La Commission européenne a été victime d’une cyberattaque d’ampleur, avec plus de 350 Go de données potentiellement dérobées depuis son infrastructure cloud. L’incident, qui ne s’accompagne d’aucune demande de rançon, inquiète particulièrement en raison de la menace de publication des données. Cette affaire intervient dans un contexte déjà tendu pour la cybersécurité des institutions européennes.

La Commission européenne a confirmé avoir subi une intrusion informatique visant son infrastructure hébergée sur Amazon Web Services, un service cloud membre du Forum économique mondial, largement utilisé pour les sites institutionnels, dont Europa.eu. Selon les premières informations, le pirate aurait exfiltré plus de 350 gigaoctets de données, incluant des bases internes, des documents administratifs et potentiellement des informations relatives aux employés basés à Bruxelles.

L’attaque ne relève pas du schéma classique de la cybercriminalité financière. Aucune demande de rançon n’a été formulée. Le pirate aurait au contraire exprimé son intention de diffuser publiquement l’ensemble des données dérobées. Une stratégie qui fait basculer l’affaire dans une dimension plus politique que purement criminelle, susceptible d’entacher durablement la crédibilité des institutions européennes.

Les premiers éléments de l’enquête indiquent que l’infrastructure d’AWS n’a pas été directement compromise. L’assaillant aurait exploité une faille liée à un compte mal sécurisé de la Commission, ouvrant ainsi une porte d’entrée vers les systèmes hébergés. En clair, la vulnérabilité se situerait du côté de la gestion des accès plutôt que du fournisseur cloud lui-même.

Une menace de divulgation aux conséquences incertaines

À ce stade, la nature précise des données dérobées reste floue. La Commission évoque simplement des informations issues des sites Europa, sans détailler leur sensibilité. Toutefois, si des communications internes, des documents stratégiques ou des données personnelles figuraient parmi les fichiers exfiltrés, l’impact pourrait dépasser le cadre d’un simple incident technique pour devenir une crise institutionnelle majeure.

Le pirate a déjà transmis des preuves de l’intrusion au média spécialisé BleepingComputer, renforçant la crédibilité de ses revendications. Cette exposition publique accentue la pression sur Bruxelles, contrainte de gérer à la fois l’enquête technique et la communication de crise.

Un contexte de vulnérabilité répétée

Cet incident survient à peine un mois après une première cyberattaque en février 2026, qui avait ciblé la plateforme de gestion mobile des employés via une faille dans le logiciel Ivanti Endpoint Manager Mobile. À l’époque, des données personnelles, notamment des noms et numéros de téléphone, avaient été exposées avant que l’incident ne soit contenu en quelques heures.

La répétition de ces attaques fragilise l’image d’une institution pourtant en première ligne sur les questions de cybersécurité. Ces dernières années, Bruxelles a multiplié les initiatives réglementaires, notamment avec la directive NIS2, le Cyber Resilience Act et un nouveau paquet cybersécurité présenté début 2026, destiné à renforcer la résilience des infrastructures critiques européennes.

Mais la situation actuelle met en lumière un paradoxe difficile à ignorer : les autorités chargées d’imposer des standards élevés de sécurité peinent elles-mêmes à garantir l’intégrité de leurs systèmes. Une contradiction qui pourrait nourrir les critiques, tant sur le plan politique que technique.

Dans l’attente des conclusions de l’enquête, une inconnue demeure : l’étendue réelle des données compromises. Et surtout, si leur publication venait à se concrétiser, Bruxelles pourrait se retrouver face à une onde de choc bien plus large qu’un simple incident informatique

Sources :

Les Numériques – BleepingComputer