n8n est-il conforme au RGPD ? L'auto-hébergement fait la différence
n8n peut fonctionner de façon conforme au RGPD, mais il ne l'est pas automatiquement. Ce qui distingue le cloud de l'auto-hébergement et là où les workflows perdent des données.
Les CVE n8n actives et l'avertissement CISA 2026 touchent chaque instance auto-hébergée. Quels sont les systèmes affectés et comment corriger maintenant.

Quiconque auto-héberge n8n fait ses propres correctifs, ou ne le fait pas. C'est exactement ce qui fait des failles de sécurité n8n 2026 un vrai risque: l'autorité américaine de cybersécurité CISA a pour la première fois inclus une faille n8n dans son catalogue des failles de sécurité activement exploitées, tandis que plusieurs autres CVE critiques avec la plus haute évaluation ont été découverts en parallèle.
Pour les entreprises qui exploitent n8n sur leur propre infrastructure afin de conserver le contrôle de leurs données, ce n'est pas un problème théorique. Cet article montre quelles failles de sécurité n8n 2026 sont concrètement affectées, pourquoi l'auto-hébergement déplace la responsabilité au lieu de la résoudre, et ce que vous devriez faire maintenant.
CISA a CVE-2025-68613 le 11 mars 2026 dans son Catalogue des vulnérabilités exploitées connues après la preuve d'une exploitation active, la première faille n8n jamais dans ce catalogue. La faille permet aux attaquants authentifiés d'exécuter du code avec les droits du processus n8n via une expression de flux de travail manipulée (CVSS 9,9).
Les versions n8n affectées vont de 0.211.0 à avant les versions corrigées 1.120.4, 1.121.1 et 1.122.0; le correctif lui-même est sorti en décembre 2025. Les agences fédérales américaines ont dû se conformer d'ici le 25 mars 2026 selon le décret CISA. Selon les chiffres de la Shadowserver Foundation, début février 2026, plus de 24 700 instances n8n non corrigées étaient ouvertes sur le réseau, plus de 7 800 d'entre elles en Europe (Source: The Hacker News).
Ni8mare (CVE-2026-21858) atteint le niveau de sévérité maximal avec CVSS 10,0 et permet aux attaquants non authentifiés de lire des fichiers arbitraires sur le serveur via des vérifications Content-Type manquantes dans les flux de travail de formulaires, ce qui peut aller jusqu'à de fausses sessions d'administrateur et une exécution complète du code (Source: Rapid7). Les versions 1.65.0 à 1.120.x sont affectées, la faille est corrigée à partir de 1.121.0.
Peu de temps avant, N8scape (CVE-2025-68668, CVSS 9,9) a été découvert: une échappatoire de sandbox dans le nœud de code Python, via lequel les utilisateurs authentifiés avec des droits de flux de travail peuvent exécuter des commandes système sur l'hôte. Les deux failles montrent un modèle: là où les flux de travail peuvent accepter des fichiers ou exécuter du code, le modèle de sécurité respectif devient une surface d'attaque. Même le correctif original pour CVE-2025-68613 a été contourné plus tard avec CVE-2026-25049 (CVSS 9,4) contourné à nouveau, une indication qu'un seul cycle de correctif ne suffit pas ici.
Avec une instance n8n auto-hébergée, vous gérez complètement les correctifs vous-même, tandis que n8n Cloud applique automatiquement les mises à jour de sécurité. C'est exactement ce contrôle qui pousse de nombreuses petites et moyennes entreprises et collectivités à choisir l'auto-hébergement lorsque les données client ou les processus administratifs passent par les flux de travail.
Cette liberté a un prix: un serveur n8n que personne n'observe activement devient lui-même un risque, indépendamment de la qualité de la conception des flux de travail individuels. De nombreuses entreprises installent n8n une fois et le traitent ensuite comme un outil fini, sans regard continu sur les versions ou les bulletins de sécurité. C'est exactement la différence entre le contrôle et la négligence.
Pour les clients dont les n8n-instances que nous gérons, une fenêtre de correctif fixe fait partie de l'exploitation courante, pas une réaction ad hoc après le prochain titre. Une fois CVE-2025-68613 connu, nous avons d'abord vérifié les versions des instances gérées et mis à jour les systèmes affectés en temps opportun, en plus d'examiner les accès inhabituels aux flux de travail basés sur formulaires.
Cela inclut aussi une gouvernance à petite échelle: qui peut créer ou modifier des flux de travail, quels nœuds peuvent exécuter du code ou accepter des fichiers, et où l'accès externe nécessite-t-il une VPN supplémentaire ou un proxy inverse avec authentification propre. Dans notre Conseil en IA ce n'est pas un chapitre supplémentaire, mais une partie intégrante de chaque automatisation qui passe en production.
Cinq étapes peuvent être mises en œuvre dans la plupart des configurations en une journée:
Quiconque coche ces points aujourd'hui ferme les failles critiques actuellement connues. Le sujet n'est pas résolu pour toujours car la situation des menaces change trop vite, mais l'instance n'est alors plus vulnérable aux vecteurs d'attaque connus en 2026.
n8n Cloud est continuellement mis à jour par n8n lui-même; dans la pratique, les CVE mentionnés affectent principalement les instances auto-hébergées qui n'ont pas été mises à jour en temps opportun vers les versions corrigées.
Vous trouverez le numéro de version dans les paramètres n8n ou dans le pied de page de l'instance. Comparez-le avec les niveaux de correctif des bulletins de sécurité de la communauté n8n où n8n répertorie chaque faille avec ses versions affectées et corrigées individuellement.
Limitez temporairement l'accès à VPN ou une liste blanche d'IP, désactivez les flux de travail de formulaires accessibles publiquement et surveillez les journaux d'accès plus étroitement que d'habitude. Cela ne remplace pas une mise à jour, mais réduit la fenêtre de temps pendant laquelle une faille connue reste exploitable.
Oui. Nous vérifions la version, l'historique des correctifs et la protection d'accès des n8n-installations et assumons si souhaité la gestion continue des correctifs, afin que vous puissiez conserver le contrôle de votre automatisation sans avoir à suivre chaque alerte de sécurité vous-même.
NordFlux construit des employés numériques pour les organisations : des automatisations et des agents KI qui prennent en charge le travail répétitif. Vous gardez le contrôle.
n8n peut fonctionner de façon conforme au RGPD, mais il ne l'est pas automatiquement. Ce qui distingue le cloud de l'auto-hébergement et là où les workflows perdent des données.
Lors d'un audit technique court, nous vérifions votre version n8n, votre gestion des correctifs et la sécurisation face à l'extérieur, afin que vous conserviez le contrôle de vos données même sur le plan de la sécurité.