Schneider EcoStruxure : une faille critique dans le logiciel qui pilote les datacenters, et ce que les DPO doivent en retenir
Le 9 juin 2026, le CERT-FR a publié l'avis CERTFR-2026-AVI-0713 signalant une vulnérabilité critique dans EcoStruxure IT Data Center Expert, le logiciel de Schneider Electric qui supervise les infrastructures physiques des datacenters. La faille touche la confidentialité des données — et vise la couche la plus discrète, mais la plus stratégique, de la chaîne d'hébergement : celle où l'on pilote l'énergie, le refroidissement et la cartographie même des salles serveurs.
Ce qui s'est passé
EcoStruxure IT Data Center Expert (DCE) appartient à la famille des logiciels DCIM (Data Center Infrastructure Management). Sa fonction n'est pas de traiter des données métier, mais de surveiller le « physique » d'un datacenter : alimentation électrique, onduleurs, température, taux d'humidité, capteurs, caméras d'environnement. Le CERT-FR classe l'avis comme critique et indique que la vulnérabilité expose la confidentialité des données. L'agence recommande, comme toujours, d'appliquer sans délai les mises à jour publiées par l'éditeur et de prioriser les instances exposées sur Internet.
L'avis paraît dans un flux désormais quasi quotidien : ces dernières semaines, le CERT-FR a documenté coup sur coup des failles sur les produits SAP (AVI-0715), GLPI (AVI-0675) ou encore le module njs de NGINX. La nouveauté ici, c'est la cible : non pas une application qui manipule des données personnelles, mais l'outil qui orchestre le bâtiment dans lequel ces données vivent.
Pourquoi c'est important : un maillon souvent invisible de la conformité
Un logiciel DCIM concentre des informations qui n'apparaissent dans aucun registre des traitements : topologie des baies, plans d'adressage, identifiants d'administration des équipements, journaux d'accès physique. Compromettre cette couche, c'est obtenir une vue d'ensemble de l'infrastructure — un point de départ idéal pour une attaque plus large contre les systèmes qui, eux, hébergent des données personnelles.
Pour un DPO ou un RSSI, l'avis active deux régimes en parallèle. D'abord l'article 32 du RGPD, qui impose des mesures techniques « à l'état de l'art » : laisser tourner une brique d'infrastructure non corrigée alors qu'un correctif existe devient difficilement défendable. Ensuite la directive NIS 2, qui fait entrer les opérateurs de datacenters dans le périmètre des entités importantes, avec une obligation de gestion documentée des vulnérabilités et de notification à l'ANSSI. La question dépasse vite l'éditeur : la plupart des organisations n'exploitent pas elles-mêmes EcoStruxure, mais leur hébergeur ou leur infogéreur le fait probablement. On retombe alors sur l'article 28 et les garanties suffisantes attendues d'un sous-traitant.
Ce que ça change pour les organisations : actions concrètes
Trois réflexes s'imposent. Le premier est interne : inventorier toute instance EcoStruxure IT DCE, vérifier la version, appliquer le correctif de l'éditeur en priorisant les serveurs accessibles depuis Internet, et isoler le réseau d'administration du DCIM du reste du système d'information. Le deuxième est contractuel : interroger son hébergeur ou son prestataire d'infogérance pour savoir s'il utilise cette solution et où il en est de son plan de patch — un point à intégrer au questionnaire fournisseur plutôt qu'à découvrir après l'incident.
Le troisième relève de la traçabilité. Que l'on patche ou que l'on applique une mesure transitoire, la décision doit être horodatée et motivée : c'est elle qui démontrera la diligence en cas de contrôle. Si une exploitation est avérée et touche des données personnelles, les délais courent vite — notification à la CNIL sous 72 heures au titre de l'article 33, information des personnes concernées au titre de l'article 34, et alerte ANSSI sous NIS 2. Construire ces réflexes en amont, c'est le cœur d'une vraie politique de sécurité informatique.
Ce que Leto pense de cette décision
Cet avis rappelle une vérité que beaucoup de plans de conformité oublient : la sécurité des données ne s'arrête pas à la couche applicative. Une faille dans le logiciel qui pilote le datacenter ne « voit » aucune donnée personnelle directement, et c'est précisément ce qui la rend dangereuse — elle passe sous le radar des cartographies habituelles. Le bon réflexe n'est pas de courir après chaque CVE, mais d'étendre sa gouvernance des vulnérabilités jusqu'à l'infrastructure physique, et de l'exiger contractuellement de ses prestataires. Le datacenter n'est pas un détail technique : c'est le périmètre où la conformité commence vraiment.
