En bref

  • Des attaquants ont exfiltré plus de 350 Go de données depuis un compte AWS de la Commission européenne, incluant plusieurs bases de données.
  • L'infrastructure cloud hébergeant le portail Europa.eu est concernée, mais les systèmes internes de la Commission n'ont pas été affectés.
  • Les auteurs de l'attaque annoncent vouloir publier les données sans demander de rançon.

Ce qui s'est passé

La Commission européenne a confirmé le 27 mars 2026 avoir été victime d'une cyberattaque ciblant une partie de son infrastructure cloud. Selon les premières constatations, les attaquants ont compromis au moins un compte Amazon Web Services (AWS) utilisé pour héberger la présence web de l'institution sur la plateforme Europa.eu. Le volume de données exfiltrées est estimé à plus de 350 Go, comprenant plusieurs bases de données.

Un porte-parole de la Commission a précisé que des mesures de confinement ont été prises immédiatement après la découverte de l'intrusion et que des dispositifs d'atténuation des risques ont été déployés. L'enquête est toujours en cours pour déterminer l'étendue exacte de la compromission et identifier les auteurs.

Fait notable : le ou les attaquants ont déclaré ne pas chercher à extorquer l'institution, mais prévoient de diffuser publiquement les données dérobées. Cette approche, inhabituelle dans le paysage des menaces actuel, suggère une motivation hacktiviste ou politique plutôt que financière. Il s'agit du deuxième incident de sécurité majeur frappant la Commission en 2026, après la compromission en janvier de sa plateforme de gestion des appareils mobiles (MDM) via une faille Ivanti EPMM.

Pourquoi c'est important

Cette attaque illustre la surface d'exposition croissante des institutions publiques qui migrent vers le cloud. Même les organisations disposant de ressources considérables restent vulnérables lorsqu'un seul compte cloud est compromis. Le volume de 350 Go suggère un accès prolongé ou un défaut de segmentation des données sensibles au sein de l'environnement AWS.

Pour les entreprises et administrations européennes, cet incident rappelle l'importance d'une hygiène rigoureuse des environnements cloud : authentification multifacteur systématique, principe du moindre privilège sur les comptes de service, et surveillance continue des accès anormaux. La publication annoncée des données pourrait également avoir des répercussions en matière de protection des données personnelles au regard du RGPD.

Ce qu'il faut retenir

  • Auditez régulièrement les permissions et les accès de vos comptes cloud, en particulier les comptes de service avec des privilèges étendus.
  • Activez le MFA sur tous les comptes AWS, Azure ou GCP sans exception, y compris les comptes racine.
  • Mettez en place une détection des exfiltrations massives (alertes sur les volumes de transfert sortants inhabituels) pour réduire le temps de réaction.

Comment détecter une exfiltration de données sur un compte cloud AWS ?

Activez AWS CloudTrail et Amazon GuardDuty pour surveiller les appels API suspects. Configurez des alertes CloudWatch sur les volumes de transfert S3 sortants anormaux et les connexions depuis des adresses IP inhabituelles. Une revue régulière des journaux d'accès et des politiques IAM permet d'identifier les comptes surprivilégiés avant qu'ils ne soient exploités.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact