Ivanti Connect Secure de nouveau dans la KEV de la CISA : troisième incident en 18 mois

7 min. de lecture · Threat-Briefing

La CISA a ajouté cette semaine une nouvelle faille de sécurité dans Ivanti Connect Secure à son catalogue des vulnérabilités exploitées. C’est le troisième incident majeur avec le fournisseur de passerelles VPN en 18 mois. Mandiant observe une exploitation active par des groupes gouvernementaux dans au moins trois secteurs critiques DACH. Parallèlement, Eclypsium a publié des indicateurs techniques suggérant une persistance en mémoire. Le rapport M-Trends 2026 place les appliances VPN comme vecteur d’accès initial numéro un, avant les services Edge exposés et le phishing. Pour les CISO, c’est une question stratégique, pas seulement une question de mise à jour : quel est la durée de l’utilisation de Ivanti et, si oui, dans quelles conditions ?

Les points clés en bref

Troisième incident Ivanti en 18 mois : La question de confiance envers le fabricant s’aggrave. Les problèmes structurels dans le cycle de développement sécurisé ne sont plus un cas isolé.
Les appliances VPN restent le vecteur d’accès initial numéro un : Le rapport M-Trends 2026 documente cela dans 38 % des incidents au niveau des entreprises. Les appareils Edge sont le plus exposés des éléments de la topologie de l’entreprise en 2026.
Härten ou déplacer : Les CISO font face à une décision qui ne se limite plus à des mesures tactiques. Une mise à jour rapide dans 30 jours est possible, mais une migration prend six à douze mois et nécessite un mandat du conseil d’administration.

LiensMonitoring eBPF dans Kubernetes / Engineering de détection sans verrouillage de fournisseur

Quoi de neuf

Le nouveau CVE concerne Ivanti Connect Secure et Ivanti Policy Secure dans plusieurs versions actives. La CISA a ajouté la faille dans son catalogue des vulnérabilités exploitées dans les 48 heures suivant la divulgation, la période fédérale pour les agences US touchées est de deux semaines. Dans le DACH, la période n’est pas obligatoire, mais l’ajout au KEV est le déclencheur officieux pour tout CISO sérieux.

Mandiant a signalé dans son Flash Update que la faille est activement exploitée avec des modèles qui indiquent une activité de cluster gouvernementale établie. Les premiers indicateurs ont été observés dans les réseaux d’énergie et de télécommunication DACH. Eclypsium a publié des détails techniques sur un mécanisme de persistance en mémoire qui contourne les méthodes de correction classiques : la correction ferme la faille initiale, mais ne supprime pas la porte-bonheur en mémoire. Seule la correction accompagnée d’un redémarrage et d’une analyse forensique élimine complètement le risque.

Ivanti a fourni un package de correction dans les 24 heures suivant la divulgation. Dans les 72 heures suivant la publication, environ 60 % des appareils exposés ont été correctés en DACH, selon les données de télémétrie du NOC, ce qui est plus rapide que les deux incidents de Q4 2024 et Q2 2025. Le réflexe opérationnel est en place, mais il ne suffit pas en 2026 pour répondre à la question de confiance.

Situation d’escalade 2026

38 % de tous les incidents au niveau des entreprises, selon le rapport M-Trends 2026, commencent par une appliance VPN ou Edge. Troisième incident Ivanti Connect Secure en 18 mois. Ajout à KEV dans les 48 heures par la CISA. Au moins trois secteurs critiques DACH touchés. Une correction seule ne suffit pas : la persistance en mémoire nécessite un redémarrage et une analyse forensique complémentaire.

Quelles décisions les CISO doivent prendre dès aujourd’hui

Trois domaines de décision ne peuvent pas être délégués à la couche d’opérations en 2026.

Fortification immédiate en 30 jours. Patch plus redémarrage plus balayage des indicateurs est le minimum. Celui qui souhaite conserver les appareils Ivanti en 2026 devrait imposer l’authentification multifacteur au niveau du VPN-gateway, restreindre les limites de session, activer les filtres de connexion géographique et renforcer le monitoring des anomalies de jetons SAML. Ces mesures à 30 jours sont réalisables dans un SOC sérieux.

Architectures moyen-termes décisions dans six mois. Reste-t-il Ivanti dans le chemin clé, ou la migration de l’organisation vers une architecture d’accès réseau Zero-Trust (ZTNA)? Les solutions ZTNA comme Zscaler Private Access, Cloudflare Access ou Netskope Private Access réduisent l’attaque de surface, car il n’y a plus d’appareil VPN directement exposé. La migration prend six à douze mois et nécessite un mandat du conseil d’administration plus un budget compris entre 600 000 et 2,4 millions d’euros pour les systèmes moyens dans les pays DACH.

Diversification des fournisseurs en tant que stratégie. Même si vous souhaitez conserver Ivanti, il est sage de ne pas dépendre de tous les sites d’un seul fabricant à moyen terme. Des stratégies de double fournisseur avec deux fournisseurs de VPN ou ZTNA sur les sites critiques réduisent le risque de verrouillage par un seul fournisseur, qui est devenu une crise en 2024 et 2026.

Avantages et inconvénients des trois chemins

Pro Patch + Fortification

Chemin le plus rapide, réaliste en 30 jours
Pas de changement d’architecture nécessaire
Compétences existantes dans l’équipe utilisables
Acceptable si l’incident est unique

Contre Patch + Fortification

Risque de confiance structuré par le fournisseur reste
Prochain incident est statistiquement probable
Reputation vis-à-vis de la surveillance affectée
Coûts cumulatifs au fil des incidents

Pro Migration vers ZTNA

Attaque de surface significativement réduite
Position de Zero-Trust lors des audits
Intégration native dans le cloud avec l’IdP
Réduction de la complexité des appareils Edge

Contre Migration vers ZTNA

Migration de six à douze mois
Effet budgétaire six à sept chiffres
Mandat du conseil d’administration nécessaire
Courbe d’apprentissage pour l’équipe et les utilisateurs

Pro Double fournisseur

Répartition des risques entre deux fournisseurs
Argument de négociation lors de l’approvisionnement
Bien plus rapide pour basculer en cas de crise de fournisseur
Compromis pragmatique

Contre Double fournisseur

Complexité opérationnelle double
Deux cycles de mises à jour, deux pistes d’audit
Coûts de licence plus élevés en totalité
Exigences de compétences croissantes

Le plan 30-60-180

Séquence opérationnelle post-Acquisition KEV

Jours 1 à 7. Déployer le patch, redémarrer toutes les appliances, effectuer un balayage des indicateurs de compromission contre les indicateurs Eclypsium et Mandiant, invalidé les sessions concernées, renouveler tous les jetons SAML actifs.

Jours 8 à 30. Examiner les appliances forensiquement pour la persistance en mémoire, imposer l’authentification multifacteur (MFA) lors du login VPN, activer le filtrage géographique, restreindre les limites de session, affiner les détections SOC pour les anomalies des jetons SAML.

Jours 31 à 90. Examiner l’architecture avec le conseil d’administration : préparer la migration ZTNA ou établir un plan de double fournisseur, renégocier les contrats d’approvisionnement avec des clauses SLA de sécurité, examiner la responsabilité en matière de rapport NIS2 pour les filiales concernées dans la région DACH.

Jours 91 à 180. Lancer un pilote ZTNA dans deux domaines d’activité, préparer le setup de double fournisseur pour les sites critiques, intégrer les lessons learned dans les normes de l’entreprise, engagez une validation externe d’audit.

Foire aux questions

Quelle est l’ampleur du troisième incident Ivanti par rapport aux précédents?

Comparable en termes d’impact, mais plus grave en termes de confiance. Le troisième incident sur 18 mois transfère la question de la simple occurrence à une question de confiance envers le fournisseur. Les autorités de surveillance, les assureurs et les assureurs de cybersécurité se poseront de plus en plus des questions sur un plan d’action concret en 2026, pas sur une simple confirmation de la mise en œuvre d’un patch.

Quels indicateurs devraient intégrer les équipes SOC

Échelle des trois phases : 30 jours d'actions immédiates, 60 jours de renforcement, 180 jours d'architectures décisionnelles. — Stratégie de sécurité en trois phases : stabilisation, protection et résilience à long terme.

Mandiant et Eclypsium ont publié des indicateurs de hachage, des IP-ranges et des indicateurs de comportement. Les équipes SOC devraient configurer des règles YARA contre les signatures de persistance en mémoire, des règles Sigma pour les anomalies de réutilisation des jetons SAML et des détections EDR pour les connexions sortantes anormales depuis l’appliance VPN. Falco ou Tetragon avec télémétrie eBPF fournit la perspective la plus fiable.

Devraient les organisations NIS2 s’inscrire une KEV-Acquisition ?

Non l’acquisition en soi, mais chaque incident confirmé. Si l’organisation a des indices de compromission dans sa télémétrie, elle doit signaler dans les délais NIS2, soit 24 heures pour la prévention et 72 heures pour le rapport d’incident. Une simple KEV-Acquisition sans indicateurs personnalisés n’est pas obligatoire.

Est-ce que la migration ZTNA immédiate est rentable ?

Oui, si l’organisation devait réfléchir à son architecture Edge au cours des 18 prochaines mois. La ZTNA résout non seulement le problème Ivanti, mais réduit également d’autres risques liés au VPN et offre une meilleure position d’audit pour NIS2 et l’assurance contre les cyberrisques. Une migration ZTNA sans plan stratégique peut créer de la complexité supplémentaire.

Quel est le plus courant erreur post-KEV-Acquisition ?

Fermer sans vérifier. La persistance en mémoire est souvent ignorée car la vulnérabilité est considérée comme corrigée. Une réaction sérieuse comprend le patch, le redémarrage, l’examen forensique et un moniteur de 90 jours minimum. Si cela est réduit au premier jour, le risque n’est pas éliminé, mais simplement masqué du rapport.