GLPI : troisième avis CERT-FR en un mois (AVI-0675), pourquoi les DPO doivent en faire un sujet de gouvernance

2/6/26
👈 les autres actualités

Troisième avis en moins d'un mois : le 2 juin 2026, le CERT-FR a publié l'avis CERTFR-2026-AVI-0675 documentant de multiples vulnérabilités dans GLPI. Pour les DPO et RSSI, la répétition est devenue le vrai signal : GLPI n'est plus un incident ponctuel à patcher, mais une surface d'attaque récurrente qui appelle une gouvernance des correctifs structurée.

Ce qui s'est passé

L'avis du CERT-FR s'appuie sur neuf bulletins de sécurité publiés par l'éditeur GLPI le 1er juin 2026 (références GHSA-2fg5-jg72-h338, GHSA-4gr9-6x95-wfgv, GHSA-9wh2-hfjr-jqhf, GHSA-hwjc-8228-55x4, GHSA-jwvv-5fw5-v285, GHSA-mw9v-m9g9-mg6q, GHSA-mxf4-8mjr-3qh2, GHSA-rhmv-j773-4gvh et GHSA-w7mr-3vwm-2j22). Trois familles de risques sont identifiées : une atteinte à l'intégrité des données, une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité. Le CERT-FR renvoie aux bulletins de l'éditeur pour les versions correctives à appliquer.

GLPI est un logiciel libre de gestion de parc informatique et de support (ITSM) massivement déployé dans les collectivités, les hôpitaux, les universités et les PME françaises. Cet avis fait suite à deux alertes très récentes sur le même outil : l'avis CERTFR-2026-AVI-0551 du 7 mai (sept vulnérabilités) et l'avis CERTFR-2026-AVI-0609 du 19 mai (deux vulnérabilités). En quatre semaines, GLPI aura concentré trois avis du CERT-FR.

Pourquoi c'est important

Une vulnérabilité dans un outil ITSM n'est jamais une affaire purement technique. GLPI concentre précisément les données qui intéressent la CNIL en cas de contrôle : annuaires d'utilisateurs, inventaires matériels, tickets d'assistance — autant de données personnelles (identités, adresses e-mail professionnelles, parfois contenus de demandes). Une faille de confidentialité ou d'intégrité sur ce périmètre constitue donc un déclencheur direct du RGPD.

L'article 32 du RGPD impose au responsable de traitement de garantir un niveau de sécurité adapté à l'état de l'art. Or, depuis le 2 juin 2026, un correctif existe et un avis officiel le documente : laisser une instance GLPI exposée et non corrigée revient désormais à s'écarter sciemment de l'état de l'art. En cas de compromission avérée, l'article 33 impose la notification à la CNIL sous 72 heures, et notre guide sur la conduite à tenir en cas de violation de données détaille la procédure pas à pas. Pour les entités soumises à NIS 2, s'y ajoute l'obligation de notification à l'ANSSI et une gestion documentée des vulnérabilités.

Le point le plus sensible concerne la sous-traitance. Beaucoup d'organisations n'hébergent pas GLPI elles-mêmes : leur instance est opérée par un prestataire infogérance. L'article 28 rend alors le sous-traitant contractuellement responsable de l'application des correctifs — encore faut-il que le contrat le prévoie et que le DPO sache exiger des preuves. C'est tout l'enjeu d'un audit des sous-traitants bien mené.

Ce que ça change pour les organisations

Concrètement, quatre actions s'imposent dans les jours qui suivent l'avis. Inventorier d'abord toutes les instances GLPI — celles exposées sur Internet en priorité absolue. Migrer ensuite vers les versions correctives indiquées dans les neuf bulletins GHSA de l'éditeur, sans attendre la prochaine fenêtre de maintenance. Auditer les journaux applicatifs pour détecter toute exploitation antérieure au correctif, signe qu'une violation a peut-être déjà eu lieu. Documenter enfin la décision et son horodatage : en matière d'accountability, la preuve de la réaction compte autant que la réaction elle-même.

Pour les organisations dont GLPI est infogéré, une cinquième action conditionne les autres : contacter le prestataire et obtenir, par écrit, la confirmation de l'application des correctifs. Et si vous doutez d'une exploitation, notre guide pour identifier un piratage de données personnelles aide à qualifier l'incident avant le décompte des 72 heures.

Ce que Leto pense de cette décision

Trois avis GLPI en un mois, ce n'est pas une malchance : c'est un signal de gouvernance. Patcher dans l'urgence à chaque bulletin épuise les équipes et finit par produire des trous. La bonne réponse n'est pas de réagir avis par avis, mais d'intégrer GLPI — comme tout outil concentrant des données personnelles — dans un cycle de veille et de mise à jour piloté et tracé. Les organisations qui traitent GLPI comme un actif critique de leur registre, et non comme un simple outil interne, seront aussi celles qui auront la documentation prête le jour où la CNIL posera la question.

Sources : CERT-FR — CERTFR-2026-AVI-0675, Multiples vulnérabilités dans GLPI (2 juin 2026).

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026