{"id":55,"date":"2026-06-11T04:24:16","date_gmt":"2026-06-11T04:24:16","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/11\/faille-ivanti-cyberattaque-ue-2026\/"},"modified":"2026-06-11T04:24:16","modified_gmt":"2026-06-11T04:24:16","slug":"faille-ivanti-cyberattaque-ue-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/11\/faille-ivanti-cyberattaque-ue-2026\/","title":{"rendered":"Faille Ivanti CVSS 9.8 : l’UE frapp\u00e9e en 9 h [2026]"},"content":{"rendered":"\n

Deux vuln\u00e9rabilit\u00e9s critiques not\u00e9es 9,8 sur 10 dans le logiciel Ivanti Endpoint Manager Mobile (EPMM) ont d\u00e9clench\u00e9 l’une des pires s\u00e9ries de compromissions d’institutions publiques europ\u00e9ennes de la d\u00e9cennie. En quelques semaines, d\u00e9but 2026, la Commission europ\u00e9enne, l’autorit\u00e9 n\u00e9erlandaise de protection des donn\u00e9es et le Conseil de la magistrature des Pays-Bas ont \u00e9t\u00e9 touch\u00e9s via ces failles exploit\u00e9es avant tout correctif. Dans le m\u00eame temps, la France a vu le registre national des comptes bancaires pirat\u00e9, exposant 1,2 million de comptes. La faille Ivanti est devenue le symbole d’un risque que les r\u00e9gulateurs europ\u00e9ens nomment depuis des mois : les \u00e9quipements de p\u00e9riph\u00e9rie restent le maillon faible de la cyberd\u00e9fense du continent.<\/p>\n\n\n\n

Cette analyse retrace la chronologie des attaques, d\u00e9cortique les deux zero-days \u00e0 l’origine de la crise, mesure l’impact sur le march\u00e9 et la r\u00e9glementation, et donne la parole aux agences et aux chercheurs. Toutes les donn\u00e9es chiffr\u00e9es proviennent des avis de s\u00e9curit\u00e9 officiels et des communications publiques des organisations concern\u00e9es.<\/p>\n\n\n\n

Faille Ivanti 2026 : ce qui s’est r\u00e9ellement pass\u00e9<\/h2>\n\n\n\n

Le 29 janvier 2026, Ivanti publie un avis de s\u00e9curit\u00e9 d\u00e9crivant deux vuln\u00e9rabilit\u00e9s dans EPMM, sa plateforme de gestion des terminaux mobiles. Les deux sont not\u00e9es 9,8 sur l’\u00e9chelle CVSS, soit la cat\u00e9gorie \u00ab critique \u00bb la plus \u00e9lev\u00e9e. Les deux \u00e9taient d\u00e9j\u00e0 exploit\u00e9es comme zero-days, c’est-\u00e0-dire attaqu\u00e9es avant qu’un correctif n’existe. Ivanti a indiqu\u00e9 qu’\u00ab un nombre tr\u00e8s limit\u00e9 de clients \u00bb avait \u00e9t\u00e9 affect\u00e9 par l’exploitation de ces deux failles, sans nommer de victime ni de groupe responsable.<\/p>\n\n\n\n

Quelques jours plus tard, en f\u00e9vrier 2026, l’ampleur r\u00e9elle appara\u00eet. La Commission europ\u00e9enne confirme avoir \u00e9t\u00e9 compromise via ces vuln\u00e9rabilit\u00e9s Ivanti EPMM. Aux Pays-Bas, l’autorit\u00e9 de protection des donn\u00e9es (la Dutch Data Protection Authority) et le Conseil de la magistrature reconnaissent eux aussi avoir \u00e9t\u00e9 p\u00e9n\u00e9tr\u00e9s par le m\u00eame vecteur. Dans l’incident n\u00e9erlandais, des donn\u00e9es professionnelles ont \u00e9t\u00e9 consult\u00e9es : noms, adresses e-mail et num\u00e9ros de t\u00e9l\u00e9phone. Le caract\u00e8re institutionnel des cibles transforme un bulletin technique en crise politique europ\u00e9enne.<\/p>\n\n\n\n

La s\u00e9quence ne s’arr\u00eate pas en f\u00e9vrier. Plus tard dans l’ann\u00e9e, Ivanti divulgue une troisi\u00e8me faille EPMM exploit\u00e9e en conditions r\u00e9elles, CVE-2026-6973, ajout\u00e9e au catalogue des vuln\u00e9rabilit\u00e9s activement exploit\u00e9es de l’agence am\u00e9ricaine CISA. En mai 2026, un nouvel avis couvre des correctifs suppl\u00e9mentaires, dont CVE-2026-5786. Le tableau ci-dessous r\u00e9capitule la chronologie v\u00e9rifi\u00e9e des \u00e9v\u00e9nements.<\/p>\n\n\n\n

Date<\/th>\u00c9v\u00e9nement<\/th>Cible \/ acteur<\/th>Impact connu<\/th><\/tr><\/thead>
20 janvier 2026<\/td>Proposition d’amendements cibl\u00e9s \u00e0 la directive NIS2<\/td>Commission europ\u00e9enne<\/td>Clarification juridique du p\u00e9rim\u00e8tre<\/td><\/tr>
29 janvier 2026<\/td>Divulgation des zero-days CVE-2026-1281 et CVE-2026-1340<\/td>Ivanti EPMM<\/td>Deux failles not\u00e9es 9,8, d\u00e9j\u00e0 exploit\u00e9es<\/td><\/tr>
1er f\u00e9vrier 2026<\/td>\u00c9ch\u00e9ance de rem\u00e9diation impos\u00e9e par CISA (catalogue KEV)<\/td>Agences f\u00e9d\u00e9rales am\u00e9ricaines<\/td>Correctif obligatoire sous quelques jours<\/td><\/tr>
F\u00e9vrier 2026<\/td>Compromission confirm\u00e9e via Ivanti EPMM<\/td>Commission europ\u00e9enne, autorit\u00e9s n\u00e9erlandaises<\/td>Noms, e-mails, t\u00e9l\u00e9phones consult\u00e9s (Pays-Bas)<\/td><\/tr>
F\u00e9vrier 2026<\/td>Piratage du registre national des comptes bancaires<\/td>Minist\u00e8re de l’\u00c9conomie (France)<\/td>1,2 million de comptes expos\u00e9s<\/td><\/tr>
24 mars 2026<\/td>Cyberattaque sur l’infrastructure cloud de la plateforme Europa<\/td>Commission europ\u00e9enne<\/td>Exfiltration probable, contenue rapidement<\/td><\/tr>
Mai 2026<\/td>Nouvel avis EPMM couvrant CVE-2026-5786 et d’autres failles<\/td>Ivanti<\/td>Correctifs additionnels publi\u00e9s<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Les deux zero-days not\u00e9s 9,8 qui ont tout d\u00e9clench\u00e9<\/h2>\n\n\n\n

Une note CVSS de 9,8 signale une vuln\u00e9rabilit\u00e9 exploitable \u00e0 distance, sans authentification, avec un impact maximal sur la confidentialit\u00e9, l’int\u00e9grit\u00e9 et la disponibilit\u00e9. Pour un logiciel expos\u00e9 sur Internet comme une passerelle de gestion mobile, ce profil repr\u00e9sente le pire sc\u00e9nario : un attaquant peut prendre la main sans identifiants valides. C’est exactement le cas de CVE-2026-1281 et CVE-2026-1340.<\/p>\n\n\n\n

EPMM occupe une position strat\u00e9gique dans un syst\u00e8me d’information. La plateforme administre les smartphones et tablettes des collaborateurs, distribue les politiques de s\u00e9curit\u00e9, d\u00e9ploie les applications et stocke des certificats d’authentification. Compromettre EPMM, c’est potentiellement acc\u00e9der \u00e0 l’ensemble du parc mobile d’une organisation et aux secrets qui y transitent. Voil\u00e0 pourquoi des attaquants ciblent en priorit\u00e9 ce type de serveur plut\u00f4t qu’un poste de travail isol\u00e9.<\/p>\n\n\n\n

Identifiant CVE<\/th>Score CVSS<\/th>Date de divulgation<\/th>Statut<\/th><\/tr><\/thead>
CVE-2026-1281<\/td>9,8 (critique)<\/td>29 janvier 2026<\/td>Zero-day exploit\u00e9, ajout\u00e9 au catalogue KEV de la CISA<\/td><\/tr>
CVE-2026-1340<\/td>9,8 (critique)<\/td>29 janvier 2026<\/td>Zero-day exploit\u00e9, correctif publi\u00e9<\/td><\/tr>
CVE-2026-6973<\/td>Non communiqu\u00e9 publiquement<\/td>Courant 2026<\/td>Zero-day exploit\u00e9, ajout\u00e9 au catalogue KEV<\/td><\/tr>
CVE-2026-5786<\/td>Non communiqu\u00e9 publiquement<\/td>Mai 2026<\/td>Couvert par un avis Ivanti, correctif disponible<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Le score CVSS de CVE-2026-6973 n’a pas \u00e9t\u00e9 communiqu\u00e9 dans les avis publics au moment de la r\u00e9daction. Nous ne lui attribuons donc pas de chiffre, conform\u00e9ment aux donn\u00e9es disponibles. Ce qui est confirm\u00e9, en revanche, c’est son exploitation active et son inscription au catalogue des vuln\u00e9rabilit\u00e9s exploit\u00e9es tenu par la CISA, le signal le plus clair qu’une faille n’est pas th\u00e9orique mais d\u00e9j\u00e0 utilis\u00e9e contre des cibles r\u00e9elles.<\/p>\n\n\n\n

La Commission europ\u00e9enne contenue en neuf heures<\/h2>\n\n\n\n

Dans l’incident li\u00e9 \u00e0 Ivanti EPMM, la Commission europ\u00e9enne a d\u00e9clar\u00e9 avoir contenu la br\u00e8che en neuf heures. Ce d\u00e9lai m\u00e9rite d’\u00eatre soulign\u00e9. Dans la plupart des compromissions document\u00e9es, les attaquants restent pr\u00e9sents des semaines, voire des mois, avant d’\u00eatre d\u00e9tect\u00e9s. Une rem\u00e9diation en neuf heures suppose une surveillance continue, une capacit\u00e9 de r\u00e9ponse op\u00e9rationnelle et des proc\u00e9dures d’isolement test\u00e9es \u00e0 l’avance.<\/p>\n\n\n\n

La rapidit\u00e9 de r\u00e9action n’efface pas la gravit\u00e9 du fait. Une institution disposant de moyens parmi les plus importants d’Europe a tout de m\u00eame \u00e9t\u00e9 p\u00e9n\u00e9tr\u00e9e via un produit du commerce. Cela illustre une r\u00e9alit\u00e9 d\u00e9rangeante : la d\u00e9fense ne consiste plus seulement \u00e0 emp\u00eacher l’intrusion, mais \u00e0 r\u00e9duire le temps de pr\u00e9sence de l’attaquant. Neuf heures, c’est une bonne performance d\u00e9fensive ; z\u00e9ro heure aurait exig\u00e9 un correctif qui n’existait pas encore au moment de l’attaque.<\/p>\n\n\n\n

Un second \u00e9pisode frappe la Commission le 24 mars 2026. Une cyberattaque vise l’infrastructure cloud h\u00e9bergeant la plateforme web Europa. La Commission indique que l’incident a \u00e9t\u00e9 contenu rapidement et que les premi\u00e8res analyses sugg\u00e8rent une exfiltration de donn\u00e9es. Aucun groupe n’a \u00e9t\u00e9 nomm\u00e9. La r\u00e9p\u00e9tition des incidents en quelques semaines, sur des vecteurs diff\u00e9rents, montre que les institutions de l’Union sont devenues des cibles permanentes et coordonn\u00e9es.<\/p>\n\n\n\n

Registre bancaire fran\u00e7ais : 1,2 million de comptes expos\u00e9s<\/h2>\n\n\n\n

En f\u00e9vrier 2026, le minist\u00e8re de l’\u00c9conomie r\u00e9v\u00e8le qu’un pirate a utilis\u00e9 des identifiants vol\u00e9s pour acc\u00e9der au registre national des comptes bancaires. Cet incident est distinct des failles Ivanti : il repose sur le vol de cr\u00e9dentiels, pas sur une vuln\u00e9rabilit\u00e9 logicielle. Mais il s’inscrit dans la m\u00eame vague d’attaques contre les infrastructures publiques europ\u00e9ennes au premier trimestre 2026.<\/p>\n\n\n\n

Le bilan est lourd : environ 1,2 million de comptes concern\u00e9s. Les donn\u00e9es expos\u00e9es comprennent les IBAN, les noms des titulaires, les adresses et, dans certains cas, des identifiants fiscaux. Les autorit\u00e9s pr\u00e9cisent un point essentiel : l’attaquant n’a pas pu consulter les soldes ni effectuer de transactions. Le registre recense l’existence des comptes, pas leur contenu financier en temps r\u00e9el.<\/p>\n\n\n\n

La distinction entre donn\u00e9es expos\u00e9es et fonds d\u00e9rob\u00e9s est cruciale pour \u00e9valuer le risque r\u00e9el. Aucun euro n’a \u00e9t\u00e9 directement vol\u00e9 via ce registre. En revanche, la combinaison IBAN, nom, adresse et identifiant fiscal constitue une mati\u00e8re premi\u00e8re id\u00e9ale pour des campagnes d’hame\u00e7onnage cibl\u00e9, d’usurpation d’identit\u00e9 et de fraude au pr\u00e9l\u00e8vement. La menace est diff\u00e9r\u00e9e, pas absente. Pour comprendre comment ces fuites alimentent la fraude, voir notre dossier sur les fuites de donn\u00e9es et leurs cons\u00e9quences<\/a>.<\/p>\n\n\n\n

Pays-Bas : la protection des donn\u00e9es elle-m\u00eame vis\u00e9e<\/h2>\n\n\n\n

L’ironie de l’incident n\u00e9erlandais n’a \u00e9chapp\u00e9 \u00e0 personne : l’autorit\u00e9 charg\u00e9e de faire respecter la protection des donn\u00e9es a vu ses propres syst\u00e8mes p\u00e9n\u00e9tr\u00e9s. Via les zero-days Ivanti EPMM, des donn\u00e9es professionnelles ont \u00e9t\u00e9 consult\u00e9es, dont des noms, des adresses e-mail et des num\u00e9ros de t\u00e9l\u00e9phone. Le Conseil de la magistrature, organe central du syst\u00e8me judiciaire n\u00e9erlandais, figure \u00e9galement parmi les victimes confirm\u00e9es.<\/p>\n\n\n\n

Cibler une autorit\u00e9 de protection des donn\u00e9es et un organe judiciaire n’a rien d’anodin. Ces institutions concentrent des informations sensibles sur des enqu\u00eates, des plaignants et des fonctionnaires. Un attaquant qui acc\u00e8de au r\u00e9pertoire de contacts d’une telle structure dispose d’une cartographie pr\u00e9cieuse pour des op\u00e9rations ult\u00e9rieures de renseignement ou d’ing\u00e9nierie sociale. La nature des cibles oriente fortement les soup\u00e7ons vers un acteur \u00e9tatique ou para\u00e9tatique, m\u00eame si aucune attribution officielle n’a \u00e9t\u00e9 rendue publique.<\/p>\n\n\n\n

Pourquoi Ivanti revient sans cesse dans l’actualit\u00e9<\/h2>\n\n\n\n

La crise de 2026 ne sort pas de nulle part. Ivanti tra\u00eene un historique charg\u00e9 de vuln\u00e9rabilit\u00e9s critiques sur ses produits expos\u00e9s au r\u00e9seau. En 2024 d\u00e9j\u00e0, sa gamme Connect Secure (anciennement Pulse Secure) avait \u00e9t\u00e9 au c\u0153ur d’une vague d’exploitation massive, avec des failles encha\u00een\u00e9es par des attaquants pour contourner l’authentification et ex\u00e9cuter du code \u00e0 distance. Ces incidents avaient provoqu\u00e9 des directives d’urgence et des op\u00e9rations de rem\u00e9diation en catastrophe dans des milliers d’organisations.<\/p>\n\n\n\n

Un sch\u00e9ma qui se r\u00e9p\u00e8te sur les \u00e9quipements de p\u00e9riph\u00e9rie<\/h3>\n\n\n\n

Le probl\u00e8me d\u00e9passe Ivanti. Les \u00e9quipements de p\u00e9riph\u00e9rie, VPN d’entreprise, passerelles de gestion mobile, pare-feu, partagent une caract\u00e9ristique dangereuse : ils sont expos\u00e9s \u00e0 Internet par conception, fonctionnent souvent sur des syst\u00e8mes propri\u00e9taires difficiles \u00e0 auditer, et restent en service de longues ann\u00e9es. Chaque vuln\u00e9rabilit\u00e9 non corrig\u00e9e devient une porte d’entr\u00e9e directe. Les groupes d’attaquants sophistiqu\u00e9s, en particulier ceux li\u00e9s \u00e0 des \u00c9tats, en ont fait leur terrain de chasse privil\u00e9gi\u00e9 depuis 2023.<\/p>\n\n\n\n

La r\u00e9p\u00e9tition pose une question de fond sur la qualit\u00e9 logicielle de ces produits. Quand un m\u00eame \u00e9diteur cumule les zero-days not\u00e9s 9,8 d’une ann\u00e9e sur l’autre, le march\u00e9 finit par s’interroger sur ses pratiques de d\u00e9veloppement s\u00e9curis\u00e9. C’est pr\u00e9cis\u00e9ment ce que vise le r\u00e8glement europ\u00e9en sur la cyberr\u00e9silience, qui impose aux fabricants de tester leurs produits avant leur mise sur le march\u00e9.<\/p>\n\n\n\n

Ce que disent les agences et les chercheurs<\/h2>\n\n\n\n

C\u00f4t\u00e9 \u00e9diteur, Ivanti a maintenu une ligne de communication mesur\u00e9e, \u00e9voquant \u00ab un nombre tr\u00e8s limit\u00e9 de clients \u00bb affect\u00e9s par l’exploitation de CVE-2026-1281 et CVE-2026-1340. Cette formulation, fr\u00e9quente dans les communications de crise, contraste avec la nature des victimes finalement r\u00e9v\u00e9l\u00e9es, parmi lesquelles des institutions europ\u00e9ennes de premier plan.<\/p>\n\n\n\n

Du c\u00f4t\u00e9 am\u00e9ricain, la CISA a agi vite : la faille CVE-2026-1281 a \u00e9t\u00e9 inscrite au catalogue des vuln\u00e9rabilit\u00e9s activement exploit\u00e9es, avec une \u00e9ch\u00e9ance de rem\u00e9diation fix\u00e9e au 1er f\u00e9vrier 2026 pour les agences f\u00e9d\u00e9rales. Une inscription au catalogue KEV est un signal fort \u00e0 l’\u00e9chelle mondiale : elle confirme une exploitation r\u00e9elle et d\u00e9clenche, par effet d’entra\u00eenement, des plans de correction dans le secteur priv\u00e9.<\/p>\n\n\n\n

En France, l’ANSSI, via son centre CERT-FR<\/a>, alerte r\u00e9guli\u00e8rement sur l’exposition des \u00e9quipements de p\u00e9riph\u00e9rie et publie des bulletins de rem\u00e9diation pour ce type de produit. L’agence, dirig\u00e9e par Vincent Strubel depuis janvier 2023, place la r\u00e9duction de la surface d’attaque des \u00e9quipements expos\u00e9s parmi ses priorit\u00e9s op\u00e9rationnelles. Au niveau europ\u00e9en, l’ENISA<\/a> documente la m\u00eame tendance : la cha\u00eene d’approvisionnement logicielle et les \u00e9quipements r\u00e9seau figurent en t\u00eate des menaces structurelles pour le continent.<\/p>\n\n\n\n

La communaut\u00e9 de la recherche en s\u00e9curit\u00e9, notamment les \u00e9quipes qui analysent les produits de p\u00e9riph\u00e9rie, partage un constat r\u00e9p\u00e9t\u00e9 depuis deux ans : ces appliances accumulent des d\u00e9fauts d’architecture qui facilitent l’encha\u00eenement de vuln\u00e9rabilit\u00e9s. Ce diagnostic, formul\u00e9 ind\u00e9pendamment par plusieurs cabinets, explique pourquoi le cas Ivanti est trait\u00e9 comme un sympt\u00f4me syst\u00e9mique plut\u00f4t qu’un accident isol\u00e9.<\/p>\n\n\n\n

Impact sur le march\u00e9 de la gestion des terminaux<\/h2>\n\n\n\n

L’impact commercial d’une telle s\u00e9rie d’incidents se mesure d’abord en confiance. La gestion unifi\u00e9e des terminaux (UEM) est un march\u00e9 concurrentiel o\u00f9 Ivanti affronte des acteurs comme Microsoft Intune, VMware Workspace ONE, Jamf ou MobileIron, qu’Ivanti a lui-m\u00eame absorb\u00e9. Quand un \u00e9diteur encha\u00eene les zero-days critiques sur son produit phare, les directions de la s\u00e9curit\u00e9 r\u00e9\u00e9valuent leur d\u00e9pendance et \u00e9tudient des alternatives lors du renouvellement des contrats.<\/p>\n\n\n\n

Cette dynamique ne se traduit pas instantan\u00e9ment par des pertes de parts de march\u00e9, car migrer une plateforme UEM est un projet lourd, \u00e9tal\u00e9 sur plusieurs mois et co\u00fbteux en formation. Mais elle p\u00e8se sur les renouvellements, les n\u00e9gociations tarifaires et la prime de risque que les assureurs cyber appliquent aux organisations expos\u00e9es. Un parc reposant sur un produit r\u00e9guli\u00e8rement cit\u00e9 dans les catalogues de vuln\u00e9rabilit\u00e9s exploit\u00e9es devient un argument d\u00e9favorable lors de la souscription d’une cyberassurance.<\/p>\n\n\n\n

L’effet de r\u00e9putation se double d’un effet r\u00e9glementaire. Avec le r\u00e8glement europ\u00e9en sur la cyberr\u00e9silience, les fabricants doivent d\u00e9sormais tester leurs produits contre les vuln\u00e9rabilit\u00e9s avant leur commercialisation et assurer un suivi des correctifs. Les \u00e9diteurs qui multiplient les failles critiques s’exposent \u00e0 un examen accru et \u00e0 une pression contractuelle de leurs clients institutionnels, premiers concern\u00e9s par les obligations de NIS2.<\/p>\n\n\n\n

NIS2, cyberr\u00e9silience : le durcissement r\u00e9glementaire europ\u00e9en<\/h2>\n\n\n\n

La crise Ivanti tombe au moment pr\u00e9cis o\u00f9 l’Union europ\u00e9enne resserre son cadre cyber. La directive NIS2<\/a> impose aux op\u00e9rateurs d’infrastructures critiques des mesures \u00ab \u00e0 l’\u00e9tat de l’art \u00bb contre les risques de cybers\u00e9curit\u00e9, et \u00e9tend le p\u00e9rim\u00e8tre des entit\u00e9s concern\u00e9es bien au-del\u00e0 de la premi\u00e8re directive NIS. Le 20 janvier 2026, la Commission a propos\u00e9 des amendements cibl\u00e9s pour clarifier juridiquement ce p\u00e9rim\u00e8tre.<\/p>\n\n\n\n

Les sanctions pr\u00e9vues par NIS2 changent l’\u00e9chelle des enjeux. Pour les entit\u00e9s dites essentielles, les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, selon le montant le plus \u00e9lev\u00e9. Pour les entit\u00e9s importantes, le plafond est de 7 millions d’euros ou 1,4 % du chiffre d’affaires. La directive introduit aussi une responsabilit\u00e9 accrue des dirigeants, qui peuvent \u00eatre tenus personnellement comptables des d\u00e9fauts de gouvernance cyber.<\/p>\n\n\n\n

La France a transpos\u00e9 NIS2 dans son droit national, confiant \u00e0 l’ANSSI le r\u00f4le d’autorit\u00e9 comp\u00e9tente et \u00e9largissant le nombre d’entit\u00e9s soumises \u00e0 des obligations de s\u00e9curit\u00e9 et de notification. Le site officiel cyber.gouv.fr<\/a> d\u00e9taille les obligations applicables aux op\u00e9rateurs concern\u00e9s. Le r\u00e8glement sur la cyberr\u00e9silience compl\u00e8te l’\u00e9difice c\u00f4t\u00e9 produits : il impose aux fabricants de mat\u00e9riel et de logiciel de tester les vuln\u00e9rabilit\u00e9s avant la mise sur le march\u00e9. L’addition de ces textes change la donne pour des \u00e9diteurs comme Ivanti.<\/p>\n\n\n\n

Comparaison : Ivanti face aux autres \u00e9quipements expos\u00e9s<\/h2>\n\n\n\n

Ivanti n’est pas seul \u00e0 figurer r\u00e9guli\u00e8rement dans les catalogues de vuln\u00e9rabilit\u00e9s exploit\u00e9es. Depuis 2023, la quasi-totalit\u00e9 des grands fournisseurs d’\u00e9quipements de p\u00e9riph\u00e9rie a connu des zero-days majeurs : passerelles VPN, pare-feu de nouvelle g\u00e9n\u00e9ration, solutions d’acc\u00e8s distant. Le point commun reste l’exposition directe \u00e0 Internet et la difficult\u00e9 d’auditer des syst\u00e8mes propri\u00e9taires ferm\u00e9s.<\/p>\n\n\n\n

Pour les responsables de la s\u00e9curit\u00e9, la le\u00e7on n’est pas de remplacer un fournisseur par un autre dans l’espoir d’\u00e9chapper au probl\u00e8me, car le risque est structurel. La bonne approche consiste \u00e0 r\u00e9duire l’exposition : limiter l’acc\u00e8s aux interfaces d’administration, segmenter le r\u00e9seau, surveiller en continu les \u00e9quipements de p\u00e9riph\u00e9rie et appliquer les correctifs dans des d\u00e9lais compt\u00e9s en heures, pas en semaines. La cyberhygi\u00e8ne sur les comptes d’administration reste d\u00e9terminante ; nos guides sur la s\u00e9curit\u00e9 des mots de passe<\/a> et la d\u00e9tection de l’hame\u00e7onnage<\/a> couvrent ces bases.<\/p>\n\n\n\n

La comparaison met aussi en lumi\u00e8re un avantage des solutions cloud natives comme Microsoft Intune : la surface d’attaque expos\u00e9e sur site dispara\u00eet, remplac\u00e9e par un service g\u00e9r\u00e9 dont l’\u00e9diteur assume le correctif. Ce mod\u00e8le d\u00e9place le risque sans l’\u00e9liminer, mais il r\u00e9duit la fen\u00eatre d’exposition li\u00e9e aux serveurs auto-h\u00e9berg\u00e9s, pr\u00e9cis\u00e9ment le type de cible touch\u00e9 dans la crise Ivanti EPMM.<\/p>\n\n\n\n

Comment se prot\u00e9ger d’une faille comme Ivanti EPMM<\/h2>\n\n\n\n

Face \u00e0 un zero-day exploit\u00e9 sur un \u00e9quipement de p\u00e9riph\u00e9rie, la priorit\u00e9 absolue est d’identifier si l’on est expos\u00e9, puis d’appliquer le correctif ou la mesure de contournement publi\u00e9e par l’\u00e9diteur. Pour EPMM, cela passe par la v\u00e9rification de la version install\u00e9e et la restriction des acc\u00e8s \u00e0 l’interface d’administration. La commande ci-dessous illustre une v\u00e9rification d’exposition basique d’un service expos\u00e9 sur le r\u00e9seau.<\/p>\n\n\n\n

# V\u00e9rifier rapidement la version expos\u00e9e d'un service web (\u00e0 des fins de diagnostic)\ncurl -sI https:\/\/votre-passerelle.exemple.fr\/ | grep -i \"server|x-powered-by\"\n\n# Lister les correctifs Ivanti et leur version cible avant d\u00e9ploiement\n# (toujours se r\u00e9f\u00e9rer \u00e0 l'avis officiel forums.ivanti.com)\necho \"Comparer la version install\u00e9e aux versions corrig\u00e9es de l'avis du 29\/01\/2026\"<\/code><\/pre>\n\n\n\n
Au-del\u00e0 du correctif imm\u00e9diat, plusieurs mesures r\u00e9duisent durablement le risque. Restreindre l’acc\u00e8s aux interfaces d’administration \u00e0 un r\u00e9seau de gestion d\u00e9di\u00e9 ou \u00e0 un VPN. Activer l’authentification multifacteur sur tous les comptes privil\u00e9gi\u00e9s. Surveiller les journaux d’authentification \u00e0 la recherche de connexions anormales, signe possible d’exploitation. Conserver des sauvegardes hors ligne pour pouvoir restaurer un syst\u00e8me compromis. Et pr\u00e9parer \u00e0 l’avance une proc\u00e9dure d’isolement, car la rapidit\u00e9 de r\u00e9action, comme l’a montr\u00e9 la Commission europ\u00e9enne avec ses neuf heures, fait la diff\u00e9rence entre un incident contenu et une catastrophe.<\/p>\n\n\n\n
Enfin, le chiffrement des donn\u00e9es sensibles limite la valeur de ce qu’un attaquant peut exfiltrer. Pour comprendre les fondations techniques de cette protection, consultez notre explication de HTTPS et TLS<\/a>, et notre dossier sur la cryptographie post-quantique<\/a>, qui pr\u00e9pare les communications de demain.<\/p>\n\n\n\n
Cinq pr\u00e9dictions pour la suite de la crise<\/h2>\n\n\n\n
1. De nouveaux zero-days sur \u00e9quipements de p\u00e9riph\u00e9rie en 2026.<\/strong> Le rythme observ\u00e9 depuis 2023 ne montre aucun signe de ralentissement. D’autres failles critiques not\u00e9es au-dessus de 9 seront divulgu\u00e9es et exploit\u00e9es contre des cibles europ\u00e9ennes avant la fin de l’ann\u00e9e.<\/p>\n\n\n\n
2. Une premi\u00e8re sanction NIS2 d’ampleur en Europe.<\/strong> Avec les amendes pouvant atteindre 2 % du chiffre d’affaires mondial, un r\u00e9gulateur national finira par faire un exemple, probablement contre une entit\u00e9 essentielle ayant tard\u00e9 \u00e0 corriger une vuln\u00e9rabilit\u00e9 connue.<\/p>\n\n\n\n
3. Une acc\u00e9l\u00e9ration vers les solutions de gestion cloud natives.<\/strong> La fatigue li\u00e9e aux serveurs auto-h\u00e9berg\u00e9s r\u00e9guli\u00e8rement vuln\u00e9rables poussera davantage d’organisations vers des plateformes g\u00e9r\u00e9es, d\u00e9pla\u00e7ant la responsabilit\u00e9 du correctif vers l’\u00e9diteur.<\/p>\n\n\n\n
4. Une pression assurantielle renforc\u00e9e.<\/strong> Les assureurs cyber int\u00e9greront plus syst\u00e9matiquement l’exposition aux \u00e9quipements de p\u00e9riph\u00e9rie vuln\u00e9rables dans leurs grilles tarifaires, augmentant le co\u00fbt de couverture des organisations d\u00e9pendantes de produits \u00e0 risque.<\/p>\n\n\n\n
5. Des attributions plus explicites.<\/strong> La pression politique croissante apr\u00e8s chaque compromission d’institution europ\u00e9enne conduira les agences \u00e0 nommer plus ouvertement les groupes responsables, rompant avec la prudence actuelle des communications officielles.<\/p>\n\n\n\n
Contexte historique : des appliances r\u00e9seau aux institutions<\/h2>\n\n\n\n
L’exploitation d’\u00e9quipements r\u00e9seau pour p\u00e9n\u00e9trer des organisations n’est pas nouvelle. Elle a connu une acc\u00e9l\u00e9ration marqu\u00e9e \u00e0 partir de 2023, lorsque les groupes \u00e9tatiques ont compris que les passerelles VPN et de gestion offraient un acc\u00e8s durable et discret. Ces \u00e9quipements \u00e9chappent souvent aux outils de d\u00e9tection install\u00e9s sur les postes de travail, ce qui en fait des points d’ancrage id\u00e9aux pour une pr\u00e9sence de long terme.<\/p>\n\n\n\n
La nouveaut\u00e9 de 2026 tient \u00e0 l’identit\u00e9 des victimes. On est pass\u00e9 d’attaques opportunistes contre des entreprises \u00e0 des compromissions cibl\u00e9es d’institutions de l’Union europ\u00e9enne et d’organes judiciaires nationaux. Ce glissement traduit une strat\u00e9gie : utiliser une vuln\u00e9rabilit\u00e9 produit g\u00e9n\u00e9rique pour atteindre des cibles \u00e0 haute valeur de renseignement. La faille Ivanti devient ainsi un cas d’\u00e9cole de la convergence entre cybercriminalit\u00e9 technique et g\u00e9opolitique. La couverture d’autres incidents majeurs, comme l’attaque contre Jaguar Land Rover<\/a>, montre la m\u00eame mont\u00e9e en gamme des cibles et des montants en jeu.<\/p>\n\n\n\n
Questions fr\u00e9quentes sur la faille Ivanti 2026<\/h2>\n\n\n\n
Quelles sont les failles Ivanti exploit\u00e9es en 2026 ?<\/h3>\n\n\n\n
Les principales sont CVE-2026-1281 et CVE-2026-1340, deux vuln\u00e9rabilit\u00e9s d’Ivanti Endpoint Manager Mobile not\u00e9es 9,8 sur 10 et divulgu\u00e9es le 29 janvier 2026. Elles ont \u00e9t\u00e9 exploit\u00e9es comme zero-days. Une troisi\u00e8me faille, CVE-2026-6973, et d’autres couvertes par un avis de mai 2026 dont CVE-2026-5786, compl\u00e8tent la s\u00e9rie.<\/p>\n\n\n\n
Qui a \u00e9t\u00e9 victime de ces failles Ivanti ?<\/h3>\n\n\n\n
La Commission europ\u00e9enne, l’autorit\u00e9 n\u00e9erlandaise de protection des donn\u00e9es et le Conseil de la magistrature des Pays-Bas ont confirm\u00e9 des compromissions via Ivanti EPMM en f\u00e9vrier 2026. Dans l’incident n\u00e9erlandais, des noms, adresses e-mail et num\u00e9ros de t\u00e9l\u00e9phone professionnels ont \u00e9t\u00e9 consult\u00e9s.<\/p>\n\n\n\n
Le piratage du registre bancaire fran\u00e7ais est-il li\u00e9 \u00e0 Ivanti ?<\/h3>\n\n\n\n
Non. Le piratage du registre national des comptes bancaires, qui a expos\u00e9 1,2 million de comptes en f\u00e9vrier 2026, reposait sur l’usage d’identifiants vol\u00e9s, pas sur une vuln\u00e9rabilit\u00e9 Ivanti. Les deux incidents appartiennent \u00e0 la m\u00eame vague d’attaques contre les infrastructures publiques europ\u00e9ennes, mais leurs vecteurs sont diff\u00e9rents.<\/p>\n\n\n\n
Mes donn\u00e9es bancaires ont-elles \u00e9t\u00e9 vol\u00e9es ?<\/h3>\n\n\n\n
Pour le registre fran\u00e7ais, les donn\u00e9es expos\u00e9es comprennent IBAN, noms, adresses et parfois identifiants fiscaux, mais pas les soldes ni la possibilit\u00e9 d’effectuer des transactions. Le risque principal est l’hame\u00e7onnage cibl\u00e9 et l’usurpation d’identit\u00e9. Restez vigilant face aux messages pr\u00e9tendant \u00e9maner de votre banque ou de l’administration fiscale.<\/p>\n\n\n\n
Que signifie un score CVSS de 9,8 ?<\/h3>\n\n\n\n
C’est une note critique, presque maximale (le plafond est 10). Elle indique g\u00e9n\u00e9ralement une faille exploitable \u00e0 distance, sans authentification, avec un impact total sur la confidentialit\u00e9, l’int\u00e9grit\u00e9 et la disponibilit\u00e9 du syst\u00e8me. Pour un serveur expos\u00e9 sur Internet, ce profil impose une correction en urgence.<\/p>\n\n\n\n
Comment une organisation peut-elle se prot\u00e9ger ?<\/h3>\n\n\n\n
Appliquer imm\u00e9diatement les correctifs publi\u00e9s par Ivanti, restreindre l’acc\u00e8s aux interfaces d’administration, activer l’authentification multifacteur sur les comptes privil\u00e9gi\u00e9s, surveiller les journaux d’authentification et pr\u00e9parer une proc\u00e9dure d’isolement rapide. La directive NIS2 impose d’ailleurs ce type de mesures aux entit\u00e9s essentielles et importantes.<\/p>\n\n\n\n
Qui est responsable de ces attaques ?<\/h3>\n\n\n\n
Aucune attribution officielle n’a \u00e9t\u00e9 rendue publique au moment de la r\u00e9daction. La nature des cibles, des institutions europ\u00e9ennes et des organes judiciaires, oriente les soup\u00e7ons vers un acteur \u00e9tatique ou para\u00e9tatique, mais ni Ivanti, ni la Commission europ\u00e9enne, ni les autorit\u00e9s n\u00e9erlandaises n’ont nomm\u00e9 de groupe responsable.<\/p>\n\n\n\n
Related Coverage<\/h3>\n\n\n\n