Ce que Progress a demandé aux clients

La consigne de Progress Software était sans détour: éteindre la machine. Le 10 juillet 2026, avec une couverture plus large le lendemain, les administrateurs utilisant ShareFile avec des Storage Zone Controllers sur site ont été invités à éteindre physiquement ces contrôleurs face à une menace que l'éditeur a qualifiée de crédible.

Il n'y a aucun correctif à appliquer, aucun CVE nommé à suivre, ni détail public sur la menace elle-même. Progress a aussi été clair: bloquer l'accès au niveau cloud ne suffit pas. L'exposition, c'est le contrôleur lui-même, l'appareil situé à l'intérieur du réseau du client, et la seule recommandation sur la table est d'en arrêter le fonctionnement.

Une vulnérabilité Progress de sévérité 9,8, CVE-2026-2699, circule dans la nature, mais Progress ne l'a pas officiellement liée à cet avertissement. Pour un dirigeant, la situation pratique est simple et inconfortable: un éditeur de confiance vous dit que l'état le plus sûr de son produit est éteint.

Pourquoi 'l'éteindre' vaut mieux que 'attendre un correctif'

Débrancher est le geste honnête quand il n'y a rien à corriger. Une extinction supprime immédiatement la surface d'attaque, tandis qu'attendre invite précisément le scénario que le secteur a déjà vécu avec MOVEit, le précédent produit de transfert de fichiers de Progress dont la crise de 2023 a déclenché l'une des plus grandes vagues de violations en Europe.

Ce précédent explique pourquoi cet avertissement pèse au-delà d'une seule gamme de produits. La même catégorie de logiciels de transfert de fichiers de confiance, placée à la couture où des documents sensibles circulent entre partenaires, a désormais produit deux urgences déclarées par l'éditeur, du même fournisseur. Quand la solution n'est pas disponible, le seul levier qu'un dirigeant contrôle est la disponibilité, et couper le service est la seule action qu'aucun attaquant ne peut prendre de vitesse.

L'exercice de risque tiers que vous vous devez

La leçon ici n'est pas ce seul produit. C'est que vos fournisseurs de transfert géré de fichiers et de partage de fichiers représentent un risque tiers concentré, et qu'une consigne soudaine d'éteindre un système en production est un exercice que vous devriez déjà savoir mener sous NIS2 et DORA.

Les deux régimes traitent un tel événement, déclenché par un fournisseur, comme un incident tiers à déclarer, et le délai peut débuter avant qu'une compromission soit confirmée. Cela signifie que les questions qui méritent une réponse aujourd'hui ne portent pas sur ShareFile seul: quels fournisseurs pourraient vous envoyer demain le même message, qui a l'autorité d'éteindre un système en moins d'une heure, et à quelle vitesse vous pourriez déposer la déclaration attendue par la loi.

Faites l'exercice maintenant, tant qu'il ne vous coûte qu'un après-midi. Les entreprises qui géreront calmement le prochain de ces appels sont celles qui ont répété l'extinction avant qu'un fournisseur ne l'impose.