{"id":333,"date":"2026-06-22T08:00:00","date_gmt":"2026-06-22T08:00:00","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/22\/eni-france-fuite-donnees-b2b-lapsus-2026\/"},"modified":"2026-06-22T08:39:54","modified_gmt":"2026-06-22T08:39:54","slug":"eni-france-fuite-donnees-b2b-lapsus-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/22\/eni-france-fuite-donnees-b2b-lapsus-2026\/","title":{"rendered":"ENI France : 89 000 Comptes Pros Expos\u00e9s par Lapsus$ [2026]"},"content":{"rendered":"\n

Le 19 juin 2026, des chercheurs en cybers\u00e9curit\u00e9 de Cybernews ont d\u00e9tect\u00e9 la mise en vente d’une base de donn\u00e9es associ\u00e9e \u00e0 ENI France sur un forum cybercriminel souterrain. Le fichier, distribu\u00e9 au format Excel (.xlsx), contiendrait 89 463 enregistrements B2B<\/strong> appartenant \u00e0 des administrations publiques, des universit\u00e9s, des h\u00f4tels et des entreprises priv\u00e9es fran\u00e7aises. L’acteur \u00e0 l’origine de la publication revendique des liens avec l’\u00e9cosyst\u00e8me Lapsus$, groupe tristement c\u00e9l\u00e8bre pour ses attaques contre Samsung, Microsoft et Nvidia. Aucune donn\u00e9e bancaire n’a \u00e9t\u00e9 observ\u00e9e dans l’\u00e9chantillon analys\u00e9, mais les informations op\u00e9rationnelles expos\u00e9es ouvrent directement la voie \u00e0 des campagnes de phishing cibl\u00e9 et d’ing\u00e9nierie sociale contre des centaines d’organisations clientes.<\/p>\n\n\n\n

L’incident survient dans un contexte de multiplication des violations de donn\u00e9es touchant la France depuis le d\u00e9but de 2026 : le registre FICOBA (1,2 million de comptes bancaires), l’ANTS (11,7 millions de comptes de titres s\u00e9curis\u00e9s), la messagerie gouvernementale Tchap (73 467 fonctionnaires). Pour ENI, filiale fran\u00e7aise du g\u00e9ant \u00e9nerg\u00e9tique italien ENI S.p.A., la violation ne se limite pas \u00e0 un chiffre : elle expose des identit\u00e9s, des r\u00e9f\u00e9rences clients internes et des horodatages d’acc\u00e8s appartenant \u00e0 un tissu professionnel tr\u00e8s large. La r\u00e9currence des incidents ciblant le groupe ENI, apr\u00e8s une premi\u00e8re alerte en mars 2026, soul\u00e8ve des questions l\u00e9gitimes sur la robustesse de ses dispositifs de s\u00e9curit\u00e9.<\/p>\n\n\n\n

ENI France : la fuite du 19 juin 2026 en 6 chiffres cl\u00e9s<\/h2>\n\n\n\n

Trois jours apr\u00e8s la d\u00e9tection de l’incident, le tableau factuel se dessine avec pr\u00e9cision. 89 463 lignes<\/strong> de donn\u00e9es B2B sont revendiqu\u00e9es par l’acteur malveillant, m\u00eame si les chercheurs de Cybernews estiment que le chiffre r\u00e9el est probablement inf\u00e9rieur en raison de doublons. Le fichier est propos\u00e9 \u00e0 la vente en format Excel sur un forum cybercriminel clandestin. Les entit\u00e9s concern\u00e9es incluent des organismes gouvernementaux, des universit\u00e9s, des structures h\u00f4teli\u00e8res et des PME. Aucune information de paiement n’a \u00e9t\u00e9 observ\u00e9e dans l’\u00e9chantillon analys\u00e9 par les chercheurs. L’acteur se r\u00e9clame de l’\u00e9cosyst\u00e8me Lapsus$, groupe responsable de plusieurs attaques retentissantes entre 2021 et 2026. ENI n’a pas confirm\u00e9 publiquement la violation au 22 juin 2026.<\/p>\n\n\n\n

Les chercheurs de Cybernews pr\u00e9cisent dans leur analyse publi\u00e9e le 19 juin : “Les comptes affect\u00e9s semblent \u00eatre des comptes B2B. L’ensemble de donn\u00e9es inclut des organismes gouvernementaux, des universit\u00e9s, des h\u00f4tels et des petites entreprises.”<\/em> Cette diversit\u00e9 sectorielle amplifie le risque syst\u00e9mique : un attaquant disposant de ces donn\u00e9es peut cibler indiff\u00e9remment un minist\u00e8re, une grande \u00e9cole ou une PME h\u00f4teli\u00e8re avec des messages personnalis\u00e9s s’appuyant sur des informations internes r\u00e9elles.<\/p>\n\n\n\n

ENI S.p.A. : le g\u00e9ant \u00e9nerg\u00e9tique derri\u00e8re ENI France<\/h2>\n\n\n\n

ENI S.p.A. est un groupe \u00e9nerg\u00e9tique italien fond\u00e9 en 1953 \u00e0 Rome. Avec un chiffre d’affaires de \u20ac82,2 milliards<\/strong> en 2025 et 35 198 employ\u00e9s<\/strong> r\u00e9partis dans 62 pays (donn\u00e9es Revelio Labs, d\u00e9cembre 2025), ENI figure r\u00e9guli\u00e8rement dans les classements Fortune Global 500 et Forbes Global 2000 parmi les entreprises \u00e9nerg\u00e9tiques les plus importantes au monde. Le groupe couvre l’ensemble de la cha\u00eene de valeur \u00e9nerg\u00e9tique : exploration et production p\u00e9troli\u00e8re et gazi\u00e8re, GNL, \u00e9lectricit\u00e9 renouvelable, bioraffinerie, chimie et \u00e9conomie circulaire.<\/p>\n\n\n\n

Sa filiale fran\u00e7aise, ENI France, assure la fourniture de gaz et d’\u00e9lectricit\u00e9 aux clients professionnels sur le march\u00e9 lib\u00e9ralis\u00e9 hexagonal. C’est pr\u00e9cis\u00e9ment ce portefeuille clients B2B qui se retrouve au coeur de la fuite d\u00e9tect\u00e9e en juin 2026. ENI n’a pas confirm\u00e9 l’\u00e9tendue de la violation ni pr\u00e9cis\u00e9 si les donn\u00e9es provenaient d’une compromission directe de ses syst\u00e8mes ou d’un prestataire tiers. Cette ambigu\u00eft\u00e9, fr\u00e9quente dans les premi\u00e8res heures suivant la d\u00e9couverte d’un incident, complique l’\u00e9valuation du p\u00e9rim\u00e8tre r\u00e9el et des obligations de notification applicables.<\/p>\n\n\n\n

89 463 enregistrements B2B dans un fichier Excel : le contenu de la base<\/h2>\n\n\n\n

La soci\u00e9t\u00e9 d’alerte Brinztech, qui a analys\u00e9 le fichier mis en circulation, souligne que les donn\u00e9es sont “compl\u00e8tes et op\u00e9rationnelles”<\/em>. Contrairement \u00e0 une simple liste de contacts, la base expose des informations internes qui r\u00e9v\u00e8lent l’organisation commerciale d’ENI France et le statut pr\u00e9cis de chaque compte client. Les analystes de Brinztech notent notamment la pr\u00e9sence de profils distinguant les r\u00f4les “Admin” et “Client”, ce qui sugg\u00e8re que la fuite pourrait inclure des acc\u00e8s li\u00e9s \u00e0 la gestion interne de la plateforme et non uniquement des donn\u00e9es clients passifs.<\/p>\n\n\n\n

Champ expos\u00e9<\/th>Type d’information<\/th>Risque principal d’exploitation<\/th><\/tr><\/thead>
Pr\u00e9nom et nom<\/td>Identit\u00e9 personnelle<\/td>Spear-phishing, usurpation d’identit\u00e9<\/td><\/tr>
Adresse e-mail professionnelle<\/td>Contact direct<\/td>Phishing cibl\u00e9, credential stuffing<\/td><\/tr>
Nom de l’entreprise ou organisme<\/td>Identit\u00e9 organisationnelle<\/td>Ing\u00e9nierie sociale contextuelle<\/td><\/tr>
R\u00e9f\u00e9rence client ENI<\/td>Identifiant interne<\/td>Fraude B2B, usurpation de compte<\/td><\/tr>
Statut du compte (actif\/inactif)<\/td>\u00c9tat op\u00e9rationnel<\/td>Ciblage prioritaire des comptes actifs<\/td><\/tr>
Type de profil (Admin \/ Client)<\/td>Niveau d’acc\u00e8s<\/td>Escalade de privil\u00e8ges potentielle<\/td><\/tr>
Intitul\u00e9 de poste<\/td>R\u00f4le professionnel<\/td>Attaques cibl\u00e9es par fonction (DAF, DSI)<\/td><\/tr>
Date de cr\u00e9ation du compte<\/td>Anciennet\u00e9 de la relation<\/td>Contextualisation des messages frauduleux<\/td><\/tr>
Horodatage derni\u00e8re connexion<\/td>Activit\u00e9 r\u00e9cente<\/td>Identification des comptes vuln\u00e9rables inactifs<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

L’absence de donn\u00e9es bancaires dans l’\u00e9chantillon est une bonne nouvelle relative. Mais les informations op\u00e9rationnelles disponibles suffisent \u00e0 construire des attaques d’ing\u00e9nierie sociale hautement cr\u00e9dibles. Un attaquant connaissant le nom, l’e-mail, l’entreprise, la r\u00e9f\u00e9rence client et l’intitul\u00e9 de poste d’un interlocuteur peut r\u00e9diger un message frauduleux pratiquement indiscernable d’une communication l\u00e9gitime d’ENI France, en invoquant par exemple un renouvellement contractuel, une alerte de s\u00e9curit\u00e9 ou une mise \u00e0 jour tarifaire r\u00e9glementaire.<\/p>\n\n\n\n

L’\u00e9cosyst\u00e8me Lapsus$ : m\u00e9thodes, victimes et pr\u00e9sence en 2026<\/h2>\n\n\n\n

L’acteur \u00e0 l’origine de la mise en vente revendique des liens avec l’\u00e9cosyst\u00e8me Lapsus$, \u00e9galement connu sous la d\u00e9signation DEV-0537 attribu\u00e9e par Microsoft. Ce groupe, actif depuis 2021, s’est fait conna\u00eetre par des techniques d’ing\u00e9nierie sociale sophistiqu\u00e9es : SIM swapping, fatigue d’authentification multifacteur (MFA fatigue), achat de credentials sur des forums souterrains et recrutement d’initi\u00e9s au sein m\u00eame des entreprises cibles. Ses victimes les plus m\u00e9diatis\u00e9es incluent Samsung, Nvidia, Microsoft, Okta, Uber et Rockstar Games, toutes compromises en 2022 via des vecteurs similaires.<\/p>\n\n\n\n

Le rapport IBM X-Force Threat Intelligence Index 2026 confirme la persistance de cette menace \u00e0 l’\u00e9chelle mondiale. Selon ce rapport : “IBM X-Force a observ\u00e9 en 2025 une multiplication des campagnes visant \u00e0 exploiter les relations avec les cha\u00eenes d’approvisionnement et les prestataires tiers, port\u00e9es en partie par trois groupes cybercriminels prolifiques : Scattered Spider, LAPSUS$ et ShinyHunters.”<\/em> IBM X-Force a par ailleurs recens\u00e9 pr\u00e8s de 40 000 vuln\u00e9rabilit\u00e9s<\/strong> en 2025, dont 56 % exploitables sans authentification pr\u00e9alable<\/strong>. Cette donn\u00e9e illustre l’ampleur de la surface d’attaque disponible m\u00eame pour des acteurs peu sophistiqu\u00e9s.<\/p>\n\n\n\n

La revendication d’affiliation \u00e0 Lapsus$ ne signifie pas n\u00e9cessairement une appartenance directe au groupe original. Dans l’\u00e9cosyst\u00e8me cybercriminel, des acteurs ind\u00e9pendants revendiquent r\u00e9guli\u00e8rement des liens avec des groupes connus pour cr\u00e9dibiliser leurs offres sur les forums et justifier un prix de vente plus \u00e9lev\u00e9. L’enqu\u00eate devra d\u00e9terminer si l’acteur derri\u00e8re la fuite ENI France dispose r\u00e9ellement de capacit\u00e9s techniques comparables au groupe historique ou s’il exploite simplement la r\u00e9putation de la marque pour maximiser la valeur per\u00e7ue des donn\u00e9es vol\u00e9es.<\/p>\n\n\n\n

Administrations, universit\u00e9s, h\u00f4tels : qui est r\u00e9ellement expos\u00e9 ?<\/h2>\n\n\n\n

La composition du portefeuille clients expos\u00e9 est particuli\u00e8rement pr\u00e9occupante du point de vue de la s\u00e9curit\u00e9 institutionnelle. Des organismes gouvernementaux figurent parmi les entit\u00e9s dont les donn\u00e9es de compte ont \u00e9t\u00e9 mises en circulation : pour des administrations publiques, l’exposition d’adresses e-mail professionnelles, de noms et de r\u00e9f\u00e9rences internes cr\u00e9e un vecteur d’attaque direct vers des agents dont la compromission pourrait avoir des implications bien au-del\u00e0 de la relation commerciale avec ENI France. Un e-mail frauduleux portant les d\u00e9tails exacts d’un contrat \u00e9nerg\u00e9tique r\u00e9el sera trait\u00e9 comme l\u00e9gitime par la plupart des destinataires sans formation sp\u00e9cifique.<\/p>\n\n\n\n

Les universit\u00e9s et \u00e9tablissements d’enseignement sup\u00e9rieur pr\u00e9sents dans la base de donn\u00e9es repr\u00e9sentent une cat\u00e9gorie de cibles particuli\u00e8rement vuln\u00e9rables. Ces organisations g\u00e8rent des donn\u00e9es de recherche sensibles, op\u00e8rent des infrastructures num\u00e9riques partag\u00e9es entre \u00e9tudiants et personnels, et pr\u00e9sentent des niveaux de sensibilisation \u00e0 la cybers\u00e9curit\u00e9 tr\u00e8s h\u00e9t\u00e9rog\u00e8nes selon les d\u00e9partements. Les h\u00f4tels, pour leur part, sont connus pour une rotation \u00e9lev\u00e9e du personnel et des marges de s\u00e9curit\u00e9 informatique r\u00e9duites. Les PME et TPE compl\u00e8tent ce tableau en ajoutant une cat\u00e9gorie de cibles encore moins \u00e9quip\u00e9es pour d\u00e9tecter et contrer des attaques d’ing\u00e9nierie sociale sophistiqu\u00e9es.<\/p>\n\n\n\n

Phishing cibl\u00e9 et fraude B2B : les sc\u00e9narios d’attaque concrets<\/h2>\n\n\n\n

Avec les neuf champs de donn\u00e9es expos\u00e9s dans la base ENI France, un attaquant peut construire au moins trois types d’attaques \u00e0 fort impact imm\u00e9diat. Le premier sc\u00e9nario est le spear-phishing par usurpation d’identit\u00e9 ENI France<\/strong> : connaissant la r\u00e9f\u00e9rence client exacte, le statut du compte et l’adresse e-mail, l’attaquant peut envoyer un message imitant une communication l\u00e9gitime d’ENI avec des d\u00e9tails internes v\u00e9rifiables. Le taux d’ouverture de ce type de message d\u00e9passe g\u00e9n\u00e9ralement 60 % selon les \u00e9tudes de simulation de phishing en entreprise.<\/p>\n\n\n\n

Le deuxi\u00e8me sc\u00e9nario est la fraude au virement bancaire cibl\u00e9e<\/strong> (Business Email Compromise, BEC). Les profils administrateurs expos\u00e9s dans la base permettent d’identifier les interlocuteurs en charge de la gestion des comptes, qui peuvent \u00eatre cibl\u00e9s avec des demandes de modification de coordonn\u00e9es bancaires ou de virement urgent, pr\u00e9sent\u00e9es comme \u00e9manant d’un interlocuteur ENI connu. Cybernews souligne explicitement que “les attaquants pourraient utiliser les d\u00e9tails de compte professionnel expos\u00e9s pour mener des campagnes de phishing cibl\u00e9 et d’ing\u00e9nierie sociale contre les organisations et leurs utilisateurs.”<\/em><\/p>\n\n\n\n

Le troisi\u00e8me sc\u00e9nario est le credential stuffing crois\u00e9<\/strong> : les adresses e-mail professionnelles expos\u00e9es, combin\u00e9es \u00e0 des bases de mots de passe issus d’autres fuites ant\u00e9rieures, permettent des tentatives automatis\u00e9es de connexion sur des dizaines d’autres services en ligne. Ce type d’attaque est particuli\u00e8rement efficace contre des organisations dont les collaborateurs r\u00e9utilisent les m\u00eames mots de passe sur plusieurs plateformes, une pratique encore tr\u00e8s r\u00e9pandue selon les \u00e9tudes de comportement des utilisateurs.<\/p>\n\n\n\n

RGPD et CNIL : les obligations l\u00e9gales d’ENI France<\/h2>\n\n\n\n

Du point de vue r\u00e9glementaire, la fuite pr\u00e9sum\u00e9e place ENI France dans le p\u00e9rim\u00e8tre imm\u00e9diat d’application du R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD). Les donn\u00e9es expos\u00e9es incluent des noms, des adresses e-mail professionnelles, des identifiants et des informations relatives \u00e0 l’activit\u00e9 des comptes, ce qui constitue des donn\u00e9es \u00e0 caract\u00e8re personnel au sens de l’article 4 du RGPD. En vertu de l’article 33, ENI France est tenue de notifier la CNIL dans un d\u00e9lai de 72 heures<\/strong> apr\u00e8s avoir pris connaissance de la violation, sauf si celle-ci est peu susceptible d’engendrer un risque pour les droits et libert\u00e9s des personnes.<\/p>\n\n\n\n

Si la violation est susceptible d’engendrer un risque \u00e9lev\u00e9 pour les personnes concern\u00e9es (article 34 du RGPD), ENI France devrait \u00e9galement les notifier directement et sans d\u00e9lai. La mise en vente publique de donn\u00e9es personnelles sur un forum cybercriminel constitue par d\u00e9finition un risque \u00e9lev\u00e9 : les donn\u00e9es ont d\u00e9j\u00e0 quitt\u00e9 le contr\u00f4le du responsable de traitement et sont potentiellement accessibles \u00e0 un grand nombre d’acteurs malveillants. Les amendes pr\u00e9vues par le RGPD peuvent atteindre \u20ac20 millions ou 4 % du chiffre d’affaires mondial annuel<\/strong>. Pour ENI S.p.A., avec \u20ac82,2 milliards de revenus en 2025, l’exposition th\u00e9orique maximale d\u00e9passe \u20ac3,2 milliards<\/strong>.<\/p>\n\n\n\n

En pratique, la CNIL tient compte dans ses d\u00e9cisions de la r\u00e9activit\u00e9 du responsable de traitement, des mesures correctives d\u00e9ploy\u00e9es et de la gravit\u00e9 effective de la violation. Le silence public d’ENI depuis le 19 juin 2026 est lui-m\u00eame un facteur qui sera pris en compte par le r\u00e9gulateur : l’absence de communication rapide vers les personnes concern\u00e9es constitue potentiellement un manquement aux obligations de l’article 34. La sanction record inflig\u00e9e \u00e0 Yango (100 M\u20ac) pour transfert de donn\u00e9es vers la Russie illustre la d\u00e9termination croissante des r\u00e9gulateurs europ\u00e9ens. Notre analyse de la condamnation RGPD de Yango<\/a> d\u00e9taille les pr\u00e9c\u00e9dents applicables.<\/p>\n\n\n\n

La France face \u00e0 une vague de violations de donn\u00e9es en 2026<\/h2>\n\n\n\n

La fuite ENI France s’inscrit dans un contexte national particuli\u00e8rement d\u00e9grad\u00e9. Depuis janvier 2026, plusieurs violations de donn\u00e9es majeures ont frapp\u00e9 des entit\u00e9s fran\u00e7aises de premier plan, r\u00e9v\u00e9lant des vuln\u00e9rabilit\u00e9s syst\u00e9miques dans la protection des donn\u00e9es tant dans le secteur public que priv\u00e9.<\/p>\n\n\n\n

Organisation<\/th>Date<\/th>Volume expos\u00e9<\/th>Type de donn\u00e9es<\/th>Statut<\/th><\/tr><\/thead>
FICOBA (registre bancaire, Min. \u00c9conomie)<\/td>F\u00e9vrier 2026<\/td>1,2 million de comptes<\/td>Donn\u00e9es bancaires, identit\u00e9s<\/td>Enqu\u00eate en cours<\/td><\/tr>
ANTS (titres s\u00e9curis\u00e9s)<\/td>Avril 2026<\/td>11,7 millions de comptes<\/td>CNI, passeports, permis, e-mails, adresses<\/td>CNIL \/ ANSSI \/ Parquet de Paris<\/td><\/tr>
Tchap (messagerie gouvernementale)<\/td>2026<\/td>73 467 fonctionnaires<\/td>Identit\u00e9s, 13,5 Go de messages<\/td>Enqu\u00eate en cours<\/td><\/tr>
Commission europ\u00e9enne (via Ivanti)<\/td>F\u00e9vrier 2026<\/td>Non divulgu\u00e9<\/td>Donn\u00e9es professionnelles, e-mails<\/td>Contenu en 9 heures<\/td><\/tr>
ENI France<\/td>Juin 2026<\/td>89 463 enregistrements B2B<\/td>E-mails, r\u00e9f\u00e9rences clients, statuts<\/td>Non confirm\u00e9 par ENI<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

FICOBA, ANTS, Tchap : les cibles fran\u00e7aises se multiplient<\/h3>\n\n\n\n

La violation du registre FICOBA<\/a> en f\u00e9vrier 2026, survenue via des credentials vol\u00e9s permettant l’acc\u00e8s au registre bancaire national, avait d\u00e9j\u00e0 mis en lumi\u00e8re les risques li\u00e9s \u00e0 une authentification insuffisante sur des syst\u00e8mes contenant des donn\u00e9es financi\u00e8res tr\u00e8s sensibles. Le piratage de Tchap<\/a>, la messagerie s\u00e9curis\u00e9e des fonctionnaires fran\u00e7ais, avait quant \u00e0 lui soulev\u00e9 des questions graves sur la capacit\u00e9 de l’\u00c9tat \u00e0 prot\u00e9ger ses propres communications internes. La violation de l’ANTS en avril 2026, exposant les donn\u00e9es de titres d’identit\u00e9 de 11,7 millions de Fran\u00e7ais, constitue \u00e0 ce jour la plus grave violation d’une administration fran\u00e7aise de l’histoire.<\/p>\n\n\n\n

Ces incidents s’accumulent \u00e0 l’heure o\u00f9 la directive NIS2, dont la France est sous la pression de la CJUE pour sa transposition tardive, impose de nouvelles exigences aux op\u00e9rateurs de services essentiels. Le secteur \u00e9nerg\u00e9tique figure parmi les secteurs express\u00e9ment couverts par NIS2. Notre analyse de la situation NIS2 en France<\/a> d\u00e9taille les 10 000 entit\u00e9s d\u00e9sormais soumises \u00e0 ces obligations renforc\u00e9es, dont les fournisseurs d’\u00e9nergie comme ENI France.<\/p>\n\n\n\n

Le secteur \u00e9nerg\u00e9tique, cible prioritaire des cybercriminels<\/h2>\n\n\n\n

Le secteur \u00e9nerg\u00e9tique est depuis plusieurs ann\u00e9es parmi les plus expos\u00e9s aux cyberattaques, en raison de la criticit\u00e9 de ses infrastructures et de la valeur des donn\u00e9es qu’il d\u00e9tient. Selon IBM, les violations de donn\u00e9es dans le secteur industriel et \u00e9nerg\u00e9tique co\u00fbtent en moyenne $5,56 millions par incident<\/strong>, soit 13 % au-dessus de la moyenne mondiale, selon le rapport IBM Cost of a Data Breach 2024. Des analyses sectorielles compl\u00e9mentaires \u00e9tablissent que les violations touchant sp\u00e9cifiquement le secteur \u00e9nerg\u00e9tique atteignent $4,83 millions par incident en moyenne<\/strong>. IBM confirme que le secteur industriel a enregistr\u00e9 la plus forte hausse de co\u00fbt de violation de toutes les industries analys\u00e9es en 2024, avec une augmentation de $830 000 par incident par rapport \u00e0 l’ann\u00e9e pr\u00e9c\u00e9dente<\/strong>.<\/p>\n\n\n\n

Le march\u00e9 mondial de la cybers\u00e9curit\u00e9 d\u00e9di\u00e9e au secteur \u00e9nerg\u00e9tique est \u00e9valu\u00e9 \u00e0 $1,78 milliard en 2026<\/strong> et devrait atteindre $3,03 milliards d’ici 2033<\/strong> selon Coherent Market Insights, soit un taux de croissance annuel compos\u00e9 de 7,8 %. Cette expansion traduit la prise de conscience progressive des op\u00e9rateurs face \u00e0 une menace qui ne se limite plus aux syst\u00e8mes industriels (OT\/SCADA) mais s’\u00e9tend aux donn\u00e9es clients, aux portails B2B et aux syst\u00e8mes de gestion commerciale. La violation ENI France illustre pr\u00e9cis\u00e9ment ce glissement : ce ne sont pas les infrastructures de production qui ont \u00e9t\u00e9 cibl\u00e9es, mais le syst\u00e8me de gestion des comptes clients professionnels, un vecteur moins surveill\u00e9 mais tout aussi exploitable.<\/p>\n\n\n\n

IBM X-Force 2026 : l’exploitation des applications expos\u00e9es en hausse de 44 %<\/h2>\n\n\n\n

Le rapport IBM X-Force Threat Intelligence Index 2026 documente un changement fondamental dans les tactiques d’acc\u00e8s initial utilis\u00e9es par les cyberattaquants en 2025. L’exploitation des applications expos\u00e9es sur Internet a progress\u00e9 de 44 %<\/strong> pour repr\u00e9senter 40 % des incidents<\/strong> recens\u00e9s, d\u00e9passant pour la premi\u00e8re fois depuis deux ans l’abus de credentials vol\u00e9s (32 %). Ce basculement r\u00e9sulte de la multiplication des vuln\u00e9rabilit\u00e9s dans les applications web d’entreprise, souvent d\u00e9ploy\u00e9es rapidement dans des contextes de num\u00e9risation acc\u00e9l\u00e9r\u00e9e et insuffisamment s\u00e9curis\u00e9es.<\/p>\n\n\n\n

IBM X-Force indique que les attaquants “ont de plus en plus exploit\u00e9 les vuln\u00e9rabilit\u00e9s et les mauvaises configurations des applications orient\u00e9es internet, une tendance aliment\u00e9e par des cha\u00eenes d’approvisionnement fragiles, des pratiques de d\u00e9veloppement non s\u00e9curis\u00e9es et des faiblesses telles qu’une authentification insuffisante et du code non s\u00e9curis\u00e9.”<\/em> Le rapport identifie \u00e9galement une intensification des compromissions de cha\u00eenes d’approvisionnement tierces, trois groupes cybercriminels menant la charge : Scattered Spider, LAPSUS$ et ShinyHunters. Si la fuite ENI France provient d’un prestataire tiers plut\u00f4t que de syst\u00e8mes directs d’ENI, elle correspondrait parfaitement \u00e0 ce sch\u00e9ma d’attaque document\u00e9.<\/p>\n\n\n\n

La vuln\u00e9rabilit\u00e9 zero-day Ivanti EPMM exploit\u00e9e contre la Commission europ\u00e9enne en f\u00e9vrier 2026 (CVSS 9.8) illustre la rapidit\u00e9 avec laquelle des applications d’entreprise largement d\u00e9ploy\u00e9es deviennent des vecteurs d’intrusion \u00e0 l’\u00e9chelle continentale. Notre analyse de la vuln\u00e9rabilit\u00e9 Ivanti EPMM<\/a> d\u00e9taille les 5 secteurs cibl\u00e9s lors de cette campagne. Les attaques de ShinyHunters contre Europa.eu<\/a> (350 Go exfiltr\u00e9s) montrent par ailleurs que m\u00eame des institutions disposant de ressources importantes ne sont pas \u00e0 l’abri de compromissions profondes.<\/p>\n\n\n\n

Recommandations ANSSI pour les op\u00e9rateurs du secteur \u00e9nerg\u00e9tique<\/h2>\n\n\n\n

L’Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d’information (ANSSI) place le secteur \u00e9nerg\u00e9tique parmi les op\u00e9rateurs d’importance vitale (OIV) soumis aux obligations de cybers\u00e9curit\u00e9 les plus strictes. La strat\u00e9gie nationale de cybers\u00e9curit\u00e9 2026 de l’ANSSI souligne que “la France fait face \u00e0 un continuum d’attaques plus \u00e9troitement imbriqu\u00e9es, impliquant des acteurs \u00e9tatiques et des cybercriminels”<\/em>, et que cette r\u00e9alit\u00e9 exige une posture de d\u00e9fense permanente et non simplement r\u00e9active.<\/p>\n\n\n\n

Pour les portails B2B et les syst\u00e8mes de gestion des comptes clients expos\u00e9s sur Internet, l’ANSSI recommande plusieurs mesures prioritaires. La premi\u00e8re est la mise en oeuvre de l’authentification multifacteur (MFA)<\/strong> sur tous les acc\u00e8s distants et les interfaces de gestion client : une mesure qui aurait pu emp\u00eacher ou limiter significativement l’acc\u00e8s non autoris\u00e9 aux donn\u00e9es ENI France si les credentials d’un administrateur ont \u00e9t\u00e9 compromis. La deuxi\u00e8me est l’application des correctifs de s\u00e9curit\u00e9 dans les 48 heures<\/strong> suivant la disponibilit\u00e9 des patches critiques, en particulier sur les applications expos\u00e9es sur Internet. La troisi\u00e8me concerne la surveillance continue<\/strong> des journaux d’acc\u00e8s et la d\u00e9tection des comportements anormaux, notamment les exports massifs de donn\u00e9es ou les connexions depuis des plages IP inhabituelles.<\/p>\n\n\n\n

ENI, une cible r\u00e9currente : l’incident de mars 2026<\/h2>\n\n\n\n

La fuite ENI France de juin 2026 ne repr\u00e9sente pas le premier incident de s\u00e9curit\u00e9 impliquant le groupe ENI en l’espace de quelques mois. En mars 2026, un acteur extorsif avait d\u00e9j\u00e0 revendiqu\u00e9 une intrusion dans les syst\u00e8mes d’Eni S.p.A., la maison m\u00e8re italienne, exposant une base de donn\u00e9es d’environ 90 000 enregistrements selon les donn\u00e9es enregistr\u00e9es par le site databreach.com. Deux incidents distincts ciblant des entit\u00e9s ENI \u00e0 six mois d’intervalle constitue un signal pr\u00e9occupant.<\/p>\n\n\n\n

Cette r\u00e9currence sugg\u00e8re plusieurs hypoth\u00e8ses. La premi\u00e8re est que le groupe ENI pr\u00e9sente des vuln\u00e9rabilit\u00e9s structurelles dans sa gestion de l’acc\u00e8s aux donn\u00e9es clients qui n’ont pas \u00e9t\u00e9 corrig\u00e9es entre les deux incidents. La deuxi\u00e8me est que la r\u00e9ussite apparente de la premi\u00e8re op\u00e9ration a attir\u00e9 l’attention d’autres acteurs sur ENI comme cible potentiellement lucrative. La troisi\u00e8me, et la plus pr\u00e9occupante, est que la fuite de juin 2026 pourrait \u00eatre une exploitation de donn\u00e9es acquises lors de l’intrusion de mars et mises en vente ult\u00e9rieurement. L’enqu\u00eate en cours devra d\u00e9terminer laquelle de ces hypoth\u00e8ses correspond \u00e0 la r\u00e9alit\u00e9 des \u00e9v\u00e9nements.<\/p>\n\n\n\n

5 pr\u00e9dictions pour la cybers\u00e9curit\u00e9 des donn\u00e9es \u00e9nerg\u00e9tiques B2B<\/h2>\n\n\n\n
    \n
  1. Multiplication des attaques sur les portails B2B \u00e9nergie avant fin 2026.<\/strong> La visibilit\u00e9 donn\u00e9e \u00e0 la fuite ENI France va inciter d’autres acteurs \u00e0 cibler les portails clients des fournisseurs d’\u00e9nergie europ\u00e9ens. Les entreprises qui n’ont pas audit\u00e9 leurs applications web expos\u00e9es dans les prochaines semaines seront les premi\u00e8res touch\u00e9es lors de la vague suivante.<\/li>\n\n\n\n
  2. La CNIL lancera au moins une enqu\u00eate formelle contre un fournisseur d’\u00e9nergie d’ici la fin de 2026.<\/strong> Dans un contexte o\u00f9 la CNIL a d\u00e9j\u00e0 ouvert des proc\u00e9dures li\u00e9es \u00e0 l’ANTS et o\u00f9 plusieurs incidents touchent d\u00e9sormais le secteur \u00e9nerg\u00e9tique, le r\u00e9gulateur va in\u00e9vitablement intensifier sa surveillance des op\u00e9rateurs d’\u00e9nergie qui d\u00e9tiennent des donn\u00e9es personnelles de clients professionnels.<\/li>\n\n\n\n
  3. L’authentification multifacteur deviendra une exigence explicite pour les portails B2B \u00e9nergie sous NIS2.<\/strong> En r\u00e9ponse aux violations r\u00e9p\u00e9t\u00e9es impliquant des credentials compromis, les autorit\u00e9s nationales de cybers\u00e9curit\u00e9 vont exiger formellement le MFA sur tous les portails exposant des donn\u00e9es clients dans le secteur des services essentiels, avec des d\u00e9lais de mise en conformit\u00e9 contraignants d’ici 2027.<\/li>\n\n\n\n
  4. Les acteurs li\u00e9s \u00e0 l’\u00e9cosyst\u00e8me Lapsus$ vont cibler d’autres fournisseurs d’\u00e9nergie europ\u00e9ens.<\/strong> La d\u00e9monstration que les portails B2B d’un op\u00e9rateur majeur comme ENI France peuvent \u00eatre compromis va inciter des groupes similaires \u00e0 tester les d\u00e9fenses des fournisseurs concurrents en France, en Allemagne, en Italie et en Espagne dans les prochains mois.<\/li>\n\n\n\n
  5. Le cyber threat intelligence deviendra une clause standard dans les contrats d’assurance cyber du secteur \u00e9nerg\u00e9tique d’ici 2028.<\/strong> La d\u00e9tection de la fuite ENI France par des chercheurs externes (Cybernews, Brinztech) avant toute communication officielle de l’entreprise d\u00e9montre la valeur op\u00e9rationnelle de la surveillance des forums cybercriminels. Les assureurs vont int\u00e9grer des exigences minimales de monitoring des forums souterrains dans leurs conditions de couverture pour les op\u00e9rateurs \u00e9nerg\u00e9tiques.<\/li>\n<\/ol>\n\n\n\n

    Ce que doivent faire imm\u00e9diatement les organisations clientes d’ENI France<\/h2>\n\n\n\n

    Pour les organisations dont les donn\u00e9es de compte B2B figurent potentiellement dans la base expos\u00e9e, trois actions imm\u00e9diates s’imposent. En premier lieu, changer les mots de passe<\/strong> de tous les comptes li\u00e9s aux portails ENI France, ainsi que sur tout autre service en ligne utilisant les m\u00eames identifiants, le credential stuffing automatis\u00e9 exploitant pr\u00e9cis\u00e9ment cette r\u00e9utilisation. En second lieu, informer les \u00e9quipes<\/strong> du risque accru de phishing cibl\u00e9 utilisant des informations internes r\u00e9elles issues de la fuite : une communication interne factuelle et rapide r\u00e9duit significativement le taux de succ\u00e8s de ces campagnes. En troisi\u00e8me lieu, surveiller les journaux d’acc\u00e8s<\/strong> des syst\u00e8mes internes et des services cloud pour d\u00e9tecter des tentatives de connexion inhabituelles utilisant les adresses e-mail professionnelles expos\u00e9es.<\/p>\n\n\n\n

    Les profils administrateurs potentiellement expos\u00e9s dans la base de donn\u00e9es doivent faire l’objet d’une attention particuli\u00e8re. Si des employ\u00e9s poss\u00e9daient des acc\u00e8s “Admin” sur la plateforme ENI France, il convient de v\u00e9rifier imm\u00e9diatement si des connexions non autoris\u00e9es ont eu lieu, de r\u00e9voquer les acc\u00e8s non n\u00e9cessaires et d’activer l’authentification multifacteur sur tous les comptes \u00e0 privil\u00e8ges sans d\u00e9lai.<\/p>\n\n\n\n

    Questions fr\u00e9quentes : fuite de donn\u00e9es ENI France 2026<\/h2>\n\n\n\n

    Combien de records ont \u00e9t\u00e9 expos\u00e9s dans la fuite ENI France ?<\/h3>\n\n\n\n

    L’acteur malveillant revendique 89 463 enregistrements. Les chercheurs de Cybernews estiment que le chiffre r\u00e9el est probablement inf\u00e9rieur, des doublons ayant \u00e9t\u00e9 identifi\u00e9s dans la base. Les donn\u00e9es concernent exclusivement des comptes professionnels B2B, pas des consommateurs particuliers.<\/p>\n\n\n\n

    Les donn\u00e9es bancaires ont-elles \u00e9t\u00e9 expos\u00e9es dans la fuite ENI France ?<\/h3>\n\n\n\n

    Non. L’analyse de l’\u00e9chantillon disponible n’a r\u00e9v\u00e9l\u00e9 aucune information bancaire, num\u00e9ro de carte de paiement ou donn\u00e9e financi\u00e8re directement exploitable. La fuite contient principalement des donn\u00e9es op\u00e9rationnelles B2B : noms, e-mails, r\u00e9f\u00e9rences clients, statuts de comptes, types de profils et horodatages.<\/p>\n\n\n\n

    Qui est Lapsus$ et quel est son lien avec ENI France ?<\/h3>\n\n\n\n

    Lapsus$ (aussi connu sous la d\u00e9signation DEV-0537 de Microsoft) est un groupe cybercriminel actif depuis 2021, connu pour ses attaques contre Samsung, Nvidia, Microsoft, Okta, Uber et Rockstar Games via des techniques d’ing\u00e9nierie sociale. L’acteur \u00e0 l’origine de la fuite ENI France revendique des liens avec cet \u00e9cosyst\u00e8me. Une affiliation directe au groupe historique n’est pas encore v\u00e9rifi\u00e9e.<\/p>\n\n\n\n

    ENI France est-elle oblig\u00e9e de notifier la CNIL ?<\/h3>\n\n\n\n

    Oui, si la violation est confirm\u00e9e. ENI France doit notifier la CNIL dans les 72 heures suivant la prise de connaissance (article 33 du RGPD). Si le risque pour les personnes concern\u00e9es est \u00e9lev\u00e9, une notification directe aux clients affect\u00e9s est \u00e9galement requise (article 34 du RGPD). La mise en vente sur un forum cybercriminel constitue un risque \u00e9lev\u00e9 par d\u00e9finition.<\/p>\n\n\n\n

    Quelle amende RGPD ENI France risque-t-elle ?<\/h3>\n\n\n\n

    Th\u00e9oriquement, les sanctions RGPD peuvent atteindre \u20ac20 millions ou 4 % du chiffre d’affaires mondial annuel, le montant le plus \u00e9lev\u00e9 \u00e9tant retenu. Pour ENI S.p.A. (\u20ac82,2 milliards de revenus en 2025), l’exposition th\u00e9orique maximale d\u00e9passe \u20ac3,2 milliards. En pratique, la CNIL tient compte de la r\u00e9activit\u00e9 de l’entreprise et des mesures correctives pour d\u00e9terminer le montant effectif.<\/p>\n\n\n\n

    Comment savoir si mon organisation est concern\u00e9e par la fuite ?<\/h3>\n\n\n\n

    Si votre organisation est cliente d’ENI France pour des services \u00e9nerg\u00e9tiques B2B, consid\u00e9rez par pr\u00e9caution que vos donn\u00e9es de contact professionnel pourraient \u00eatre incluses dans la base expos\u00e9e. Changez vos acc\u00e8s ENI France, activez le MFA et sensibilisez vos \u00e9quipes aux risques de phishing cibl\u00e9 en lien avec cet incident. Le service Have I Been Pwned devrait int\u00e9grer cette base dans les prochaines semaines.<\/p>\n\n\n\n

    Est-ce la premi\u00e8re fois qu’ENI est victime d’une cyberattaque ?<\/h3>\n\n\n\n

    Non. En mars 2026, un groupe extorsif avait d\u00e9j\u00e0 revendiqu\u00e9 une intrusion dans les syst\u00e8mes d’Eni S.p.A. (maison m\u00e8re italienne), avec une base de donn\u00e9es d’environ 90 000 enregistrements. Deux incidents distincts ciblant des entit\u00e9s ENI \u00e0 six mois d’intervalle soul\u00e8vent des interrogations l\u00e9gitimes sur la robustesse des mesures de s\u00e9curit\u00e9 \u00e0 l’\u00e9chelle du groupe.<\/p>\n\n\n\n

    Couverture connexe<\/h3>\n\n\n\n