Quand Europa.eu tombe : ce que la faiblesse des IAM dit de notre souveraineté numérique

# Quand Europa.eu tombe : ce que la faiblesse des IAM dit de notre souveraineté numérique

L'institution qui porte le projet européen vient de se faire pirater par une attaque rendue possible, au moins en partie, par des contrôles d'accès défaillants. Si ça peut arriver à Europa.eu — vitrine numérique de la Commission européenne, avec les ressources qui vont avec — la question n'est plus de savoir si votre organisation est une cible. Elle est de savoir depuis combien de temps vous êtes déjà compromis.

Ce qui s'est passé, sans dramatiser inutilement

En 2026, le portail Europa.eu a été la cible d'une intrusion confirmée par les équipes de sécurité de la Commission européenne. Sans entrer dans des détails techniques encore partiellement sous embargo d'investigation, ce qui a filtré pointe dans une direction familière : des comptes à privilèges insuffisamment protégés, une gestion des identités qui n'a pas suivi le rythme de la complexification de l'infrastructure, et vraisemblablement une chaîne d'authentification qui comportait des maillons faibles.

Ce n'est pas un scénario de film. C'est le scénario classique de la majorité des compromissions documentées ces cinq dernières années : on n'entre pas en cassant les murs, on entre avec une clé volée ou mal gardée.

La Commission européenne gère un écosystème numérique d'une complexité rare : des milliers de comptes utilisateurs répartis sur plusieurs continents, des systèmes legacy hérités de décennies d'intégration progressive, et une pression politique permanente pour maintenir l'accessibilité des services publics. C'est, à grande échelle, exactement la situation de beaucoup d'ETI industrielles ou de groupes hospitaliers publics. La différence, c'est que quand Europa.eu est compromis, c'est la crédibilité de l'institution européenne elle-même qui est en jeu.

Le problème IAM : pourquoi c'est si difficile à résoudre

La gestion des identités et des accès — l'IAM pour Identity and Access Management — est l'un de ces sujets qui a le don d'endormir les comités de direction jusqu'au jour où il devient la priorité numéro un. Et ce jour-là, c'est généralement trop tard.

Pourquoi les IAM restent-ils si souvent le parent pauvre de la sécurité ? Quelques raisons structurelles méritent d'être nommées franchement.

Premièrement, l'IAM est perçu comme un projet d'infrastructure, pas comme un enjeu stratégique. On budgète pour les firewalls, pour la détection d'intrusion, pour les backups. La gouvernance des identités, c'est souvent traité comme un projet IT interne, avec une feuille de route qui s'étire sur des années et une priorité qui baisse dès que le budget se resserre.

Deuxièmement, la dette technique est massive. La plupart des organisations de taille intermédiaire gèrent simultanément Active Directory hérité, des annuaires cloud, des comptes de service orphelins sur des applications métier vieilles de quinze ans, et des accès administrateurs créés « provisoirement » il y a huit ans qui sont toujours actifs. Faire l'inventaire complet de qui a accès à quoi est en soi un projet de plusieurs mois.

Troisièmement, l'authentification multifacteur (MFA) reste insuffisamment déployée là où ça compte. Non pas sur les comptes utilisateurs classiques — là, la plupart des organisations ont fait le travail — mais sur les comptes de service, les accès API, les comptes d'administration des systèmes critiques. C'est précisément là que les attaquants cherchent en priorité.

La dimension souveraineté : pas un argument marketing, un fait opérationnel

On parle beaucoup de souveraineté numérique européenne depuis l'adoption du Cloud Act américain et les débats autour du RGPD. C'est souvent agité comme un étendard politique. Mais dans le cas précis de l'IAM, la question souveraineté est concrètement opérationnelle.

Voici le problème réel : une large partie des infrastructures IAM déployées en Europe — y compris dans des administrations publiques et des opérateurs d'importance vitale — repose sur des solutions américaines dont les conditions d'accès aux données d'identité peuvent, dans certaines circonstances légales spécifiques, être requises par des autorités américaines. Ce n'est pas de la paranoïa géopolitique. C'est la lecture littérale du droit américain applicable aux entreprises ayant des activités sur le sol américain.

Pour un DSI d'une ETI industrielle qui travaille sur des marchés de défense ou des contrats sensibles avec des donneurs d'ordre publics, la question de savoir où sont stockées les métadonnées d'authentification de ses collaborateurs — qui se connecte, quand, depuis où, à quels systèmes — n'est pas anodine.

Deux acteurs méritent d'être mentionnés dans ce contexte, non pas comme une liste de courses, mais parce qu'ils incarnent deux approches différentes du problème.

Thales a développé une offre IAM et gestion des secrets (notamment à travers ses acquisitions dans le domaine de la cybersécurité) pensée explicitement pour les contraintes de souveraineté des opérateurs critiques européens. Ce n'est pas une solution universelle, et elle n'est pas calibrée pour une PME de cent personnes, mais elle représente ce qu'une approche souveraine peut donner à l'échelle industrielle.

Wallix, éditeur français coté et spécialisé dans la gestion des accès à privilèges (PAM), est l'un des rares acteurs européens à avoir construit une proposition technique crédible sur le segment du contrôle des comptes administrateurs — précisément la surface d'attaque la plus exploitée dans les compromissions de type Europa.eu. Son positionnement européen n'est pas un argument commercial superficiel : c'est le résultat d'une stratégie délibérée de qualification auprès d'administrations et d'opérateurs critiques européens.

Citer ces deux acteurs ne signifie pas qu'ils sont les seules réponses. Cela signifie que le tissu industriel européen a produit des solutions qui méritent d'être évaluées sérieusement, et pas systématiquement écartées au profit de solutions américaines simplement parce que ces dernières ont des équipes commerciales plus importantes.

Ce que ça change concrètement pour vous

Si vous êtes DSI ou CTO d'une PME ou ETI européenne, le piratage d'Europa.eu n'est pas un fait divers géopolitique. C'est un signal d'alarme sur des vulnérabilités que vous partagez très probablement.

Quelques réflexions concrètes, de pair à pair.

L'audit des comptes à privilèges ne peut plus attendre. Combien de comptes administrateurs actifs avez-vous dans votre SI en ce moment ? Combien de ces comptes n'ont pas été utilisés depuis plus de quatre-vingt-dix jours ? Combien sont attachés à des prestataires dont le contrat est terminé ? Si vous ne connaissez pas ces réponses précisément, vous avez un problème IAM, même si vous n'avez pas encore eu d'incident.

Le MFA sur les comptes de service est non négociable en 2026. Si vous avez encore des comptes de service qui s'authentifient uniquement par mot de passe statique — et c'est le cas dans la majorité des infrastructures hybrides — vous avez une surface d'attaque ouverte. Ce n'est pas un projet à mettre au prochain budget annuel. C'est un chantier à lancer dans les semaines qui viennent.

La question du fournisseur IAM mérite une revue à l'aune de vos obligations contractuelles. Si votre activité vous soumet à des exigences de confidentialité strictes — marchés publics sensibles, données de santé, propriété intellectuelle industrielle — la localisation et la gouvernance légale de votre solution IAM font partie de votre périmètre de conformité. Pas seulement le RGPD. Le droit applicable à votre fournisseur dans son pays d'origine.

L'IAM n'est pas un projet IT, c'est un projet de gouvernance. Le RSSI ne peut pas résoudre seul le problème de la gestion des identités si les métiers continuent de créer des comptes partagés, de conserver des accès à des applications après le départ d'un collaborateur, ou de résister à l'implémentation du MFA au nom de la productivité. Ce sujet doit remonter au COMEX, avec un sponsor au niveau direction générale.

La vraie question que personne ne pose

Le piratage d'Europa.eu soulève une interrogation plus large que la technique. Si l'institution censée porter et incarner la souveraineté numérique européenne — celle qui co-rédige le AI Act, le Data Act, le Cyber Resilience Act — n'a pas été capable de protéger sa propre infrastructure d'identité, quel message cela envoie-t-il sur la cohérence entre les ambitions réglementaires et la réalité opérationnelle ?

On légifère sur la résilience des infrastructures critiques. On publie des directives NIS2. On exige des opérateurs privés des standards de sécurité élevés. Et pendant ce temps, la maison mère du projet européen souffre des mêmes failles qu'une ETI industrielle qui n'a pas eu les ressources pour moderniser son Active Directory depuis 2018.

Ce n'est pas un argument pour relativiser. C'est un argument pour l'humilité collective : la sécurité des identités est un problème difficile, y compris pour des organisations aux ressources importantes. Et la première étape pour le résoudre, c'est d'arrêter de le traiter comme un ticket de support IT en attente.

Le prochain incident de ce type — et il y en aura un — touchera peut-être une entreprise industrielle française dont les plans de production se retrouveront dans des mains mal intentionnées. Ou un groupement hospitalier dont les accès aux systèmes de prescription auront été compromis. La question n'est pas de savoir si c'est possible. La question est de savoir ce que vous faites cette semaine pour que ce ne soit pas vous.

*Cet article a été rédigé sur la base des informations disponibles au moment de la publication. L'enquête sur l'incident Europa.eu étant en cours, certains détails techniques pourraient évoluer.*