Atlassian sous le feu du CERT-FR : 22 failles documentées dans Confluence et Jira

27/4/26
👈 les autres actualités

Le 22 avril 2026, le CERT-FR (ANSSI) publie l'avis CERTFR-2026-AVI-0479 qui documente plus de vingt vulnérabilités dans les produits Atlassian — Confluence Data Center, Jira Service Management et Jira Software. Plusieurs permettent l'exécution de code arbitraire à distance et l'accès non autorisé aux données. Les DPO et RSSI ont quelques heures pour réagir, sous la pression conjointe de l'article 32 du RGPD et des obligations NIS 2.

Ce qui s'est passé

L'avis CERT-FR consolide une trentaine de bulletins de sécurité publiés par Atlassian le 21 avril 2026. Au total, l'éditeur australien a corrigé une série de failles affectant ses installations self-hosted — un parc encore très répandu dans les ETI et les grandes administrations françaises malgré la migration progressive vers le cloud Atlassian.

Les versions vulnérables couvrent un périmètre large :

  • Confluence Data Center 10.x antérieures à 10.2.10 et versions antérieures à 9.2.19
  • Jira Service Management Data Center 11.x antérieures à 11.3.4 et antérieures à 10.3.19
  • Jira Service Management Server antérieures à 10.3.13
  • Jira Software Data Center 11.x antérieures à 11.3.4, 10.x antérieures à 10.3.19 et antérieures à 9.12.34
  • Jira Software Server 10.x antérieures à 10.3.16 et antérieures à 9.12.33

Les risques retenus par le CERT-FR sont particulièrement étendus : exécution de code arbitraire à distance, atteinte à l'intégrité et à la confidentialité des données, contournement de la politique de sécurité, déni de service à distance et injection de code indirecte (XSS). Une dizaine de CVE 2026 sont référencées (CVE-2026-22029, CVE-2026-23745, CVE-2026-24842, CVE-2026-25547, CVE-2026-26960, CVE-2026-29063, CVE-2026-31802, CVE-2026-33870, entre autres), aux côtés de plusieurs vulnérabilités plus anciennes embarquées dans des dépendances tierces.

Pourquoi c'est important

Confluence et Jira ne sont pas des outils périphériques : ils hébergent typiquement les spécifications produit, comptes-rendus RH, tickets clients, registres de traitement et plans de réponse aux incidents. Une exécution de code à distance sur un Confluence interne donne à un attaquant un accès direct à la documentation sensible — y compris, dans bien des cas, le registre des activités de traitement et les éléments de gouvernance RGPD.

Pour les organisations soumises à NIS 2 (entités essentielles ou importantes), une exploitation réussie déclenche l'obligation de pré-notification à l'ANSSI sous 24 heures, complétée par une notification détaillée sous 72 heures. Côté RGPD, la notification CNIL au titre de l'article 33 court dès qu'il y a une probabilité raisonnable d'atteinte aux données personnelles.

Cet avis s'inscrit dans une série dense : en deux semaines, l'ANSSI a déjà alerté sur des failles critiques chez Schneider Electric, Splunk et Stormshield Management Center. La feuille de route NIS 2 de l'État a fixé la barre haute : ce que l'ANSSI applique chez elle, la CNIL l'invoquera demain comme « état de l'art » au sens de l'article 32 RGPD.

Ce que ça change pour les organisations

Quatre actions s'imposent dans les 72 heures :

  • Inventorier. Identifiez toutes les instances Confluence, Jira Software et Jira Service Management dans l'organisation, y compris les déploiements shadow IT de filiales ou d'équipes projet. Notez précisément les versions installées.
  • Patcher. Appliquez immédiatement les correctifs aux versions corrigées (10.2.10 / 11.3.4 / 9.2.19 selon le produit). Pour les instances exposées sur Internet, isolez-les derrière un VPN ou un WAF en attendant la mise à jour.
  • Documenter. Tracez la décision de patching dans le registre de sécurité, avec les analyses d'impact réalisées. C'est cette traçabilité qui constituera votre défense en cas de contrôle CNIL ou d'incident.
  • Surveiller. Analysez les logs Atlassian (accès, exports massifs, créations de comptes admin) sur les 30 derniers jours pour détecter toute exploitation antérieure à la publication. En cas de doute, déclenchez la procédure de réponse à violation de données.

Pour les sous-traitants qui hébergent des Confluence ou Jira pour le compte de clients, l'article 28 RGPD impose une information rapide du responsable de traitement et la documentation des mesures correctives prises.

Ce que Leto pense de cette décision

Le rythme des avis CERT-FR sur des outils critiques de la chaîne documentaire interne (Confluence, Jira, Splunk, Stormshield) confirme une réalité que beaucoup de DPO sous-estiment : la conformité RGPD ne se joue plus seulement dans le cookie banner ou la politique de confidentialité. Elle se joue dans la rapidité avec laquelle votre RSSI patche un Confluence ou isole un Jira exposé. Les contrôles CNIL 2026 vont continuer à puiser dans les bulletins ANSSI pour caractériser l'« état de l'art » exigé par l'article 32. À ce stade, ne pas avoir de circuit court entre veille CERT-FR, équipe sécurité et DPO devient un risque de conformité majeur.

Sources : Avis CERT-FR CERTFR-2026-AVI-0479 (22 avril 2026) · Bulletins de sécurité Atlassian (21 avril 2026)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026