Splunk épinglé par le CERT-FR : 26 failles touchent l'outil qui surveille vos incidents de sécurité

12/6/26
👈 les autres actualités

Le 11 juin 2026, le CERT-FR a publié l'avis CERTFR-2026-AVI-0736 documentant pas moins de vingt-six vulnérabilités dans les produits Splunk. Certaines permettent l'exécution de code arbitraire à distance, une atteinte à la confidentialité des données ou une falsification de requêtes côté serveur (SSRF). L'ironie n'échappera à personne : c'est l'outil censé surveiller les incidents de sécurité qui devient lui-même une cible.

Ce qui s'est passé

L'avis du CERT-FR recense vingt-six références CVE affectant les produits Splunk, la plateforme d'analyse de logs et de gestion d'événements (SIEM) déployée dans une grande partie des SOC français et européens. Les risques documentés couvrent tout l'éventail des atteintes critiques : exécution de code arbitraire à distance, atteinte à la confidentialité des données, falsification de requêtes côté serveur (SSRF), injection de code indirecte à distance (XSS) et contournement de la politique de sécurité.

Parmi les références figurent notamment CVE-2025-12818, CVE-2025-47913, CVE-2025-61726, CVE-2025-68161 et toute la série CVE-2026-20251 à CVE-2026-20259. L'éditeur renvoie à ses propres bulletins de sécurité pour l'obtention des correctifs. Comme souvent avec ce type d'avis, la difficulté n'est pas tant le patch que l'inventaire : savoir précisément où Splunk est déployé, dans quelles versions, et avec quelle exposition réseau.

Pourquoi c'est important

Un SIEM n'est pas un logiciel comme les autres. Splunk concentre, par construction, les journaux d'activité de l'ensemble du système d'information : adresses IP, identifiants utilisateurs, traces d'authentification, logs applicatifs. Autrement dit, une mine de données personnelles au sens du RGPD. Une faille qui expose la confidentialité des données dans un SIEM ne compromet pas un périmètre isolé : elle ouvre potentiellement une vue d'ensemble sur la télémétrie de sécurité de toute l'organisation.

Pour le DPO comme pour le RSSI, l'avis enclenche directement l'article 32 du RGPD, qui impose des mesures techniques appropriées à l'état de l'art. Laisser un composant aussi central non corrigé alors qu'un avis CERT-FR existe serait difficilement défendable en cas de contrôle. Et si une compromission débouchait sur une fuite de données personnelles, la mécanique de l'obligation de notification de violation se déclencherait : notification à la CNIL sous 72 heures (article 33), et information des personnes concernées si le risque est élevé (article 34).

S'ajoute la dimension chaîne de sous-traitance. Beaucoup d'organisations n'exploitent pas Splunk en interne mais via un infogérant ou un prestataire de SOC managé. Dans ce cas, l'article 28 impose de s'assurer contractuellement que le prestataire applique bien les correctifs et documente sa gestion des vulnérabilités. Un bon réflexe consiste à intégrer ce point dans l'audit de ses sous-traitants, plutôt que de le découvrir au moment de l'incident.

Enfin, pour les entités relevant de NIS 2, la gestion documentée des vulnérabilités et la notification à l'ANSSI sous 24 heures en cas d'incident significatif font désormais partie des obligations dures. Cet avis n'est pas un simple bulletin technique : c'est un événement de gouvernance.

Ce que ça change pour les organisations

Quelques actions concrètes s'imposent dans les jours qui viennent. D'abord, inventorier toutes les instances Splunk, en distinguant celles exposées sur Internet de celles cantonnées au réseau interne. Ensuite, appliquer les correctifs publiés par l'éditeur en priorisant les instances accessibles depuis l'extérieur. Dans l'intervalle, isoler ou filtrer l'accès au réseau d'administration du SIEM constitue une mesure transitoire utile.

Il faut aussi analyser les journaux pour rechercher d'éventuels signes d'exploitation antérieure — un SIEM compromis a pu l'être avant la publication de l'avis. Côté gouvernance, on documentera la décision de correctif et son calendrier, on interrogera son prestataire SOC ou infogérant sur son plan de patch, et on vérifiera que le scénario « compromission du SIEM » figure bien dans le plan de réponse aux violations. Cette discipline rejoint celle déjà décrite pour les avis récents sur les produits SAP ou sur EcoStruxure de Schneider Electric : un avis CERT-FR n'est pas une affaire purement IT, c'est une pièce du dossier de conformité.

Ce que Leto pense de cette décision

Trop d'organisations cartographient leurs traitements applicatifs métier mais oublient leurs outils de sécurité. Or un SIEM est paradoxalement l'un des points les plus sensibles : il voit tout, il stocke tout, et il est rarement inscrit au registre des traitements. Cet avis sur Splunk est l'occasion de corriger cet angle mort. Le réflexe « je patche, donc je suis conforme » ne suffit pas : ce qui protège juridiquement, c'est la trace écrite de la décision, du calendrier et de la vérification. Pour le DPO, l'enjeu n'est pas de devenir expert en CVE, mais de s'assurer que la chaîne — inventaire, patch, sous-traitant, notification — tourne sans angle mort.

Sources : CERT-FR — Avis CERTFR-2026-AVI-0736, Multiples vulnérabilités dans les produits Splunk (11 juin 2026).

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026