Sécurité n8n en entreprise : les 7 erreurs qui exposent vos données
n8n concentre toutes vos clés API, tokens OAuth et connexions DB en un seul endroit. Une instance mal configurée, c'est l'ensemble de votre infrastructure connectée dans les mains d'un attaquant.
Analyse 2LKATIME - Agence IA & Cybersécurité
2LKATIME déploie n8n pour ses clients PME depuis 2023 et audité régulièrement des instances en production. Cet article s'appuie sur des CVE publiées, des configurations réelles observées lors de pentests, et les recommandations officielles de l'équipe n8n.
n8n est devenu l'outil d'automatisation de référence pour les PME françaises : open source, puissant, connecté à 400+ services. Mais cette puissance est exactement ce qui en fait une cible prioritaire. En 2025-2026, quatre CVE critiques (dont une CVSS 10.0 sans authentification) ont été découvertes sur la plateforme, exposant potentiellement 100 000 instances dans le monde. Une seule instance compromise donne accès à toutes les clés API, tokens OAuth, identifiants de basé de données et connexions cloud que vous y avez configurés.
Ces failles ne viennent pas toutes de bugs logiciels - beaucoup résultent de mauvaises pratiques de configuration et de déploiement. Voici les 7 erreurs que nous rencontrons le plus souvent lors de nos audits, et comment les corriger avant qu'un attaquant ne les exploite.
Le contexte : 4 CVE critiques sur n8n en 18 mois
Avant d'aborder les erreurs de configuration, il est important de comprendre le paysage des vulnérabilités connues de n8n. Ces CVE illustrent exactement pourquoi chaque erreur listée ci-dessous peut avoir des conséquences immédiates et graves.
| CVE | CVSS | Impact | Auth requise |
|---|---|---|---|
| CVE-2026-21858 (Ni8mare) | 10.0 | Prise de contrôle admin complète via lecture de fichiers arbitraires | Non |
| CVE-2025-68613 | 9.9 | RCE via injection d'expressions dans les définitions de workflow | Oui (faible) |
| CVE-2026-25049 | 9.4 | Contournement du correctif CVE-2025-68613 - exécution de commandes système | Oui (faible) |
| CVE-2026-21877 | 8.8 | Injection de code, chainable avec CVE-2026-21858 pour RCE sans auth | Oui |
Version minimum requise : n8n 1.121.0. Les versions antérieures à 1.120.4 sont exposées à CVE-2025-68613. Les versions antérieures à 1.65 ne reçoivent plus de correctifs de sécurité. Vérifiez votre version avec n8n --version ou dans Settings > About.
Les 7 erreurs de sécurité n8n les plus fréquentes
Exposer n8n directement sur Internet sans reverse proxy
C'est l'erreur la plus répandue et la plus dangereuse. Des milliers d'instances n8n tournent sur le port 5678 directement accessible depuis Internet, sans aucune couche d'authentification supplémentaire. CVE-2026-21858 (CVSS 10.0) exploite précisément cette configuration : un attaquant non authentifié peut lire des fichiers arbitraires sur le serveur et forger un token administrateur en quelques secondes.
Configuration dangereuse
n8n accessible sur https://mondomaine.fr:5678 sans auth supplémentaire, ports ouverts dans le firewall
Configuration correcte
Nginx/Caddy en reverse proxy sur le port 443, n8n bind sur 127.0.0.1:5678 uniquement, accès restreint par IP ou VPN
Ne pas mettre à jour n8n - laisser tourner des versions vulnérables
n8n sort des releases fréquentes et les correctifs de sécurité arrivent souvent sans annonce majeure. Lors de nos audits, nous trouvons régulièrement des instances qui n'ont pas été mises à jour depuis 6 à 12 mois. CVE-2026-25049 a été publié spécifiquement parce qu'un attaquant a trouvé un contournement du correctif de CVE-2025-68613 - ce qui signifie que même les entreprises qui avaient patché rapidement ont dû re-patcher quelques semaines plus tard.
Pour les déploiements Docker, ajouter une vérification automatique hebdomadaire :
# Vérifier la version courante
docker exec n8n n8n --version
# Mettre à jour l'image
docker pull n8nio/n8n:latest
docker compose up -dStocker des secrets dans les nœuds de workflow
C'est le problème de "blast radius" de n8n : en centralisant toutes vos intégrations, vous créez un coffre-fort unique. Si ce coffre-fort est compromis via une des CVE ci-dessus, l'attaquant récupère instantanément toutes les clés API (Stripe, HubSpot, Slack, OpenAI...), tous les tokens OAuth, toutes les connexions aux basés de données. Nous observons régulièrement des clés API hardcodées dans des nœuds HTTP Request ou Function, invisibles depuis l'interface mais stockées en clair dans la basé de données n8n.
Surface d'impact d'une instance n8n compromise
La bonne pratique : utiliser le gestionnaire de credentials intégré de n8n (qui chiffre au repos) et s'assurer que la variable N8N_ENCRYPTION_KEY est définie et externalisée.
Donner les droits de création de workflow à trop d'utilisateurs
CVE-2025-68613 et CVE-2026-25049 exploitent l'injection d'expressions dans les définitions de workflow. Concrètement : tout utilisateur ayant le droit de créer ou modifier un workflow peut potentiellement exécuter du code arbitraire sur le serveur. Dans beaucoup d'organisations, tous les membres de l'équipe marketing ou ops ont accès complet à n8n. C'est une surface d'attaque interne considérable, surtout si un compte est compromis via phishing.
Principe de moindre privilège
- - Admins : équipe technique uniquement
- - Editors : utilisateurs qui connaissent les risques
- - Viewers : consultation uniquement pour les ops
- - Activer l'authentification SSO si disponible
Mesures complémentaires
- - Désactiver les nœuds Code/Function si non utilisés
- - Activer N8N_BLOCK_FILE_ACCESS_TO_N8N_FILES
- - Auditer régulièrement les workflows existants
- - MFA obligatoire sur tous les comptes
Connecter n8n à l'ensemble du réseau interne sans segmentation
n8n a besoin d'accéder aux services qu'il orchestre, mais il ne doit pas pouvoir atteindre l'ensemble de votre réseau interne. Un n8n compromis qui peut joindre votre Active Directory, vos serveurs de fichiers et vos basés de données de production devient un pivot d'attaque redoutable. Nous avons observé des cas où n8n était déployé sur le même segment réseau que les serveurs critiques, sans aucune règle firewall entre eux.
La bonne pratique : déployer n8n dans un réseau dédié (VLAN ou sous-réseau Docker isolé) avec des règles de sortie strictes - uniquement les IPs et ports des services qu'il doit réellement contacter. Bloquer par défaut tout le reste.
Ne pas monitorer les exécutions de workflow ni les accès à l'API
n8n logue toutes les exécutions de workflow, mais ces logs restent souvent inexploités. Pourtant, une exécution anormale - un workflow qui tourne à 3h du matin, qui envoie des données vers une IP inconnue, ou qui génère un volume inhabituel de requêtes - est souvent le premier signe d'une compromission. Sans alerte sur ces anomalies, la détection peut prendre des semaines.
Connecter les logs n8n à votre SIEM ou, à minima, mettre en place des alertes simples :
- - Alerter sur les connexions depuis des IPs non reconnues
- - Alerter sur les erreurs d'authentification répétées
- - Alerter sur les workflows modifiés en dehors des horaires de travail
- - Vérifier hebdomadairement la liste des credentials configurés
Faire transiter des données personnelles dans n8n cloud sans évaluation RGPD
n8n cloud est conforme RGPD dans son infrastructure (hébergement en Allemagne), mais la conformité dépend de ce que vous faites passer dans vos workflows. Si vos automatisations traitent des données personnelles de clients - emails, noms, numéros de commande, historique d'achat - ces traitements doivent figurer dans votre registre RGPD et une DPA doit être signée avec n8n GmbH. L'AI Act 2026 ajoute une couche supplémentaire si vos workflows incluent des décisions automatisées.
n8n cloud
- - Hébergement EU (Allemagne)
- - DPA disponible et à signer
- - Données limitées aux workflows actifs
- - Adapter selon sensibilité des données
Self-hosted
- - Contrôle total sur la localisation des données
- - Responsabilité sécurité entièrement à votre charge
- - Recommandé pour données très sensibles
- - Backups chiffrés obligatoires
Checklist de sécurité n8n - à vérifier maintenant
Ces 10 points couvrent les risques les plus courants. Chaque case non cochée est un risque actif sur votre instance.
n8n en version 1.121.0 minimum
Accessible uniquement via reverse proxy HTTPS
Port 5678 fermé sur le firewall public
MFA activé sur tous les comptes
N8N_ENCRYPTION_KEY défini et externalisé
Droits editor/admin limités à l'équipe technique
Segmentation réseau - n8n isolé des serveurs critiques
Logs d'exécution monitorés avec alertes anomalies
Aucun secret hardcodé dans les nœuds de workflow
DPA signée avec n8n GmbH si cloud + données perso
2LKATIME est l'agence de référence n8n en France avec 16+ ans d'expérience en cybersécurité offensive. Nous déployons et sécurisons des instances n8n en production pour des PME à Paris, Lyon, Bordeaux et dans les DOM-TOM. Nos formules de déploiement sécurisé incluent un audit de configuration initial et un pentest de l'instance. Pour les équipes en Martinique et Guadeloupe, voir nos formules DOM-TOM.
FAQ - Sécurité n8n en entreprise
Quelles sont les principales vulnérabilités connues de n8n ?
Quatre CVE critiques en 18 mois : CVE-2026-21858 (CVSS 10.0, prise de contrôle admin sans auth), CVE-2025-68613 (CVSS 9.9, RCE via injection d'expressions), CVE-2026-21877 (injection de code chainable), et CVE-2026-25049 (CVSS 9.4, contournement du correctif précédent). La mise à jour vers n8n 1.121.0 minimum est impérative.
Pourquoi n8n est-il une cible de choix pour les attaquants ?
Une instance n8n compromise donne accès à toutes les clés API, tokens OAuth, mots de passe de basés de données et connexions cloud configurées dans les workflows - l'ensemble de l'infrastructure connectée en un seul endroit. On estime à 100 000 le nombre d'instances exposées sur Internet, dont beaucoup ne sont pas à jour.
Faut-il mettre n8n derrière un reverse proxy ?
Oui, c'est indispensable en production. n8n ne doit jamais être exposé directement sur Internet. Un reverse proxy (Nginx, Caddy, Traefik) permet d'ajouter une authentification HTTP, de restreindre l'accès par IP, de forcer HTTPS et de logger les accès. L'interface n8n doit idéalement n'être accessible que depuis le VPN ou le réseau interne.
Comment stocker les secrets n8n de façon sécurisée ?
Les secrets doivent être stockés via le gestionnaire de credentials intégré de n8n (chiffrement au repos activé avec N8N_ENCRYPTION_KEY), jamais hardcodés dans les nœuds. Pour les déploiements avancés, un vault externe (HashiCorp Vault, AWS Secrets Manager) peut être intégré. Ne jamais stocker de secrets dans des variables d'environnement non chiffrées en production.
n8n cloud est-il compatible avec le RGPD ?
n8n cloud héberge en Europe (Allemagne) et est conforme RGPD dans son infrastructure. Mais si vos workflows traitent des données personnelles de clients, vous devez documenter ces traitements dans votre registre RGPD et signer une DPA avec n8n GmbH. La version self-hosted offre plus de contrôle sur la localisation des données pour les cas les plus sensibles.
Sources
Analyse technique de CVE-2026-21858 (CVSS 10.0) - prise de contrôle admin sans authentification.
Analyse de l'injection d'expressions dans les workflows n8n (CVSS 9.9).
Vue d'ensemble des multiples CVE critiques affectant n8n.
Advisory officiel n8n sur les versions affectées et les correctifs disponibles.
Analyse du contournement du correctif CVE-2025-68613 (CVSS 9.4).
Votre instance n8n est-elle correctement sécurisée ?
2LKATIME audité et sécurisé des instances n8n en production pour les PME françaises. Audit de configuration, pentest de l'instance, déploiement sécurisé avec reverse proxy et segmentation réseau. Premier échange de 30 minutes offert.