Stormshield Management Center : l'ANSSI alerte sur dix vulnérabilités, dont l'exécution de code à distance

26/4/26
👈 les autres actualités

L'ANSSI a publié le 23 avril 2026 l'avis CERTFR-2026-AVI-0483 documentant dix vulnérabilités dans Stormshield Management Center, la console d'administration centrale d'un éditeur français de pare-feu utilisée par des milliers d'opérateurs publics et privés en France. Certaines failles permettent une exécution de code arbitraire à distance — le pire scénario pour un produit qui pilote des équipements de sécurité.

Ce qui s'est passé

L'avis du CERT-FR référence dix CVE (CVE-2025-11187, CVE-2025-68160, CVE-2025-69421, CVE-2026-2003, CVE-2026-2005, CVE-2026-2006, CVE-2026-21713, CVE-2026-21717, CVE-2026-22795, CVE-2026-22796) couvrant trois familles de risques : exécution de code arbitraire à distance, déni de service à distance et atteinte à la confidentialité des données. Toutes les versions de Stormshield Management Center antérieures à 3.9.1 sont concernées. L'éditeur a publié quatre bulletins de sécurité (2026-004, 2026-005, 2026-008 et 2026-009) le 22 avril 2026 ; l'ANSSI les a relayés dès le lendemain en avis officiel.

Stormshield Management Center est la console qui permet aux administrateurs de superviser l'ensemble du parc de pare-feu Stormshield. Une compromission de cette pièce maîtresse offrirait à un attaquant un point de pivot vers tout le réseau protégé : modification des règles de filtrage, suppression de logs, déploiement de configurations malveillantes. Le risque dépasse la simple vulnérabilité applicative.

Pourquoi c'est important

Pour un DPO, cet avis n'est pas un dossier purement technique à transférer au RSSI. Il déclenche directement deux corpus réglementaires.

D'abord, l'article 32 du RGPD impose au responsable de traitement et au sous-traitant des « mesures techniques et organisationnelles appropriées » pour garantir la sécurité du traitement, en tenant compte de l'état de l'art. Une CVE publiquement documentée par l'ANSSI fait basculer le seuil : ne pas patcher dans un délai raisonnable n'est plus une décision technique, c'est un manquement potentiel au RGPD si une exfiltration de données personnelles s'ensuit. Plusieurs sanctions de la CNIL en 2024 et 2025 ont retenu ce raisonnement : l'organisation savait, l'organisation n'a pas agi, l'organisation est responsable.

Ensuite, la directive NIS 2 élargit le périmètre des entités essentielles et importantes (administrations, santé, énergie, transport, fournisseurs numériques, ETI industrielles…) et impose un cadre formalisé de gestion des vulnérabilités. La transposition française, entrée en application progressive depuis fin 2024, exige notamment la notification d'incident significatif sous 24 heures à l'ANSSI. Une exploitation des CVE Stormshield avec impact sur la disponibilité ou l'intégrité des services entrerait dans ce champ.

Cet avis Stormshield s'inscrit dans une série courte mais dense de bulletins critiques sur des produits centraux : les équipements industriels Schneider Electric mi-avril, les produits Splunk quelques jours après. Le motif est lisible : les outils de sécurité et de supervision deviennent eux-mêmes des cibles privilégiées.

Ce que ça change pour les organisations

Le CERT-FR n'attribue pas de score CVSS dans son avis, mais la combinaison « exécution de code à distance + console d'administration de pare-feu » justifie un traitement en priorité haute. Concrètement, quatre actions s'imposent dans les jours qui viennent :

  • Inventorier : recenser toutes les instances de Stormshield Management Center exposées, internes comme externes, en incluant les déploiements oubliés (préproduction, sites secondaires).
  • Mettre à jour en version 3.9.1 ou supérieure en suivant les bulletins éditeur 2026-004, 2026-005, 2026-008 et 2026-009. Pour les organisations contraintes par des fenêtres de maintenance, isoler la console (segmentation réseau, restriction d'accès) reste un palliatif temporaire.
  • Documenter la décision : dater le patch, tracer la chaîne de validation, conserver les preuves. C'est l'élément qui protège juridiquement en cas de contrôle CNIL ou de notification d'incident.
  • Tester l'exploitation passée : analyser les logs sur les 30 derniers jours pour détecter d'éventuels comportements anormaux. Si une exploitation est avérée et que des données personnelles sont concernées, la chaîne article 33 RGPD (notification CNIL sous 72h) doit être déclenchée — sans attendre une certitude complète sur l'ampleur.

Ce que Leto pense de cette décision

Trois avis CERT-FR critiques en deux semaines sur des outils de sécurité ou de supervision : ce n'est plus une suite de hasards. Les attaquants ciblent désormais l'infrastructure de défense elle-même, parce que sa compromission annule toutes les autres protections. Le réflexe « je délègue au RSSI » n'est plus tenable pour un DPO. La cartographie des dépendances logicielles devient un livrable de conformité au même titre que le registre des traitements. Ce n'est pas un sujet de plus : c'est le test grandeur nature de la maturité opérationnelle de NIS 2 dans les organisations françaises.

Sources : Avis CERTFR-2026-AVI-0483 — ANSSI, Bulletin Stormshield 2026-004, Bulletin Stormshield 2026-005, Bulletin Stormshield 2026-008, Bulletin Stormshield 2026-009.

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026