Le 3 avril 2026, l'ANSSI publie un avis de sécurité sans ambiguïté : plusieurs produits IBM présentent des failles permettant à un attaquant d'exécuter du code à distance, de prendre le contrôle d'un système, voire de le rendre totalement inutilisable. Ce n'est pas une alerte théorique. C'est exactement le type de bulletin que les équipes de réponse à incident scrutent le matin pour savoir où frapper en premier.

IBM n'est pas un acteur de niche. En France, des milliers de PME utilisent des briques logicielles IBM sans toujours le savoir — des middlewares, des outils d'intégration, des solutions de gestion de données embarquées dans des logiciels métier. Le problème avec IBM, c'est précisément ça : ses produits sont souvent invisibles dans la chaîne technique, jusqu'au jour où ils ne le sont plus.

Ce que "exécution de code à distance" veut vraiment dire

L'expression est technique, mais la réalité qu'elle décrit est brutale. Une vulnérabilité d'exécution de code à distance — RCE dans le jargon — signifie qu'un attaquant peut, depuis n'importe où sur Internet, faire tourner ses propres instructions sur votre serveur. Sans accès physique. Sans mot de passe. Parfois sans que personne ne s'en aperçoive pendant des semaines.

Le rapport Verizon Data Breach Investigations 2025 le confirme : l'exploitation de vulnérabilités connues reste le premier vecteur d'attaque contre les entreprises de taille intermédiaire, devant le phishing. Ce qui frappe dans ce chiffre, c'est le mot "connues". Les attaquants n'ont pas besoin de découvrir des failles inédites — ils attendent que les bulletins comme celui de l'ANSSI soient publiés, puis scannent Internet pour trouver les systèmes non patchés. Le même rapport mesure à moins de cinq jours l'intervalle médian entre la publication d'un avis et les premières tentatives d'exploitation actives. En pratique, pour les failles à score CVSS élevé, on est souvent en dessous des 24 heures.

Dans le cas des produits IBM visés, certaines failles permettent également une élévation de privilèges : un attaquant qui a déjà un pied dans votre réseau peut devenir administrateur du système. C'est le scénario classique du ransomware — infiltration discrète, escalade silencieuse, puis chiffrement massif déclenché au moment le plus douloureux possible (un vendredi soir, avant un pont).

Le vrai problème : vous ne savez pas forcément que vous êtes exposé

Quand on parle de "produits IBM", les dirigeants de PME pensent aux grands comptes, aux DSI avec des équipes de quinze personnes. Mais IBM WebSphere, IBM MQ, IBM Db2 ou IBM Sterling se retrouvent dans des environnements bien plus modestes, souvent parce qu'un prestataire les a installés il y a cinq ans sans que ça fasse l'objet d'un inventaire précis.

La question à poser à votre responsable technique — ou à votre prestataire — est simple : avons-nous des composants IBM dans notre infrastructure, directement ou via des logiciels tiers ? La réponse honnête, dans beaucoup de PME, c'est "on va vérifier". Ce "on va vérifier" est exactement la fenêtre qu'exploitent les attaquants.

Patcher, oui — mais dans quel ordre ?

IBM a publié des correctifs. L'ANSSI recommande de les appliquer. Évident sur le papier — mais dans une PME, "appliquer les correctifs" se heurte vite aux questions de compatibilité, aux fenêtres de maintenance à négocier avec les métiers, aux environnements de test qui n'existent pas toujours.

La bonne approche n'est pas de tout patcher en urgence sans réfléchir : c'est de prioriser selon l'exposition réelle. Un composant IBM qui tourne en interne, sans aucune connexion vers l'extérieur, présente un risque différent d'un serveur accessible depuis Internet. Ce tri suppose d'abord de savoir ce qu'on a — inventaire des actifs — puis de comprendre ce qui est exposé.

IBM a détaillé les versions affectées dans ses bulletins de sécurité officiels, accessibles sur son portail X-Force. L'ANSSI renvoie vers ces sources dans son avis du 3 avril. Si votre prestataire ne vous a pas encore contacté à ce sujet, c'est le bon moment pour lui poser la question.

Ce bulletin IBM illustre un problème de timing : entre le moment où l'ANSSI publie un avis et celui où votre prestataire l'a lu, traduit en action, et planifié une intervention, il se passe souvent plusieurs jours. Parfois des semaines. C'est dans cet intervalle que les attaques se produisent. regwatch automatise la première étape de cette chaîne : chaque lundi matin, un digest des avis ANSSI, CNIL et Légifrance de la semaine, classés par niveau d'impact, avec l'action recommandée pour une PME. Vous savez en deux minutes si quelque chose vous concerne — sans avoir à éplucher des bulletins de vingt pages.

La cybersécurité des PME souffre rarement d'un manque de solutions. Elle souffre d'un manque de visibilité sur ce qui compte vraiment, au bon moment.