Stormshield Management Center : le CERT-FR publie un second avis en deux mois, cinq failles critiques
Le CERT-FR vient de publier un deuxième avis en deux mois sur le même produit Stormshield : cinq nouvelles vulnérabilités critiques touchent Stormshield Management Center (SMC), la console qui centralise l'administration des pare-feu de l'éditeur français. Pour les organisations qui s'appuient sur cet outil pour piloter leur périmètre de sécurité, la répétition des alertes en si peu de temps mérite un traitement prioritaire.
Ce qui s'est passé
Le 29 juin 2026, le CERT-FR (ANSSI) a publié l'avis CERTFR-2026-AVI-0816, fondé sur le bulletin de sécurité Stormshield 2026-012 du même jour. Il documente cinq failles (CVE-2026-6473, CVE-2026-6475, CVE-2026-6477, CVE-2026-6637 et CVE-2026-6638) affectant Stormshield Management Center dans ses versions antérieures à 3.9.2. Les risques identifiés sont sérieux : exécution de code arbitraire, atteinte à la confidentialité et atteinte à l'intégrité des données. Le correctif existe : la version 3.9.2 corrige l'ensemble des failles répertoriées.
C'est le second avis du CERT-FR sur ce même produit en l'espace de deux mois. En avril dernier, l'agence avait déjà alerté sur dix vulnérabilités dans SMC, dont une permettant également l'exécution de code à distance. Entre les deux, c'est Stormshield Network Security, la gamme de pare-feu du même éditeur, qui avait également fait l'objet d'un avis en juin. Trois alertes en trois mois sur l'écosystème d'un seul fournisseur, cela commence à dessiner une tendance.
Pourquoi c'est important
Stormshield Management Center n'est pas un logiciel périphérique : c'est la console qui pilote la configuration de flottes entières de pare-feu, souvent déployées dans des administrations, des collectivités ou des entreprises qui ont fait le choix d'un éditeur français pour des raisons de souveraineté. Une compromission de cette console, c'est un accès potentiel à l'ensemble du périmètre de sécurité qu'elle administre — règles de filtrage, journaux, comptes d'administration.
Pour les DPO et RSSI, cet avis active directement l'article 32 du RGPD, qui impose de maintenir des mesures de sécurité à l'état de l'art — l'application des correctifs disponibles en fait explicitement partie. Le règlement NIS 2 est également concerné : les entités essentielles ou importantes doivent documenter leur gestion des vulnérabilités et, en cas d'incident significatif, notifier l'ANSSI sous 24 heures.
Ce que ça change pour les organisations
Le plan d'action est le même qu'à chaque avis CERT-FR, mais il mérite d'être exécuté sans délai :
- Inventorier toutes les instances de Stormshield Management Center et vérifier leur version (toute version antérieure à 3.9.2 est concernée).
- Prioriser la montée de version pour les consoles exposées sur Internet ou accessibles depuis un réseau non cloisonné.
- Isoler le réseau d'administration de SMC des réseaux utilisateurs en attendant le déploiement du correctif.
- Analyser les journaux de connexion à la recherche de signes d'exploitation antérieurs au patch.
- Vérifier, si SMC est opéré par un prestataire infogérant, les clauses de sécurité du contrat de sous-traitance (article 28 du RGPD).
- Documenter la décision et le délai de remédiation pour la traçabilité exigée par l'accountability.
Si l'analyse des journaux révèle une exploitation effective ayant conduit à un accès non autorisé à des données personnelles, le réflexe doit être celui décrit dans notre guide sur comment réagir face à une violation de données : qualification du risque, notification de la CNIL sous 72 heures au titre de l'article 33 du RGPD, et le cas échéant information des personnes concernées.
Ce que Leto pense de cette décision
Trois avis CERT-FR en trois mois sur les produits d'un même éditeur, aussi respecté soit-il pour son positionnement souverain, doit alerter les DPO sur un point simple : la nationalité d'un fournisseur ne dispense d'aucune vigilance technique. « Made in France » n'est pas un synonyme de « sans faille », et les organisations qui ont choisi cet éditeur précisément pour des raisons de conformité ou de souveraineté ne doivent pas se croire à l'abri d'un audit de patch management. La vraie question n'est pas de savoir qui a édité le logiciel, mais à quelle vitesse l'organisation qui l'utilise applique les correctifs quand ils sortent.
Sources : CERT-FR, avis CERTFR-2026-AVI-0816, Bulletin de sécurité Stormshield 2026-012

