Amérique du Nord
Utilisateurs de Microsoft Teams
L'équipe « Detection and Response » de Microsoft a mis au jour une campagne de hameçonnage vocal (vishing) visant les utilisateurs de Microsoft Teams.
Dans le cadre de cette campagne, les cybercriminels se font passer pour des techniciens du support informatique et incitent les utilisateurs à leur accorder un accès à distance via Quick Assist de Microsoft, ce qui leur permet de compromettre initialement l'appareil. Une fois l'accès obtenu, les attaquants passent de l'ingénierie sociale à une prise de contrôle directe du clavier. Ils redirigent ensuite les utilisateurs vers des sites web malveillants qui les invitent à saisir leurs identifiants d'entreprise dans des formulaires falsifiés, déclenchant ainsi le téléchargement de plusieurs charges utiles malveillantes.
Cet incident met en lumière un type d'attaques de plus en plus répandu qui exploite la confiance des utilisateurs, les plateformes de collaboration et les outils intégrés légitimes pour s'introduire dans les environnements et s'y déplacer latéralement.
SourceComment cela pourrait-il affecter votre entreprise ?
Les pirates exploitent de plus en plus souvent des outils et des plateformes de collaboration réputés fiables pour obtenir un accès non autorisé. Lors de ces incidents, les cybercriminels créent un sentiment d'urgence et de confiance susceptible de l'emporter sur la prudence des utilisateurs. Les entreprises doivent limiter les communications entrantes provenant de comptes Teams non gérés, adopter une approche par liste blanche pour les domaines externes de confiance et revoir l'utilisation des outils d'accès à distance afin de réduire le risque de tels incidents. Il est également essentiel de sensibiliser les utilisateurs afin que les employés puissent repérer les demandes suspectes avant qu'elles ne causent des dommages.
États-Unis
Foster City
Foster City, en Californie, a déclaré l'état d'urgence après qu'une attaque par ransomware a perturbé les services municipaux pendant plus d'une semaine.
Le 20 mars, les responsables municipaux ont confirmé que la plupart des systèmes informatiques avaient été mis hors ligne après la détection d'activités suspectes sur le réseau la veille. Cette perturbation a considérablement affecté le fonctionnement de la ville, la plupart des services publics, à l'exception des services d'urgence, ayant été temporairement interrompus. Les responsables ont également fait part de leurs craintes quant à un éventuel accès à des informations publiques, bien que cela n'ait pas été confirmé.
Les responsables municipaux ont indiqué avoir activé les protocoles d'intervention et collaborer avec des experts indépendants en cybersécurité afin d'enquêter sur l'incident et de rétablir le fonctionnement des systèmes. Bien que les informations disponibles soient encore limitées, il a été recommandé aux habitants et aux entreprises qui traitent avec la ville de changer leurs mots de passe par mesure de précaution.
SourceComment cela pourrait-il affecter votre entreprise ?
Les attaques contre les services publics ne cessent de se multiplier, perturbant les opérations essentielles et affectant les citoyens qui en dépendent au quotidien. Les administrations et les organismes du secteur public devraient renforcer leurs défenses en mettant en place une surveillance proactive des menaces, des stratégies de sauvegarde et de reprise après sinistre éprouvées, ainsi que des plans d'intervention clairs afin d'assurer la continuité des services lors d'incidents de ce type.
Amérique du Nord
Vulnérabilité du pare-feu Cisco
Selon l'équipe de veille sur les menaces d'Amazon, une faille de sécurité corrigée en début de mois par Cisco dans ses pare-feu aurait été exploitée sous forme d'attaque « zero-day » depuis au moins la fin janvier.
Cette faille, référencée sous le numéro CVE-2026-20131, est une vulnérabilité de désérialisation exploitable à distance dans le logiciel Cisco Secure Firewall Management Center (FMC) et présente un score CVSS maximal de 10. Bien que Cisco ait publié un correctif le 4 mars, un rapport indique que le groupe de cybercriminels Interlock l'exploitait depuis au moins le 26 janvier, ce qui met en évidence une lacune critique dans la mise à jour des correctifs.
Cisco a mis à jour son avis de sécurité le 18 mars afin d'informer ses clients de cette exploitation active.
SourceComment cela pourrait-il affecter votre entreprise ?
Si cet incident met en évidence les retards au niveau des fournisseurs, il souligne également la nécessité pour les organisations de mettre en place une gestion automatisée des correctifs. Des mises à jour automatisées et effectuées en temps opportun permettent de garantir que les vulnérabilités sont corrigées rapidement, tout en libérant les équipes informatiques afin qu'elles puissent se concentrer sur des initiatives de sécurité plus stratégiques.
États-Unis
Trinity Health
Trinity Health, un groupe hospitalier catholique à but non lucratif basé dans le Michigan qui gère plus de 92 hôpitaux répartis dans 22 États américains, a signalé une violation de données concernant des informations médicales protégées (PHI).
Trinity Health participe à des échanges électroniques automatisés de données avec des plateformes d'échange de données de santé (HIE) afin de permettre un accès fluide aux données des patients entre les différents prestataires. Le 13 janvier, l'organisation a été informée par son partenaire HIE, Health Gorilla, d'un accès non autorisé potentiel aux informations des patients. Les données exposées peuvent inclure des détails sur les soins cliniques, des informations démographiques, des dossiers d'assurance et, dans certains cas, des numéros de permis de conduire.
SourceComment cela pourrait-il affecter votre entreprise ?
Les violations impliquant des tiers sont de plus en plus fréquentes dans les secteurs réglementés tels que celui de la santé, où l'interconnexion des systèmes et les échanges de données élargissent la surface d'attaque. Pour réduire les risques, les prestataires de soins de santé doivent imposer des évaluations de sécurité rigoureuses aux tiers, limiter le partage de données au strict nécessaire et surveiller en permanence les intégrations afin de détecter rapidement tout accès non autorisé.
