Ivanti : le CERT-FR alerte sur de multiples vulnérabilités — RCE, élévation de privilèges et fuites de données

14/5/26
👈 les autres actualités

Le CERT-FR (ANSSI) a publié le 13 mai 2026 l'avis CERTFR-2026-AVI-0576 documentant de multiples vulnérabilités dans plusieurs produits Ivanti : Endpoint Manager (EPM), Secure Access Client, Virtual Traffic Manager (vTM) et Xtraction. Quatre CVE — CVE-2026-7431, CVE-2026-7432, CVE-2026-8043 et CVE-2026-8051 — permettent l'exécution de code arbitraire à distance, l'injection SQL, l'élévation de privilèges et l'atteinte à la confidentialité des données. Pour les DPO et RSSI, l'horloge des articles 32 et 33 du RGPD démarre dès l'identification de l'exposition.

Ce qui s'est passé

L'avis du CERT-FR consolide cinq bulletins de sécurité publiés par Ivanti le 12 mai 2026. Quatre lignes de produits sont concernées :

  • Endpoint Manager (EPM) — versions antérieures à 2024 SU6, utilisé pour la gestion centralisée du parc informatique.
  • Secure Access Client — versions antérieures à 22.8R6, client VPN d'entreprise (CVE-2026-7431, CVE-2026-7432).
  • Virtual Traffic Manager (vTM) — versions antérieures à 22.9r4, équilibrage de charge applicatif (CVE-2026-8051).
  • Xtraction — versions antérieures à 2026.2, outil de reporting (CVE-2026-8043).

Les risques cumulés sont lourds : exécution de code arbitraire à distance, atteinte à l'intégrité et à la confidentialité des données, contournement de la politique de sécurité, injection SQL et élévation de privilèges. Aucune mesure de contournement n'est documentée : seuls les correctifs éditeur referment la fenêtre d'exposition.

Pourquoi c'est important

Les produits Ivanti concernés se situent à des points névralgiques du système d'information. Un Endpoint Manager compromis offre un pivot sur l'ensemble du parc managé. Un Secure Access Client vulnérable ouvre la porte d'entrée VPN — c'est-à-dire la première frontière entre Internet et le réseau interne. Un Virtual Traffic Manager exposé donne un point d'observation et de redirection sur tout le trafic applicatif. Et Xtraction agrège, par construction, des données issues d'autres systèmes — un terrain idéal pour exfiltrer des données personnelles à grande échelle.

Pour les DPO, le déclencheur est l'article 32 du RGPD, qui impose des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Laisser tourner un produit vulnérable connu, sans patch ni atténuation documentée, ne tient pas devant un contrôle CNIL — surtout quand la vulnérabilité est référencée par l'autorité nationale de cybersécurité.

Cet avis s'inscrit dans une série continue : le CERT-FR a publié ces dernières semaines des avis similaires sur Apache HTTP Server, Splunk, Atlassian (Confluence et Jira), Stormshield Management Center et PaperCut NG/MF. La tendance est claire : la conformité sécurité ne se construit plus en marge du quotidien — elle se mesure à la vitesse de patching.

Ce que ça change pour les organisations

Quatre actions concrètes à enclencher sous 72 heures :

  1. Inventorier. Identifier toutes les instances Ivanti déployées : EPM, Secure Access Client, vTM, Xtraction. Inclure les déploiements cloud, sur site et chez les sous-traitants — y compris les versions oubliées sur des serveurs de qualification.
  2. Patcher. Appliquer les correctifs Ivanti (EPM 2024 SU6, Secure Access Client 22.8R6, vTM 22.9r4, Xtraction 2026.2) en priorité sur les composants exposés à Internet et sur ceux qui traitent des données sensibles.
  3. Auditer les logs. Rechercher les marqueurs de compromission antérieure : connexions inhabituelles au Secure Access Client, exécutions de commandes inattendues sur EPM, requêtes SQL anormales sur Xtraction. Conserver les preuves.
  4. Documenter la décision. Tracer dans le registre de sécurité l'évaluation du risque, le délai de remédiation et les éventuelles mesures compensatoires. Cette documentation est le premier rempart en cas de contrôle CNIL ou d'incident ultérieur.

Si l'audit révèle une compromission, la chaîne RGPD se déclenche : notification CNIL sous 72 heures (article 33) et, en cas de risque élevé pour les personnes, communication aux personnes concernées (article 34). Pour les opérateurs essentiels et entités importantes au sens de NIS 2, l'ANSSI doit également être notifiée sous 24 heures pour un incident significatif. Pour structurer le diagnostic global, le guide audit RGPD de Leto reste la trame de référence.

Ce que Leto pense de cette décision

L'avis Ivanti n'est pas un événement isolé : c'est un signal hebdomadaire qui se répète. La maturité d'un DPO ne se mesure plus à sa capacité à lire un avis CERT-FR, mais à celle d'enchaîner inventaire, patch, audit et documentation dans une fenêtre courte. Tant que la cartographie applicative reste implicite et que le suivi des correctifs reste l'affaire exclusive du RSSI, la conformité article 32 restera théorique. Il est temps de traiter les avis ANSSI comme des entrées de calendrier — et non comme des notifications qu'on classera plus tard.

Sources :

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026