Le NCSC avertit les opérateurs d'infrastructures nationales critiques qu'ils doivent agir maintenant contre les cybermenaces graves

Le Centre national de cybersécurité (NCSC) a lancé un avertissement sévère aux opérateurs d'infrastructures nationales critiques du Royaume-Uni, leur demandant de prendre des mesures immédiates pour se défendre contre ce qu'il qualifie de cybermenaces "graves". Cette alerte fait suite à des cyberattaques coordonnées en décembre qui ont visé l'infrastructure énergétique de la Pologne à l'aide de logiciels malveillants, soulignant ainsi le risque réel pour les services essentiels.

Jonathan Ellison, directeur de la résilience nationale au NCSC, a souligné que l'interruption des services quotidiens n'est pas une possibilité lointaine, mais une menace active et croissante. Il a appelé les opérateurs des secteurs de l'énergie, de l'eau, des transports, de la santé et des télécommunications à renforcer sans tarder leurs cyberdéfenses et leur résilience.

Les menaces graves sont définies comme des attaques délibérées, hautement perturbatrices ou destructrices, conçues pour arrêter les opérations, endommager les systèmes de contrôle industriel ou effacer les données pour empêcher toute récupération. En réponse, le NCSC conseille aux organisations d'améliorer la surveillance des menaces, d'accroître la connaissance de la situation et de renforcer les réseaux par le biais de bonnes pratiques telles que les correctifs, les contrôles d'accès et l'authentification multifactorielle.

M. Ellison a également souligné que le projet de loi sur la cybersécurité et la résilience constituait une étape clé dans le renforcement de la défense collective du Royaume-Uni contre les cybermenaces modernes.

L'Allemagne s'apprête à légaliser les cyberopérations offensives

L'Allemagne serait en train de préparer une nouvelle législation qui autoriserait officiellement ses agences de renseignement à mener des cyber-opérations offensives contre des acteurs hostiles. Si elle est adoptée, cette mesure rapprocherait Berlin du Royaume-Uni et des États-Unis, qui disposent déjà de cadres juridiques plus clairs en matière de contre-mesures cybernétiques.

Les mesures proposées permettraient aux agences allemandes de déployer des capacités cybernétiques avancées, pilotées par l'IA, pour répondre aux attaques et dissuader les adversaires dans un paysage de menaces de plus en plus complexe. L'armée allemande bénéficierait également d'une autorité élargie pour répondre aux "menaces hybrides", où les opérations cybernétiques, la désinformation et les perturbations numériques sont combinées à l'activité militaire conventionnelle.

Les responsables affirment que les conflits modernes ne se limitent plus aux champs de bataille physiques et que les stratégies de défense nationales doivent évoluer en conséquence. Une position de tolérance zéro est attendue pour les cyberattaques contre les infrastructures critiques, y compris les systèmes d'énergie, de transport et d'aviation.

Cette question devrait occuper une place importante lors de la prochaine conférence de Munich sur la sécurité, les dirigeants européens continuant à chercher un équilibre entre la cyberdissuasion et les préoccupations relatives à l'escalade et au comportement responsable des États dans le cyberespace.

Le Patch Tuesday de Microsoft corrige six failles de sécurité exploitées

Le Patch Tuesday de Microsoft de février 2026 propose des mises à jour de sécurité pour 58 vulnérabilités, dont six exploitées activement et trois qui ont été divulguées publiquement avant que les correctifs ne soient disponibles. Cinq des failles sont classées "critiques", couvrant les risques d'élévation de privilèges et de divulgation d'informations, les problèmes d'élévation de privilèges constituant la catégorie la plus importante ce mois-ci.

Les vulnérabilités de contournement des fonctions de sécurité affectant Windows Shell, MSHTML et Microsoft Word sont particulièrement préoccupantes, de même que les failles exploitées dans Desktop Window Manager et Remote Desktop Services qui pourraient permettre à des attaquants d'obtenir un accès au niveau SYSTÈME. Microsoft a fourni peu de détails techniques, mais plusieurs de ces problèmes ont été associés à une exploitation réelle par des acteurs professionnels de la menace.

Parallèlement à la correction des vulnérabilités, Microsoft a commencé à déployer progressivement de nouveaux certificats Secure Boot, remplaçant les certificats de 2011 qui expirent en juin 2026. La mise à jour s'appuie sur les signaux de santé des appareils pour réduire les risques de déploiement.

Il est vivement conseillé aux organisations de donner la priorité aux correctifs, de revoir les contrôles d'accès privilégiés et de surveiller les signes d'exploitation, en particulier sur les terminaux Windows et les services d'accès à distance.

Un groupe de ransomware abuse des outils de surveillance des employés

Des chercheurs ont découvert une intrusion par ransomware dans laquelle un membre du groupe Crazy ransomware a abusé de logiciels légitimes de surveillance des employés et d'assistance à distance pour conserver l'accès aux réseaux d'entreprise. Les attaquants ont déployé Net Monitor for Employees Professional parallèlement à l'outil d'assistance à distance SimpleHelp, ce qui leur a permis de se fondre dans l'activité administrative normale tout en préparant discrètement le déploiement d'un ransomware.

Dans les incidents analysés, l'auteur de la menace a installé le logiciel de surveillance directement à partir du site du fournisseur à l'aide d'utilitaires Windows standard, ce qui lui a permis de visualiser les bureaux, de transférer des fichiers et d'exécuter des commandes à distance. Pour plus de persistance, SimpleHelp a été installé à l'aide de PowerShell et déguisé avec des noms de fichiers ressemblant à des applications de confiance, y compris des composants OneDrive. Cela garantissait un accès continu même si l'un des outils était supprimé.

Les chercheurs ont également observé des tentatives de désactivation de WindowsDefender et de configuration d'alertes pour l'activité des portefeuilles de crypto-monnaie, ce qui indique une préparation à la fois au ransomware et au vol. Cette activité met en évidence une tendance croissante dans les opérations de ransomware qui abusent d'outils légitimes, ce qui renforce la nécessité de surveiller les logiciels d'accès à distance et d'appliquer le MFA à tous les services VPN.

Des pirates soutenus par des États utilisent l'IA dans leurs cyberattaques

Selon les nouvelles conclusions du Threat Intelligence Group de Google, les acteurs de la menace soutenus par des États utilisent de plus en plus l'IA générative pour soutenir les cyber-opérations du début à la fin. Des groupes liés à la Chine, à l'Iran, à la Corée du Nord et à la Russie ont été observés en train d'utiliser le modèle Gemini de Google pour la reconnaissance, le profilage des cibles, la création de leurres d'hameçonnage, le développement de logiciels malveillants et les activités postérieures à la compromission.

Les chercheurs ont constaté que certains acteurs utilisaient l'IA pour analyser les vulnérabilités, tester les exploits, traduire le contenu et dépanner les codes malveillants, tandis que d'autres s'en servaient pour accélérer les campagnes d'ingénierie sociale. Dans plusieurs cas, les outils assistés par l'IA étaient liés à des kits d'hameçonnage et à des cadres de logiciels malveillants conçus pour voler des informations d'identification, déployer des charges utiles de deuxième niveau et échapper à la détection.

Google a également mis en garde contre les tentatives d'extraction et de reproduction à grande échelle de modèles d'IA par le biais d'invitations automatisées et de distillation des connaissances, décrivant cela comme un risque croissant pour la propriété intellectuelle et la sécurité. Bien qu'aucun saut technique spectaculaire n'ait été identifié, Google s'attend à ce que l'IA soit de plus en plus intégrée dans les flux de travail des attaquants, renforçant ainsi la nécessité d'une détection plus forte, d'une sécurité de l'identité et d'une sensibilisation des utilisateurs au fur et à mesure que les menaces basées sur l'IA arrivent à maturité.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bienprenez contact avec nouspour savoir comment protéger votre organisation.

Le Threat Intel Roundup a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons, à la date de publication. Il ne doit pas être considéré comme un avis juridique, un conseil ou tout autre avis professionnel. Toute recommandation doit être considérée dans le contexte de votre propre organisation. Integrity360 ne prend aucune position politique dans les informations qu'elle partage. En outre, les opinions exprimées ne sont pas nécessairement celles d'Integrity360.