La Commission affirme que ses systèmes informatiques internes n’ont pas été affectés, mais elle travaille toujours à déterminer l’impact de l’attaque.
La Commission européenne continue d’enquêter sur le vol de données de son infrastructure cloud en début de semaine.
Jeudi, la Commission a révélé, en fournissant peu de détails, une attaque contre sa plateforme Europa.eu, puis vendredi, le site d’informations sur la sécurité Bleeping Computer a rapporté que l’attaque avait impliqué la compromission d’un ou plusieurs comptes sur Amazon Web Services (AWS).
Le site d’information a déclaré qu’un acteur malveillant anonyme qui a revendiqué la responsabilité lui a déclaré avoir volé plus de 350 Go de données de la Commission et avait montré au journaliste plusieurs captures d’écran comme preuve.
Le pirate informatique a également déclaré qu’il divulguerait les données, plutôt que d’essayer d’extorquer la Commission.
Pour sa part, Amazon a déclaré : « AWS n’a pas connu d’événement de sécurité et nos services ont fonctionné comme prévu ».
La Commission a déclaré que les sites Web Europa restent disponibles et que sa « réponse rapide a permis de contenir l’incident et de mettre en œuvre des mesures d’atténuation des risques pour protéger les services et les données ». Ses systèmes internes n’ont pas été affectés par l’attaque, ajoute le communiqué.
Cet incident survient après que la Commission a révélé le 30 janvier que son infrastructure centrale de gestion des appareils mobiles avait « identifié des traces d’une cyberattaque » qui pourraient avoir révélé les noms et les numéros de téléphone portable de certains membres du personnel.
IAM est difficile
Le manque d’informations sur l’attaque rend difficile tout commentaire pour les experts du secteur de la sécurité. D’une part, on ne sait pas comment la violation des contrôles de sécurité s’est produite : l’auteur de la menace a-t-il profité d’une vulnérabilité logicielle ou matérielle non corrigée, a-t-il trouvé un jour zéro, ou un employé a-t-il été victime d’une attaque de phishing ?
« Il y a très peu d’informations disponibles », a déclaré Kellman Meghu, directeur de la technologie de la société canadienne de réponse aux incidents DeepCove Cybersecurity, « mais cela semble mauvais. C’est pourquoi j’oblige tous mes utilisateurs à utiliser la connexion à AWS Identity Center. Aucune clé générée par IAM et les comptes d’administrateur ne sont activés que via une stratégie de « brise-glace », où deux personnes sont nécessaires pour s’authentifier. «
Par stratégie « briser le verre », Meghu a déclaré qu’il voulait dire que le compte racine/administrateur AWS qui contrôle toute l’infrastructure cloud d’une organisation est stocké en dehors d’AWS sur un système qui nécessite l’autorisation du PDG et du CTO, via des informations d’identification et des jetons matériels. Cet accès génère une alerte, donc en cas de tentative de connexion non autorisée, le PDG et le CTO le savent.
« Personnellement, je vis dans la peur constante que ce genre de choses se produise », a-t-il déclaré. « Je crée plusieurs comptes AWS distincts à l’aide de la fonctionnalité AWS Organizations afin que les comptes soient complètement isolés les uns des autres. Par exemple, il peut y avoir une « dev ORG » pour les tests sans données réelles, et une « uat ORG » pour les tests utilisateur avec certaines données, et une « prod ORG » où personne n’est autorisé. Vous pouvez également décomposer les choses afin que différents types d’applications aient leur propre organisation, ce qui limite les mouvements latéraux. Azure a une configuration et des options similaires, appelées locataires.
« La réalité est que la gestion des accès aux identités (IAM) est difficile, et pas seulement dans AWS », a-t-il ajouté. « (C’est) le même défi avec toutes les infrastructures. (Microsoft) Entra ID me fait tout autant peur. Comment garantir que la personne autorisée a un accès légitime ? Il suffit d’une seule erreur. »
Un « sombre avertissement »
Ilia Kolochenko, PDG de la société suisse ImmuniWeb, a déclaré que même si l’attaque « peut paraître assez banale à première vue, il y a plusieurs choses auxquelles il faut prêter attention ».
Faisant référence au rapport de Bleeping Computer, il a déclaré que, étant donné que les attaquants auraient l’intention de divulguer les données, leur intention principale ici est de nuire visiblement et de nuire à la réputation.
« Les attaquants derrière sont soit des hacktivistes, soit des cybermercenaires engagés par un État-nation », a-t-il conclu. « Au vu des turbulences géopolitiques qui règnent dans le monde, de telles attaques vont probablement augmenter en 2026. Le problème est que dans de tels cas, les attaquants prennent rarement en compte leurs coûts et peuvent constamment investir du temps et des efforts dans des campagnes de piratage sophistiquées contre les organisations les plus protégées. Les organisations devraient de toute urgence se préparer à une avalanche d’attaques politiquement motivées avec des conséquences très destructrices cette année. »
Combiné avec l’histoire d’incidents similaires ayant touché la Commission européenne et d’autres organes de l’UE, cet incident « est un sombre avertissement selon lequel la réglementation européenne en matière de cybersécurité, que certains experts perçoivent comme excessive et inutilement compliquée, n’est pas une panacée contre les violations de données », a-t-il ajouté. « Même si les violations de données dans le cloud sont assez répandues et ont déjà touché des milliers de grandes organisations en 2026, cet incident pourrait être exploité par les opposants à une réglementation excessive du paysage européen de la protection des données. »
Kolochenko a également déclaré que les entreprises européennes pourraient utiliser cet incident pour promouvoir la souveraineté numérique et le cloud « fabriqué par l’UE ». « Même s’il est peu probable que le stockage de données en Europe, sous la gestion de fournisseurs de cloud européens, modifie sensiblement le paysage de la sécurité du cloud, certaines organisations pourraient être tentées d’abandonner les fournisseurs américains au profit de leurs concurrents européens », a-t-il déclaré.
