Le Royaume-Uni prévoit d’interdire les paiements de rançon dans le secteur public

Le gouvernement britannique s’apprête à interdire aux organisations du secteur public et aux infrastructures critiques de payer des rançons à la suite de cyberattaques, dans le but de perturber le modèle économique du ransomware. La législation proposée s’appliquerait aux écoles, aux collectivités locales et au NHS. Le ministre de la Sécurité, Dan Jarvis, a déclaré que le Royaume-Uni était « déterminé à briser le modèle des cybercriminels » et à protéger les services essentiels.
Les entreprises non concernées par l’interdiction devront avertir les autorités si elles envisagent de payer une rançon, afin de recevoir des conseils et d’éviter de violer les sanctions. Un système de signalement obligatoire est également en cours de développement pour aider les forces de l’ordre à identifier les auteurs d’attaques. Cette mesure fait suite à une consultation publique menée en janvier, alors que la menace des ransomwares – désormais considérée comme la principale menace cyber au Royaume-Uni – continue de croître. Le NHS, la British Library et plus récemment Marks & Spencer figurent parmi les victimes notables. Co-op et Harrods ont également signalé des incidents.

Une faille zero-day dans SharePoint touche plus de 400 organisations

Des chercheurs en cybersécurité ont révélé que plus de 400 organisations ont été compromises via une faille zero-day dans Microsoft SharePoint, marquant une forte augmentation depuis les premiers rapports la semaine dernière. La faille, identifiée sous le nom CVE-2025-53770, affecte les versions autohébergées de SharePoint et permet l’exécution de code à distance, donnant ainsi accès aux fichiers internes et à l’ensemble du réseau.
L’entreprise néerlandaise Eye Security, qui a découvert la vulnérabilité, indique avoir détecté des centaines de systèmes compromis. Les chercheurs estiment que la faille pourrait être exploitée depuis le 7 juillet. Microsoft et Google ont attribué les attaques à des groupes soutenus par l’État chinois, bien que Pékin nie toute implication. Des milliers de serveurs restent potentiellement vulnérables, et les experts avertissent qu’un simple correctif ne suffit pas — un audit complet des systèmes est fortement recommandé.
Lire notre alerte sécurité : https://www.integrity360.com/fr/revue-de-lactualite-cyber-du-18-juillet-2025

L’intrusion au sein de l’agence nucléaire américaine met en lumière les conséquences de la faille SharePoint

Le réseau de la National Nuclear Security Administration (NNSA) des États-Unis a été compromis par l’exploitation de la faille zero-day de Microsoft SharePoint, récemment corrigée. La NNSA est chargée de la sécurité de l’arsenal nucléaire américain et de la gestion des urgences radiologiques.
Un porte-parole du Département de l’Énergie a confirmé l’intrusion, précisant que l’impact avait été limité grâce à l’utilisation généralisée des services cloud Microsoft 365. Les systèmes affectés sont en cours de restauration, et aucune donnée classifiée ne semble avoir été compromise.
La campagne, connue sous le nom ToolShell (CVE-2025-53770), a déjà touché au moins 148 organisations et infecté plus de 400 serveurs, notamment en Europe et au Moyen-Orient. Microsoft et Google ont attribué l’attaque à plusieurs groupes soutenus par la Chine. L’agence américaine CISA a exigé des mises à jour immédiates sur l’ensemble des systèmes fédéraux. La situation évolue à mesure que de nouvelles compromissions sont découvertes dans le monde.

APT41 cible une entreprise informatique africaine dans une rare opération d’espionnage

Le groupe APT41, lié à la Chine, a lancé une attaque hautement ciblée contre un fournisseur de services informatiques gouvernementaux en Afrique — un développement rare au-delà de son champ d’action habituel aux États-Unis et en Asie. Des chercheurs de Kaspersky ont découvert l’intrusion, notant l’utilisation de malwares conçus sur mesure, contenant des détails internes codés en dur (adresses IP, services proxy). Les attaquants ont même détourné un serveur SharePoint appartenant à la victime pour en faire un centre de commande.
L’attaque s’appuie sur les techniques classiques d’APT41 : collecte d’identifiants avec Mimikatz, exfiltration furtive de données via RawCopy et Pillager, et accès persistant avec Cobalt Strike et les web shells Neo-reGeorg. L’utilisation d’outils légitimes comme Impacket a rendu la détection plus difficile.
Aussi connu sous les noms de Wicked Panda ou Brass Typhoon, APT41 est actif depuis au moins 2012 et combine espionnage étatique et cybercriminalité à but lucratif. Cette attaque illustre l’évolution des tactiques du groupe et l’augmentation du risque cyber en Afrique.

Le prestataire de santé suisse AMEOS victime d’une violation de données

Le groupe AMEOS, l’un des plus grands réseaux privés de soins de santé en Europe centrale, a confirmé une fuite de données potentiellement sensibles concernant des patients, employés et partenaires. Basée à Zurich, l’organisation gère plus de 100 hôpitaux, cliniques et maisons de retraite en Suisse, en Allemagne et en Autriche, avec environ 18 000 employés.
Dans une déclaration émise conformément à l’article 34 du RGPD, AMEOS a indiqué que des acteurs externes avaient accédé illégalement à ses systèmes informatiques, malgré des mesures de sécurité importantes. L’organisation prévient que les données volées pourraient être utilisées de manière malveillante ou partagées en ligne, bien qu’aucune preuve de diffusion ne soit encore apparue.
En réponse, AMEOS a coupé tous ses systèmes informatiques et réseaux, et a fait appel à des experts externes en cybersécurité pour mener l’enquête. Les autorités compétentes ont été informées, et une plainte pénale a été déposée.
Les patients et partenaires sont invités à rester vigilants face aux tentatives d’hameçonnage ou de fraude. AMEOS poursuit son évaluation de l’impact et s’engage à renforcer sa cybersécurité.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou alternativement, prenez contact pour découvrir comment vous pouvez protéger votre organisation.

Le résumé des renseignements sur les menaces (Threat Intel Roundup) a été préparé par Integrity360, résumant les actualités sur les menaces telles que nous les observons, à la date de publication. Il ne doit pas être considéré comme un conseil juridique, de consultation ou tout autre conseil professionnel. Toutes les recommandations doivent être considérées dans le contexte de votre propre organisation. Integrity360 n'adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées peuvent ne pas nécessairement refléter les vues d'Integrity360.