Mimecast Logo
Obtenir un devis
    Aperçus sur la Cyber Resilience
    Tous les thèmes
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Security Awareness Training

    Tour d'horizon des Human Risk : Une fuite, un jour zéro, une interdiction et une brèche

    Les menaces continuent d'attaquer les professionnels de la cybersécurité sous tous les angles

    by Renatta Siewert
    roundup-Blog.jpg

    Key Points

    • Un employé de la DOGE a accidentellement exposé sur GitHub une clé d'API privée pour les grands modèles linguistiques de xAI.
    • Microsoft publie un correctif d'urgence pour une vulnérabilité critique de SharePoint Server.
    • Le gouvernement britannique envisage d'interdire aux organisations du secteur public et des infrastructures critiques de payer des rançons aux gangs de ransomware.
    • Louis Vuitton subit une brèche dans son réseau interne, ce qui entraîne le vol d'informations sur les clients.

    Dans cette édition du Human Risk Roundup, nous examinons quelques événements récents qui montrent que les menaces continuent d'attaquer les équipes de cybersécurité sous tous les angles. Avec des fuites de sécurité au plus haut niveau du gouvernement, des produits de confiance tels que SharePoint Server toujours exploités avec de nouvelles vulnérabilités, une nouvelle interdiction potentielle sur les paiements de ransomware au Royaume-Uni qui pourrait nécessiter de nouveaux rapports de la part des organisations, et des marques connues toujours victimes de brèches, les professionnels de la cybersécurité continuent à être tiraillés dans trop de directions. Découvrez comment les dernières nouveautés en matière de risques humains peuvent avoir un impact sur votre organisation.

    Marko Elez, membre de DOGE, a divulgué une clé API pour xAI

    Marko Elez, un employé de la DOGE, a accidentellement exposé sur GitHub une clé API privée pour les grands modèles de langage de xAI, ce qui a suscité des inquiétudes quant à la sécurité opérationnelle et à son accès à des bases de données gouvernementales sensibles. Bien que la clé ait été signalée et que le dépôt ait été supprimé, la clé reste active, ce qui met en évidence la négligence systémique et les lacunes en matière de sécurité au sein de l'organisation.

    Ce qui s'est passé

    La clé API privée de xAI, la société d'IA d'Elon Musk, exposée par Elez sur GitHub, a permis d'accéder à plus de 50 grands modèles de langage, dont le dernier "grok-4-0709," utilisé dans le chatbot d'IA générative de xAI, Grok. La fuite a été signalée par GitGuardian, une société spécialisée dans la détection des secrets exposés, mais la clé n'a pas encore été révoquée.

    Elez a des antécédents controversés, notamment des violations de la sécurité et des allégations de racisme, mais il a été réintégré à la DOGE grâce à un lobbying politique. Cet incident soulève des inquiétudes quant à la sécurité opérationnelle et au traitement des données sensibles du gouvernement et de l'IA. 

    Pourquoi c'est important

    Il s'agit d'une lacune importante en matière de cybersécurité. Cette violation a permis un accès non autorisé à 52 LLM, y compris ceux intégrés dans des systèmes sensibles tels que Grok, utilisé par le ministère de la défense. L'incident souligne les risques liés à de mauvaises pratiques de sécurité opérationnelle, en particulier lorsqu'il s'agit de traiter des données gouvernementales sensibles et des données liées à l'IA. Elle soulève également des inquiétudes quant à la culture générale de la sécurité au sein d'organisations telles que la DOGE, compte tenu des violations similaires répétées.

    Pour le personnel chargé de la cybersécurité, il s'agit d'un rappel brutal de l'importance d'une gestion robuste des clés, d'une analyse des secrets avant engagement et d'une révocation immédiate des informations d'identification compromises. L'événement souligne également la nécessité d'un contrôle et d'une formation plus stricts des personnes ayant accès aux systèmes critiques.

    Quatre conseils pratiques pour les responsables de la sécurité

    Utilisez des outils tels que GitGuardian pour analyser les dépôts de code à la recherche de secrets exposés, tels que les clés d'API, avant qu'ils ne soient livrés.

    Assurez-vous que les clés d'API ne sont pas codées en dur dans les scripts et qu'elles sont stockées en toute sécurité.

    Former l'ensemble du personnel ayant accès aux systèmes sensibles à l'importance de la sécurité opérationnelle, y compris au traitement des informations classifiées.

    Traitez les failles de sécurité répétées comme des signes de problèmes systémiques plutôt que comme des erreurs isolées.

    En savoir plus sur la fuite.

    Le correctif de Microsoft cible les attaques sur le zero-day de SharePoint

    Microsoft a publié un correctif d'urgence pour une vulnérabilité critique de SharePoint Server (CVE-2025-53770) activement exploitée par des pirates pour pénétrer dans des agences fédérales américaines, des universités et des entreprises du secteur de l'énergie. Cette faille, qui permet aux pirates d'installer une porte dérobée appelée "ToolShell" pour accéder à distance, nécessite des mesures immédiates au-delà des correctifs, notamment la rotation des clés de machine et l'isolement des serveurs concernés.

    Ce qui s'est passé

    Le 20 juillet 2025, Microsoft a publié une mise à jour de sécurité d'urgence pour corriger une vulnérabilité critique dans SharePoint Server, qui a été activement exploitée par des pirates informatiques. La vulnérabilité est une variante d'un problème précédemment corrigé, mais la correction précédente était incomplète, laissant les systèmes exposés. Les chercheurs ont découvert une exploitation généralisée de la faille, les attaquants dérobant les clés machine ASP.NET pour faciliter d'autres attaques.

    Microsoft a publié des correctifs pour certaines versions de SharePoint, mais travaille encore sur des mises à jour pour d'autres versions, et invite les organisations à prendre des mesures de protection immédiates. La CISA recommande d'activer l'analyse anti-malware, de déployer Microsoft Defender et d'isoler les serveurs concernés de l'Internet.

    Pourquoi c'est important

    Il s'agit d'un problème critique de cybersécurité impliquant une vulnérabilité de type "zero-day" qui souligne l'importance d'une gestion rapide des correctifs, car les corrections initiales de Microsoft étaient insuffisantes. Les équipes de cybersécurité doivent agir rapidement en appliquant les derniers correctifs, en faisant tourner les clés de machine et en mettant en œuvre des défenses supplémentaires telles que l'analyse anti-malware et la déconnexion des serveurs vulnérables.

    L'incident souligne également la nécessité d'une surveillance proactive des menaces, car les attaquants exploitent des vulnérabilités déjà corrigées dans des chaînes d'exploitation. Cela nous rappelle la nature évolutive des cybermenaces et la nécessité d'une vigilance permanente et de mesures de sécurité à plusieurs niveaux.

    Quatre conseils pratiques pour les responsables de la sécurité

    Assurez-vous que tous les systèmes SharePoint Server sont mis à jour avec les derniers correctifs fournis par Microsoft.

    Effectuez une rotation des clés machine ASP.NET du serveur SharePoint et redémarrez IIS sur tous les serveurs SharePoint.

    Activez l'interface AMSI (Anti-Malware Scan Interface) dans SharePoint et déployez Microsoft Defender Antivirus sur tous les serveurs SharePoint afin d'améliorer les capacités de détection et de prévention.

    Déconnectez les serveurs SharePoint concernés de l'Internet public jusqu'à ce qu'ils soient entièrement corrigés et sécurisés.

    En savoir plus sur l'attentat.

    Le Royaume-Uni va interdire aux organismes du secteur public de payer les gangs de ransomware

    Le gouvernement britannique prévoit d'interdire aux organisations du secteur public et des infrastructures critiques, y compris les conseils locaux et le NHS, de payer des rançons aux gangs de ransomware afin de perturber le modèle économique des cybercriminels et de protéger les services essentiels. En outre, les entreprises qui n'entrent pas dans le champ d'application de l'interdiction doivent informer le gouvernement avant de verser des rançons, et un système de déclaration obligatoire est en cours d'élaboration afin d'aider les forces de l'ordre à traquer les auteurs d'attaques et à soutenir les victimes.

    Ce qui va se passer

    Cette mesure vise à perturber le modèle économique des cybercriminels et à réduire l'intérêt de cibler des services publics vitaux. Même les entreprises qui n'entrent pas dans le champ d'application de l'interdiction devront prendre le temps d'informer le gouvernement par l'intermédiaire du nouveau système de déclaration obligatoire avant de procéder au paiement d'une rançon.

    On espère ainsi garantir le respect des lois interdisant le financement de groupes sanctionnés. Cette décision fait suite à une consultation publique organisée au début de l'année, au cours de laquelle les ransomwares ont été désignés comme la plus grande menace de cybercriminalité au Royaume-Uni et comme un risque pour la sécurité nationale. Les récentes attaques de ransomware très médiatisées contre des organisations telles que le NHS et Marks & Spencer soulignent l'urgence de ces mesures.

    Pourquoi c'est important

    Le personnel chargé de la cybersécurité doit s'adapter à ce changement en se concentrant sur la prévention, la réponse aux incidents et les stratégies de récupération, car le paiement de rançons ne sera plus une option. Le système de signalement obligatoire qui accompagne l'interdiction fournira aux forces de l'ordre des données précieuses pour traquer les agresseurs et aider les victimes.

    Cette décision souligne le fait que les ransomwares sont de plus en plus considérés comme une menace pour la sécurité nationale, nécessitant des défenses solides et une collaboration entre les secteurs public et privé. Pour les équipes chargées de la cybersécurité, ce changement de politique souligne la nécessité de prendre des mesures proactives et de planifier la résilience afin d'atténuer les risques opérationnels et financiers.

    Quatre conseils pratiques pour les responsables de la sécurité

    Donnez la priorité à des mesures de cybersécurité solides, telles que des mises à jour régulières des systèmes, la formation des employés et des systèmes avancés de détection des menaces.

    Mettre en place un système de signalement obligatoire des incidents liés aux ransomware aux forces de l'ordre.

    Alignez-vous sur les politiques décourageant le paiement de rançons aux cybercriminels et concentrez-vous plutôt sur les stratégies de récupération et veillez à ce que les sauvegardes soient sécurisées et ne soient pas altérées.

    Demandez conseil aux organismes gouvernementaux lorsque vous envisagez des actions telles que le paiement d'une rançon, notamment pour éviter d'enfreindre les lois relatives aux groupes sanctionnés.

    Pour en savoir plus sur l'interdiction.

    Louis Vuitton confirme la violation de données en Australie suite à de multiples violations dans d'autres pays

    Louis Vuitton a subi une violation de données le 2 juillet 2025, compromettant des données personnelles sensibles, y compris des noms et des informations de contact, de clients australiens, ainsi que de clients à Hong Kong, en Turquie, en Corée du Sud et au Royaume-Uni. Bien que la violation ait touché plus de 419 000 personnes dans le monde, l'entreprise a confirmé qu'aucune information financière ou de mot de passe n'a été compromise et qu'elle a pris des mesures pour contenir l'incident et coopérer avec les autorités.

    Ce qui s'est passé

    La violation a entraîné un accès non autorisé au réseau interne de l'entreprise, ce qui a conduit au vol d'informations sur les clients, telles que des noms, des coordonnées et d'autres données personnelles. Louis Vuitton a toutefois confirmé qu'aucune information financière, telle que les données relatives aux cartes de crédit ou aux comptes bancaires, n'avait été compromise.

    L'entreprise a pris des mesures techniques immédiates pour contenir la violation et coopère avec les autorités, notamment en notifiant les régulateurs de la protection de la vie privée tels que le bureau du commissaire à la protection de la vie privée pour les données personnelles à Hong Kong. Louis Vuitton a rassuré ses clients sur son engagement à résoudre le problème et à prévenir de futurs incidents.

    Pourquoi c'est important

    La violation de données de Louis Vuitton met en évidence les défis critiques auxquels sont confrontés les responsables de la cybersécurité, en soulignant l'importance de disposer de défenses solides contre l'accès non autorisé à des informations sensibles. Cet incident souligne la sophistication croissante des cybercriminels et la nécessité d'adopter des mesures proactives pour détecter et atténuer les menaces avant qu'elles ne s'aggravent.

    Pour les équipes chargées de la cybersécurité, cette faille rappelle l'importance d'une réaction rapide en cas d'incident, comme en témoignent les efforts de Louis Vuitton pour contenir l'incident et sa coopération avec les autorités. En outre, l'ampleur mondiale de la violation met en évidence la nécessité de se conformer aux diverses réglementations en matière de protection des données en vigueur dans les différentes juridictions. 

    Quatre conseils pratiques pour les responsables de la sécurité

    Surveillez régulièrement les réseaux internes à la recherche d'accès non autorisés et d'activités inhabituelles afin de détecter rapidement les failles.

    Veillez à ce que des mesures techniques soient mises en place pour contenir immédiatement les violations, par exemple en bloquant les accès non autorisés.

    Notifier rapidement les clients concernés et les autorités compétentes, en fournissant des informations claires sur la violation et les mesures prises.

    Examiner et mettre à jour périodiquement les protocoles de sécurité afin de remédier aux vulnérabilités, en particulier en cas d'incidents répétés dans plusieurs régions.

    Pour en savoir plus sur la brèche.

    56BLOG_1.jpg
    Up Next
    Security Awareness Training |
    4 raisons pour lesquelles la formation à la sécurité basée sur les rôles n'est plus une solution unique

    Related Articles

    Security Awareness Training
    Comment mesurer le Human Risk : 7 indicateurs clés
    Security Awareness Training
    Rationaliser les stratégies de cybersécurité : Le rôle du Human Risk Management
    Security Awareness Training
    Tour d'horizon des Human Risk : Emails piégés, attaques par navigateur et entreprises de drones

    Abonnez-vous à Cyber Resilience Insights pour plus d'articles comme ceux-ci

    Recevez toutes les dernières nouvelles et analyses de l'industrie de la cybersécurité directement dans votre boîte de réception.

    Inscription réussie

    Merci de vous être inscrit pour recevoir les mises à jour de notre blog.

    Nous vous contacterons !

    Haut de la page