacteur sur tous les comptes à privilèges sans délai.
Questions fréquentes : fuite de données ENI France 2026
Combien de records ont été exposés dans la fuite ENI France ?
L’acteur malveillant revendique 89 463 enregistrements. Les chercheurs de Cybernews estiment que le chiffre réel est probablement inférieur, des doublons ayant été identifiés dans la base. Les données concernent exclusivement des comptes professionnels B2B, pas des consommateurs particuliers.
Les données bancaires ont-elles été exposées dans la fuite ENI France ?
Non. L’analyse de l’échantillon disponible n’a révélé aucune information bancaire, numéro de carte de paiement ou donnée financière directement exploitable. La fuite contient principalement des données opérationnelles B2B : noms, e-mails, références clients, statuts de comptes, types de profils et horodatages.
Qui est Lapsus$ et quel est son lien avec ENI France ?
Lapsus$ (aussi connu sous la désignation DEV-0537 de Microsoft) est un groupe cybercriminel actif depuis 2021, connu pour ses attaques contre Samsung, Nvidia, Microsoft, Okta, Uber et Rockstar Games via des techniques d’ingénierie sociale. L’acteur à l’origine de la fuite ENI France revendique des liens avec cet écosystème. Une affiliation directe au groupe historique n’est pas encore vérifiée.
ENI France est-elle obligée de notifier la CNIL ?
Oui, si la violation est confirmée. ENI France doit notifier la CNIL dans les 72 heures suivant la prise de connaissance (article 33 du RGPD). Si le risque pour les personnes concernées est élevé, une notification directe aux clients affectés est également requise (article 34 du RGPD). La mise en vente sur un forum cybercriminel constitue un risque élevé par définition.
Quelle amende RGPD ENI France risque-t-elle ?
Théoriquement, les sanctions RGPD peuvent atteindre €20 millions ou 4 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. Pour ENI S.p.A. (€82,2 milliards de revenus en 2025), l’exposition théorique maximale dépasse €3,2 milliards. En pratique, la CNIL tient compte de la réactivité de l’entreprise et des mesures correctives pour déterminer le montant effectif.
Comment savoir si mon organisation est concernée par la fuite ?
Si votre organisation est cliente d’ENI France pour des services énergétiques B2B, considérez par précaution que vos données de contact professionnel pourraient être incluses dans la base exposée. Changez vos accès ENI France, activez le MFA et sensibilisez vos équipes aux risques de phishing ciblé en lien avec cet incident. Le service Have I Been Pwned devrait intégrer cette base dans les prochaines semaines.
Est-ce la première fois qu’ENI est victime d’une cyberattaque ?
Non. En mars 2026, un groupe extorsif avait déjà revendiqué une intrusion dans les systèmes d’Eni S.p.A. (maison mère italienne), avec une base de données d’environ 90 000 enregistrements. Deux incidents distincts ciblant des entités ENI à six mois d’intervalle soulèvent des interrogations légitimes sur la robustesse des mesures de sécurité à l’échelle du groupe.
Couverture connexe
- FICOBA : 1,2 Million de Comptes Bancaires Piratés en France [2026]
- Tchap Piraté : 73 467 Fonctionnaires et 13,5 Go de Messages Volés [2026]
- NIS2 : La France devant la CJUE, 10 000 Entités sous Pression [2026]
- ShinyHunters Pirate Europa.eu : 350 Go Volés à la Commission Européenne [2026]
- Yango Condamné à 100 M€ : RGPD et Transfert de Données vers la Russie [2026]
- Ivanti EPMM Zero-Day CVSS 9.8 : 5 Secteurs Ciblés [2026]
Sources : Privacy Needle, IBM Cost of a Data Breach (Industrial Sector), IBM X-Force Threat Intelligence Index 2026, CNIL, Notification des violations de données, ANSSI, Coherent Market Insights, Energy Cybersecurity Market 2026
