Cyberhebdo du 15 mai 2026 : une ESN espagnole parmi les victimes

copyright TechTarget - Tous droits réservés LeMagIT, créé en 2008, regroupe au travers de 13 rubriques clés les informations, conseils d'experts, analyses, retours d'expérience et livres blancs nécessaires aux décideurs IT. Plus de 10 000 documents sont disponibles en téléchargement. https://cyber.law.harvard.edu/rss/rss.html Techtarget Feed Generator fr Sat, 16 May 2026 04:46:03 GMT https://siftrss.com/f/KRGqgdM0kYY editor@lemagit.fr Bienvenue dans cette nouvelle édition du Cyberhebdo, votre rendez-vous hebdomadaire consacré à l'actualité des cyberattaques rapportées dans la presse internationale. Au cours de la semaine écoulée, notre veille médiatique a permis de recenser pas moins de 8 cyberattaques évoquées dans les médias, touchant des organisations réparties dans 7 pays différents : l'Italie (ITA), Taïwan (TWN), le Sénégal (SEN), l'Allemagne (DEU), l'Espagne (ESP), les États-Unis (USA) et le Japon (JPN). Cette semaine, les État-Unis se distinguent encore une fois comme le pays le plus représenté dans notre revue de presse, avec 2 cas rapportés - des collectivités territoriales. Sans plus attendre, place au tour d'horizon de ces incidents qui ont marqué l Nous vous rappelons que notre revue de presse se concentre sur les cyberattaques significatives et ne traite pas des attaques DDoS ni des défigurations de sites Web. 07/05/2026 - Heberger (DEU) L'entreprise de construction Heberger, basée à Schifferstadt, a été victime d'une cyberattaque la semaine dernière. L'incident, confirmé par une porte-parole de l'entreprise, aurait eu lieu le jeudi 7 mai tôt le matin. Malgré des normes élevées en matière de sécurité informatique, l'entreprise a été touchée par cette intrusion. (<a href="https://www.rheinpfalz.de/lokal/ludwigshafen_artikel,-cyberangriff-auf-baufirma-heberger-_arid,5889199.html">source</a>) 09/05/2026 - Unoaerre (ITA) La société d'orfèvrerie Unoaerre a été victime d'une cyberattaque qui a paralysé son système d'exploitation, ce qui a conduit les cybercriminels à exiger une rançon de 3,8 millions d'euros en bitcoins. Les premières enquêtes suggèrent que cette attaque pourrait avoir des liens avec des pays du Moyen-Orient et d'Europe de l'Est. Malgré cette interruption, les premières vérifications indiquent que les dommages ne seraient pas irréversibles et que la production pourrait reprendre. (<a href="https://www.lanazione.it/arezzo/cronaca/attacco-hacker-unoaerre-p5f5bo2d">source</a>) 10/05/2026 - Notin (ESP) Le fournisseur de services informatiques Notin.es a été victime d'une nouvelle attaque par rançongiciel, cette fois menée par le groupe Crypto24 utilisant le ransomware de Lockbit 5.0. Cette cyberattaque a affecté au moins quinze offices notariaux en Espagne, entraînant l'interruption de leurs services et de leur messagerie électronique. (<a href="https://www.escudodigital.com/ciberseguridad/notin-proveeedor-ti-notarias-ataque-ransomware.html">source</a>) 10/05/2026 - Direction générale de la Comptabilité publique et du Trésor (SEN) La Direction générale de la Comptabilité publique et du Trésor (DGCPT) a annoncé une perturbation de ses systèmes d'information depuis le dimanche 10 mai 2026, suite à un incident non précisé. Cette panne survient quelques mois après une attaque de cyber-extorsion ayant touché la Direction générale des Impôts et des Domaines (DGID). Ces événements s'inscrivent dans un contexte africain marqué par une augmentation des cybermenaces ciblant les institutions publiques. (<a href="https://fr.apanews.net/news/senegal-incident-technique-au-tresor-public/">source</a>) 11/05/2026 - Froch Enterprise Co., Ltd. (TWN) Des tentatives de connexion et des cyberattaques ont été détectées sur les réseaux internes du siège social de Froch. Les mécanismes de défense ont été immédiatement activés pour prévenir tout impact sur la sécurité des systèmes d'information. L'évaluation actuelle indique qu'aucune fuite de données personnelles ou confidentielles n'a eu lieu, et aucune conséquence opérationnelle majeure n'est anticipée. (<a href="https://emops.twse.com.tw/server-java/t05sr01_1_e?&isNew=Y&seq_no=1&spoke_time=161340&spoke_date=20260511&co_id=2030">source</a>) 12/05/2026 - Oriental Diamond (JPN) La société Oriental Diamond a annoncé avoir été victime, le 4 mai 2026, d'une cyberattaque par ransomware perpétrée par un tiers, qui a entraîné le chiffrement des données de ses serveurs internes et un risque de fuite de données à caractère personnel. La société a immédiatement isolé ses serveurs du réseau, a signalé l'incident à la police et à la Commission de protection des données personnelles, et a engagé une enquête ainsi que des travaux de restauration confiés à des experts externes. Elle a déclaré qu'elle s'efforcerait désormais de prévenir toute récidive et de rétablir la confiance en mettant en place des mesures telles que la suspension de l'utilisation du VPN et le renforcement des procédures d'authentification. (<a href="https://www.orientaldiamond.jp/お知らせ">source</a>) 12/05/2026 - Boyne City (USA) La ville de Boyne City, dans le Michigan, enquête sur un incident de cybersécurité limité qui a touché certaines parties de son réseau informatique et de ses systèmes numériques. Les autorités ont précisé que les infrastructures d'urgence et critiques n'ont pas été affectées, mais l'étendue exacte de la perturbation des services municipaux reste inconnue. L'enquête est toujours en cours pour déterminer si des données ont été compromises et quelles sont les systèmes affectés. (<a href="https://dysruptionhub.com/boyne-city-cybersecurity-incident/">source</a>) 13/05/2026 - Comté de Murray (USA) Une cyberattaque a entraîné la fermeture de plusieurs bureaux du gouvernement du comté de Murray, en Géorgie, affectant les services fiscaux et judiciaires. Cependant, les autorités ont confirmé que les services d'urgence (911), la sécurité publique et le vote primaire continuent normalement. Les responsables du comté n'ont pas précisé la nature exacte de l'attaque, si des données ont été compromises ou quand les bureaux fermés rouvriront. (<a href="https://dysruptionhub.com/murray-georgia-cyberattack-offices/">source</a>) <div class="pro-features-wrapper"></div> Revue de presse réalisée en partie avec Claude (Anthropic) et Gemma 4. <a href="https://www.lemagit.fr/actualites/366643014/Cyberhebdo-lIA-generative-avance-nous-aussi">Les explications sont à lire ici</a>. Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier. https://cdn.ttgtmedia.com/visuals/LeMagIT/hero_article/Cyberattack-hacked-hero.jpg https://www.lemagit.fr/actualites/366643064/Cyberhebdo-du-15-mai-2026 Fri, 15 May 2026 11:35:00 GMT Cyberhebdo du 15 mai 2026 : une ESN espagnole parmi les victimes L'administration de l'État de la Hesse, en Allemagne, a décidé d'interdire l'accès à Internet via ses postes de travail. Cette restriction, visant les navigateurs standards comme Chrome et Edge, est une mesure préventive imposée suite à un incident de sécurité chez Trellix, fournisseur dont le logiciel est déployé au sein du système. Si les communications par e-mail et la visioconférence restent fonctionnelles, cette segmentation forcée démontre une incapacité à isoler les fonctions critiques de l'impact d'un composant tiers. La dépendance critique à un fournisseur tiers pour la sécurité logicielle expose l'infrastructure gouvernementale à des risques systémiques externes, transformant une faille logicielle en paralysie métier. Car RansomHouse vient de revendiquer, le 8 mai, une intrusion dans le dépôt de code source de Trellix. Les preuves présentées par les attaquants incluent des captures d'écran du système de gestion des appliances. Bien que Trellix <a href="https://www.trellix.com/statement/">affirme</a> n'avoir trouvé aucune indication que le processus de distribution ou le code source ait été compromis, la simple compromission du dépôt révèle une faille structurelle dans la posture de sécurité globale. Trellix n'a pas attendu d'être désigné par RansomHouse pour faire ses déclarations. Mais l'enseigne avait indiqué plus tôt, le 28 avril, avoir réussi à attaquer un éditeur de cybersécurité, sans le nommer. Selon les assaillants, l'attaque est intervenue le 17 avril. Elle a été assortie d'un chiffrement de données.  Les assurances de Trellix ne neutralisent pas le risque latent. L'accès non autorisé au code source d'un fournisseur de cybersécurité majeur expose potentiellement l'intégrité des produits et la confiance client, même en l'absence de preuve d'exploitation immédiate. La déclaration de l'éditeur ne garantit pas l'absence d'exploitation latente ou future des données exfiltrées, créant une zone grise de risque pour les utilisateurs finaux. De quoi justifier la <a href="https://www.hna.de/hessen/hessen-verwaltung-kann-wegen-cyberangriff-nichts-ins-internet-94304017.html">décision</a> de l'État de la Hesse. <div class="pro-features-wrapper"></div> L'administration de l'État de la Hesse dit avoir, par précaution, interdit à ses fonctionnaire d'accéder à Internet depuis leurs postes de travail, protégés par des outils de Trellix dont le code source a été compromis par des cybercriminels. https://cdn.ttgtmedia.com/visuals/German/article/HERO-Netzwerk-Eakrin-blue-cables-Adobe-Stock-04.jpg https://www.lemagit.fr/actualites/366643039/LEtat-de-Hesse-coupe-lacces-a-Internet-son-fournisseur-Trellix-a-ete-victime-de-cyberattaque Wed, 13 May 2026 11:26:00 GMT L'État de la Hesse coupe l'accès à Internet ; son fournisseur Trellix a été victime de cyberattaque Depuis septembre 2020, LeMagIT propose tous les mois à ses lecteurs un véritable bulletin météo ransomware. Celui-ci s’appuie notamment sur le décompte des revendications de cyberattaques publiées par les cybercriminels, lequel est régulièrement corrigé et redressé. Mais LeMagIT compte également les attaques évoquées publiquement dans la presse du monde entier. Ce travail de veille a été sensiblement amélioré avec l’aide de ChatGPT au printemps 2023. Il vient de subir une nouvelle refonte en profondeur. Tout d'abord, après un bref passage à Claude d'Anthropic, finis les grands modèles en mode Cloud pour faire du résumé et de l'analyse de texte relativement sommaire : les récents modèles Qwen 3.5 9B et Gemma 4 E4B s'avèrent largement suffisants avec une rapidité de traitement tout à fait satisfaisante, sur un processeur Apple Silicon M4 épaulé par 24 Go de mémoire unifiée, pour des processus exécutés périodiquement en tâche de fond. En outre, la quantité de mémoire consommée par ces modèles permet de profiter confortablement de leur fenêtre de contexte pour procéder à l'analyse d'articles complets. Le principe de base n'a pas changé : nous récupérons régulièrement plus de 80 flux RSS de Google News sur une poignée de mots clés bien sentis. Mais nous faisons cela désormais sur un nombre de régions et de langues plus étendu qu'il y a trois ans, et sans traduction des titres : cette tâche est devenue inutile. Surtout, le recours à un modèle exécuté en local, sur une machine à l'efficacité énergétique redoutable - le MacBook Pro utilisé ne tire jamais plus de 30 W sur le secteur - change radicalement l'équation économique : si des algorithmes d'optimisation sont toujours utilisés, pour éviter de traiter des doublons ou de re-traiter un article déjà vu lors d'un run antérieur, le modèle de langage est considérablement plus mis à profit que précédemment. Désormais, nous l'utilisons pour étudier chaque nouvel article. Il n'est plus seulement question de déterminer s'il se rapporte effectivement à une cyberattaque ou pas : des mots clés et des entités sont extraits par le modèle afin de créer des clusters - qui représentent des sujets d'actualité, en fait - regroupant plusieurs articles. Le but ? Réduire le bruit, notamment avec les événements générant une forte couverture mais sans que beaucoup d'articles n'apportent véritablement d'information nouvelle. La cyberattaque des Shiny Hunters contre la plateforme Canvas d'Instructure illustre parfaitement ce cas d'usage. L'incident ayant affecté près de 9 000 établissement scolaires dans le monde entier, il a généré des centaines d'articles en l'espace de quelques jours. Il suffit de consulter notre flux RSS "<a data-tooltip-position="top" aria-label="https://raw.githubusercontent.com/Casualtek/Cyberwatch/refs/heads/main/cyberattacks_news.xml" rel="noopener nofollow" target="_blank" href="https://raw.githubusercontent.com/Casualtek/Cyberwatch/refs/heads/main/cyberattacks_news.xml">historique</a>" pour s'en rendre compte. Les mécanismes adoptés grâce au passage à un modèle plutôt frugal et exécuté localement ont effectivement permis de réduire considérablement ce bruit de fond : le nouveau script n'a généré des alertes que 5 articles pour cet incident au cours des dernières 96 heures. C'est l'autre bénéfice de cette nouvelle approche : si l'effort final de curation reste confié à l'humain, il se fait sur la base d'alertes produites par le workflow, en mode push, plutôt que sur une surveillance plus ou moins régulière, en mode pull, d'un flux RSS. Des alertes qui reprennent titre traduit et résumé de l'article source retenu, assorti du lien. La production de notre Cyberhebdo va graduellement être elle aussi confiée au modèle exécuté en local, en Français, ainsi qu'en Allemand, pour commencer : il s'avère suffisamment juste pour que le recours aux API de DeepL ou des fonctions de traduction d'Azure ne soit plus justifié.  <div class="pro-features-wrapper"></div> Il y a tout juste trois ans, nous lancions notre revue de presse internationale hebdomadaire sur les cyberattaques. avec l'aide de ChatGPT. Nous venons d'améliorer le processus... en abandonnant la GenAI en mode Cloud au profit de son exécution en local. https://cdn.ttgtmedia.com/visuals/ComputerWeekly/HeroImages/AI-robot-human-computer-interaction-adobe.jpg https://www.lemagit.fr/actualites/366643014/Cyberhebdo-lIA-generative-avance-nous-aussi Tue, 12 May 2026 11:22:00 GMT Cyberhebdo : l'IA générative avance, nous aussi Le marché de la cybersécurité offensive est désormais bien établi, avec d’un côté les tests d’intrusion ponctuels réalisés sur un périmètre restreint pendant une à deux semaines et le Red Teaming, un effort sur plusieurs mois qui va simuler d’une certaine façon l’action d’un attaquant patient et motivé à percer les défenses d’une organisation. Lors d’une table ronde organisée sur le Forum InCyber dédiée à ce thème, Dimitrios Bougioukas, SVP, IT Security Training Services chez HackTheBox soulignait : « les deux approches sont complémentaires. Il ne s’agit plus de s’assurer de la conformité de la sécurité du système d’information, mais d’une nécessité et sans exagérer, je vous dirais qu’une organisation doit utiliser les deux approches parce que c’est une question de survie de leurs systèmes ». Toutes les entreprises n’ont pas la maturité ou les moyens financiers de créer une Red Team interne, mais mener des tests d’intrusion réguliers est sans doute une démarche qui permet de définir des processus de remédiation solides et aller vers le Red Teaming dans le futur. Philippe Dourassov, AI Pentest Lead chez Aikido Security pointe l’asymétrie des forces entre défenseurs et attaquants. « Fondamentalement, un défenseur ne peut voir que ce qu’il a protégé. Il ne peut pas voir ce qu’il n’a pas protégé, sinon il n’y aurait pas de bug, de vulnérabilités. C’est pour cela qu’il est important d’avoir une vision externe qui n’est pas restreinte aux suppositions faites par les défenseurs. Il s’agit de pouvoir “think outside the box”, bénéficier d’une approche externe plus complète qui ne sera pas biaisée par tout ce qu’on pense savoir en tant que défenseur ». De fait, la plupart des tests d’intrusion menés permettent de remonter des failles de sévérité haute ou critique : « cela permet non seulement de régler les vulnérabilités trouvées, mais également d’améliorer la posture de sécurité globale en analysant comment cette vulnérabilité est arrivée et comment l’éviter dans le futur ». Dimitrios Bougioukas, SVP, IT Security Training Services chez HackTheBox, ajoute que si un rapport de pentest reprend toutes les vulnérabilités qui ont été identifiées, les solutions proposées, le Red Teaming a une portée plus profonde : « le Red Teaming ne teste pas simplement la résilience de votre infrastructure, mais teste aussi celle de vos équipes, de vos processus internes. Le rapport du Red Teaming met en avant les vulnérabilités, mais il vous donne des conseils très précieux pour résoudre les écarts pour identifier la manière dont votre institution opère, pour voir à quelle vitesse par exemple une alerte va vous arriver ». Le problème typique des rapports de pentest est d’indiquer toutes les vulnérabilités qui ne constituent pas véritablement un danger soit qu’elles sont peu critiques ou inaccessibles à l’attaquant et qui n’ont pas à être corrigées dans l’urgence. « Ce qui est important de regarder, c’est finalement quels sont les risques qui peuvent réellement se poser sur mon organisation et sur l’application que je souhaite tester », résume Hocine Mahtout, Offensive Security Manager à la Caisse des Dépôts. Pour lui, « finalement, il faut identifier quels sont les événements que l’on redoute le plus pour son organisation. Et à partir de ça, faire en sorte, à travers les tests qu’on va mener, de vérifier si un acteur malveillant est en mesure d’atteindre ses objectifs. Le rapport, ce n’est pas une fin en soi ». Le Red Teaming est-il uniquement affaire de spécialistes extrêmement pointus en <a href="https://www.lemagit.fr/definition/Quest-ce-que-la-cybersecurite">cybersécurité</a> ? Les équipes impliquées doivent être composée de hacker éthiques ultra-techniques, mais pas seulement, affirme Dimitrios Bougioukas : « je ne suis pas sûr qu’une Red Team très technique puisse fournir un résultat qui inclurait les processus, la sensibilisation des utilisateurs, etc. » Hocine Mahtout ajoute toutefois que, « quand on arrive à transposer le rapport technique en un risque, ça permet de faire prendre conscience à la fois au métier, mais aussi aux développeurs de l’importance de traiter les vulnérabilités. Ceux-ci ont parfois en tête la nouvelle fonctionnalité à implémenter le plus rapidement possible. Le fait de les accompagner sur la compréhension d’un rapport de pentest ou même d’un rapport de Red Team, ça permet de faire évoluer les consciences sur les risques que leurs applications peuvent faire peser sur le SI ». <section class="section main-article-chapter" data-menu-title="L’IA agentique annonce une nouvelle ère dans la cybersécurité"> <h2 class="section-title">L’IA agentique annonce une nouvelle ère dans la cybersécurité</h2> L’exploitation des IA par les attaquants va avoir plusieurs conséquences. <a href="https://www.lemagit.fr/actualites/366641026/Entre-mythe-et-realite-limpact-de-Claude-Mythos-sur-la-cybersecurite">L’épisode médiatique autour de Mythos</a> a montré que les IA peuvent découvrir des vulnérabilités, beaucoup de vulnérabilités. L’agentique est aussi un outil pour les hackers pour accélérer leurs attaques et exploiter les vulnérabilités inédites avant que les contre-mesures ne soient mises en place : « aujourd’hui, l’IA ne vient pas augmenter la complexité des attaques. Elle va surtout augmenter la vitesse d’exécution », considère Philippe Dourassov. Pour lui, « avant, afin de mettre en place une attaque, il fallait développer son script. Tandis qu’aujourd’hui, l’IA générative nous génère ce script en partie. Elle nous permet de rapidement identifier les failles lorsqu’on dispose du code source. Ce qui aurait pu prendre plusieurs jours prend, avec les IA d’aujourd’hui, quelques heures, voire quelques minutes ». Le responsable du pentest a lui-même automatisé des attaques avec l’IA pour aller plus vite dans les compétitions de hacking auxquelles il participe : « j’ai constaté qu’il y avait un réel potentiel dans le monde réel. Si on demande juste à un LLM de regarder s’il y a des failles de sécurité dans le code, il va souvent trouver des failles de sécurité, mais il va également trouver beaucoup de fausses failles, de faux positifs qui vont juste faire perdre du temps. L’idée est de créer un processus pour les éliminer afin de se concentrer sur les vulnérabilités utiles ». Avec une bonne orchestration et des LLM de plus en plus performants, <a href="https://www.lemagit.fr/conseil/Cybercriminalite-quest-ce-quun-pentester">le pentester</a> est parvenu à automatiser ce processus. Côté défense, l’IA générative est aujourd’hui capable d’analyser le code et proposer des remédiations. Philippe Dourassov estime qu’il faut tendre vers la mise en place d’un cycle d’agents qui vont détecter les vulnérabilités et automatiquement mettre en place des défenses face à ces failles de sécurité. Il reste néanmoins quelques limitations à lever. « Si l’on essaie de demander à une IA comme Claude Code ou Codex de trouver des failles de sécurité dans un code de taille importante avec beaucoup de fonctionnalités, on obtiendra peu de détails sur ces failles ». La solution ? Utiliser « plusieurs agents en même temps orchestrés pour qu’ils puissent travailler en parallèle sur chaque fonctionnalité du site, et aller en détail dans chaque aspect ». De quoi « aller beaucoup plus en profondeur, et pouvoir vraiment trouver beaucoup plus de failles de sécurité qui sont même très bien cachées dans chacune de ces fonctionnalités », considère Philippe Dourassov. Sur un panel de clients d’Aikido Security qui ont pu bénéficier d’un pentest IA gratuit, l’IA a trouvé entre 20 % et 30 % de failles de sécurité, de sévérité haute et critique de plus que les humains, alors que ces derniers avaient plus de facilité à trouver des failles dans l’hygiène de sécurité des utilisateurs et la mise en œuvre des bonnes pratiques. Dimitrios Bougioukas estime que l’agentique va entraîner un changement dans la nature des rôles de la cybersécurité : « un directeur de pentest ou de Red Team va utiliser une orchestration agentique pour améliorer sa vitesse de travail. Son niveau technique doit être élevé, mais il doit aussi avoir une bonne connaissance de la manière dont il doit orchestrer ces différents agents et les faire interagir entre eux ». Il estime que l’humain devra rester dans la boucle et que les entreprises ne laisseront pas les IA avoir l’initiative de mener des remédiations seules, même si le potentiel d’accélération des attaques est impressionnant. Pour Hocine Mahtout, l’IA apporte néanmoins un élément de réponse face à l’avalanche de vulnérabilités qui est attendue pour les années à venir : « nous allons avoir dans les années à venir beaucoup plus de vulnérabilités à traiter, et c’est là que l’offensif va être extrêmement pertinent, puisque ça va permettre véritablement de prouver l’impact sur une potentielle vulnérabilité, et ne pas se contenter d’un score CVSS. Je pense que c’est ça qui va permettre de sortir la tête de l’eau sur un raz-de-marée de vulnérabilités qui a déjà commencé à arriver ». <div class="pro-features-wrapper"></div> Propos recueillis lors de l’InCyber Forum 2026. </section> Les IA génératives peuvent représenter un vrai danger pour la sécurité des organisations. La recherche de vulnérabilités entre dans une nouvelle dimension et l’agentique va permettre aux attaquants d’aller beaucoup plus vite. https://cdn.ttgtmedia.com/visuals/ComputerWeekly/HeroImages/dry-cracked-barren-land-drought-Jose-Ignacio-Soto-adobe.jpg https://www.lemagit.fr/actualites/366642686/La-cybersecurite-offensive-un-moyen-de-repondre-a-la-menace-Mythos Mon, 11 May 2026 13:03:00 GMT La cybersécurité offensive, un moyen de répondre à la « menace Mythos » ? LeMagIT 60 editorial@fr.techtarget.com