Sécurité de ge.ch: comment nous avons géré une faille critique

Illustration générée par IA
Illustration générée par IA
Retour sur la gestion d'une vulnérabilité majeure dans le système de gestion de contenu de ge.ch, du 18 au 21 mai 2026.

Une alerte sérieuse, une réponse coordonnée

Lundi 18 mai 2026, l'équipe de sécurité de Drupal a publié une annonce inhabituelle: une faille de sécurité classée «Highly Critical» allait être divulguée publiquement le mercredi 20 mai, accompagnée de ses correctifs. Cette classification est rare. Elle signifie qu'une faille de gravité maximale est sur le point d'être connue de tous, y compris des attaquants. Dans ce contexte, chaque heure compte. 

Pourquoi cette faille était-elle si préoccupante?

Nos infrastructures numériques sont scrutées en permanence. Des outils automatisés parcourent le web pour identifier les technologies utilisées par les sites des administrations. ge.ch, propulsé par Drupal, est connu comme tel. La publication d'une faille critique représente donc une fenêtre d'opportunité immédiate pour des acteurs malveillants. Le 20 mai au soir, la faille a été détaillée sous la référence SA-CORE-2026-004 (CVE-2026-9082): une attaque possible de la base de données, exploitable sans aucune authentification, et susceptible de mener à une divulgation de données, une élévation de privilèges, voire une exécution de code à distance. Seuls les sites utilisant PostgreSQL comme base de données étaient directement concernés par l'injection, mais les équipes Drupal ont recommandé une mise à jour universelle en raison de correctifs de sécurité associés pour Symfony et Twig. 

Notre stratégie: anticiper, protéger, corriger 

Face à cette annonce, nos équipes n'ont pas attendu la publication du correctif pour agir. Dès le 19 mai, nous avons appliqué l'ensemble des dernières mises à jour officielles disponibles, de façon à repartir d'une base saine et à limiter la complexité de l'intégration du correctif à venir. 

Le 20 mai à 18h30, avant même la publication de la faille, nous avons enclenché une séquence de protection préventive: 

  1. Gel du cache (miroir du site): les pages publiques de ge.ch, déjà mises en cache, ont continué à être servies normalement aux visiteurs, sans exposer le système sous-jacent. 
  2. Passage en maintenance: le site a été placé en mode maintenance, coupant l'accès aux ressources dynamiques non mises en cache (fonctionnalités de remarques, certains formulaires web, etc.) 
  3. Analyse de l'exposition: les équipes ont évalué précisément quels composants de ge.ch étaient concernés par la faille. 
  4. Application des correctifs: dès que le correctif officiel a été disponible dans la fenêtre du 20 mai (19h–23h UTC), nous avons procédé à son intégration et déployé les mises à jour sur les environnements de développement, de recette, puis de production. 
  5. Remise en ligne: le jeudi 21 mai à 9h, ge.ch était de nouveau pleinement opérationnel, le backoffice réactivé et les systèmes d'invalidation du cache relancés. 

Un impact quasi transparent pour le public 

Grâce au système de cache, la très grande majorité des pages de ge.ch est restée accessible sans interruption tout au long de l'opération. Seules les fonctionnalités dynamiques et certains formulaires ont été temporairement indisponibles durant la nuit du 20 au 21 mai. 

Ce que cet épisode illustre 

Cette intervention démontre l'importance d'une veille de sécurité proactive et d'une capacité de réaction coordonnée entre les équipes. La gestion de cette faille n'a pas commencé au moment de sa publication: elle a commencé dès l'annonce de son existence, trois jours plus tôt. Maintenir un site de l'administration cantonale comme ge.ch dans un état de sécurité optimal est un travail continu, souvent invisible, que nos équipes assurent au quotidien au service des citoyennes et citoyens genevois.