GLPI épinglé par le CERT-FR : deux failles exposent la confidentialité des données du parc informatique

Le 19 mai 2026, le CERT-FR a publié l'avis CERTFR-2026-AVI-0609 documentant plusieurs vulnérabilités dans GLPI, le logiciel libre de gestion de parc informatique et de centre de services le plus répandu dans les organisations françaises. Atteinte à la confidentialité des données et contournement de la politique de sécurité : pour un outil qui concentre l'inventaire technique et les tickets d'assistance d'une organisation entière, l'alerte tombe directement dans le périmètre du DPO.

Ce qui s'est passé

L'avis CERTFR-2026-AVI-0609, publié par l'agence nationale de la sécurité des systèmes d'information (ANSSI), s'appuie sur deux bulletins de sécurité diffusés par l'éditeur de GLPI le 18 mai 2026 (références GHSA-58j6-94cf-gcx5 et GHSA-cg63-qchq-q626). Deux vulnérabilités y sont référencées sous les identifiants CVE-2026-32312 et CVE-2026-42320.

Les versions concernées sont larges : toutes les versions de la branche 11.0.x antérieures à 11.0.7, ainsi que l'ensemble des versions antérieures à 10.0.25. Autrement dit, une instance qui n'a pas été mise à jour depuis plusieurs semaines est très probablement vulnérable. Le CERT-FR identifie deux familles de risques : une atteinte à la confidentialité des données et un contournement de la politique de sécurité — un attaquant peut, selon les cas, accéder à des informations qu'il ne devrait pas voir ou franchir des contrôles d'accès censés cloisonner les profils utilisateurs. Le correctif consiste à migrer vers GLPI 11.0.7 ou 10.0.25 selon la branche déployée.

Pourquoi c'est important

GLPI n'est pas un logiciel anodin du point de vue de la protection des données. Outil de référence dans les collectivités, les hôpitaux, les universités, les administrations et un grand nombre de PME et d'ESN, il agrège par construction des données personnelles : annuaire des utilisateurs (nom, adresse e-mail, téléphone, service), inventaire des postes attribués à chaque agent, et surtout les tickets d'assistance, qui contiennent fréquemment des informations sensibles décrites en clair par les utilisateurs. Une faille de confidentialité dans GLPI n'est donc pas un simple incident technique : c'est une exposition potentielle de données à caractère personnel.

C'est précisément ce que vise l'article 32 du RGPD, qui impose au responsable de traitement de garantir un niveau de sécurité adapté au risque, en tenant compte de l'état de l'art. Or l'état de l'art, en 2026, intègre le fait de surveiller les avis du CERT-FR et d'appliquer les correctifs dans des délais raisonnables : laisser une instance GLPI non patchée, c'est s'exposer à voir la CNIL qualifier la négligence de manquement caractérisé en cas de contrôle. Pour les nombreux établissements publics et structures de santé utilisateurs de GLPI, l'enjeu se double des obligations de la directive NIS 2, qui impose une gestion documentée des vulnérabilités et la notification rapide des incidents significatifs à l'ANSSI. Cet avis s'inscrit dans une série continue d'alertes visant des briques logicielles internes : GLPI lui-même avait déjà fait l'objet d'un avis du CERT-FR le 7 mai 2026 portant sur sept autres vulnérabilités, et le même mécanisme s'est déclenché ces dernières semaines pour les 22 failles documentées dans Confluence et Jira ou la vulnérabilité critique du moteur njs de NGINX.

Ce que ça change pour les organisations

La marche à suivre est connue, mais elle doit être exécutée vite. Il faut d'abord inventorier les instances GLPI déployées — y compris celles oubliées ou gérées par un service informatique décentralisé — et identifier leur version exacte. Ensuite, appliquer le correctif en migrant vers 11.0.7 ou 10.0.25. Les instances exposées sur Internet doivent être traitées en priorité absolue. En attendant le patch, il est utile de restreindre l'accès au strict nécessaire et de renforcer la surveillance des journaux de connexion.

Au-delà du correctif, le réflexe RGPD est d'analyser les logs pour déterminer si la faille a pu être exploitée avant la mise à jour. Si une exploitation est plausible et qu'elle a touché des données personnelles, l'organisation entre dans le champ de l'article 33 du RGPD : notification à la CNIL dans les 72 heures. Notre guide sur la réaction à une violation de données détaille la procédure pas à pas. Enfin, lorsque GLPI est hébergé ou administré par un prestataire, la mise à jour relève de la responsabilité contractuelle du sous-traitant au sens de l'article 28 : c'est l'occasion de vérifier que le contrat prévoit bien des délais d'application des correctifs et une obligation d'information en cas d'incident.

Ce que Leto pense de cette décision

Cet avis n'a rien de spectaculaire — et c'est justement ce qui le rend instructif. GLPI est un outil discret, souvent installé une fois puis oublié, qui n'apparaît dans aucun comité de direction. C'est pourtant l'un des plus gros réservoirs de données personnelles internes d'une organisation. Le vrai sujet n'est pas la faille du jour, mais l'absence de processus : tant que la veille CERT-FR et le patching ne sont pas industrialisés et tracés, chaque avis sera traité comme une urgence isolée plutôt que comme une routine. La conformité à l'article 32 ne se mesure pas à la rapidité d'une réaction ponctuelle, mais à l'existence d'un cycle de gestion des vulnérabilités qui tourne sans qu'on ait à y penser.

Sources : CERT-FR — Avis CERTFR-2026-AVI-0609, Bulletin GLPI GHSA-58j6-94cf-gcx5, Bulletin GLPI GHSA-cg63-qchq-q626.