L’application de gestion de mots de passe d’Apple change maintenant les mots de passe elle-même
L'application de mots de passe d'Apple modifie désormais activement les mots de passe faibles. Lire l'article
Lorsque le serveur de sauvegarde devient lui-même une faille de sécurité
Mise à jour de sécurité Veeam : deux failles classées critiques affectent Veeam Agent pour Windows et l'appliance Linux. Lire l'article
Le noyau divisé est la faille : pourquoi Copy Fail s’échappe du conteneur
Les conteneurs partagent le noyau (*kernel*) de l'hôte : pourquoi la faille *Copy Fail* peut faire sortir un conteneur et quelles couches protègent… Lire l'article
Gestion des droits d’administrateur dans PAM sans budget de type « Enterprise »
Les comptes privilégiés sont la cible principale des attaquants. Comment le secteur intermédiaire met en œuvre la gestion des accès à privilèges (PAM)… Lire l'article
Type Confusion in Chromes V8: Pourquoi la même classe de vulnérabilité revient sans cesse
Une seule page web manipulée suffit : les failles de *type confusion* dans le moteur V8 de Chrome touchent le navigateur en série. Lire l'article
Le jeton qui contourne la MFA : pourquoi le vol d’OAuth devient la nouvelle brèche d’entrée
Le vol de jetons OAuth contourne l'authentification multifacteur (MFA) car le jeton contient déjà l'authentification. Lire l'article
Défenseur sous le feu : Deux failles activement exploitées et l’angle mort dans le SOC
Microsoft Defender présente deux failles activement exploitées, dont une permet une élévation de privilèges. La CISA a fixé un délai jusqu’au 3 juin. Lire l'article
Sensibilisation à la sécurité, qui agit : en continu plutôt qu’annuellement
La détection des tentatives de phishing perd de son efficacité après quelques mois. Lire l'article
CVE-2026-32202 : L’entrée CISA-KEV oblige les CISO à agir
CVE-2026-32202 (CVSS 8,8) depuis le 28 avril 2026 dans la liste CISA KEV : APT28 exploite une faille dans un correctif incomplet du noyau Windows. Lire l'article
Le BKA traque le chef de REvil après 130 attaques contre des cibles allemandes
7 min. Temps de lecture Fin avril 2026, le BKA a identifié le chef présumé du groupe REvil et a déclenché une demande d’arrêté d’extradition international. 130 attaques documentées contre... Lire l'article
Clients en danger après une fuite de code Trellix
Trellix a confirmé un breach de code source au début de mai 2026. Cela place le fournisseur de cybersécurité dans une liste qui comprend Microsoft, Okta... Lire l'article
Le BSI met en garde contre les systèmes Ivanti non corrigés
Deux zero-days affectant Ivanti EPMM ont été exploités en série fin avril 2026 : 130 adresses IP uniques ont activement sondé les vulnérabilités dans les 24... Lire l'article
CISA KEV avril 2026 : Samsung MagicINFO, SimpleHelp et D-Link exploités activement
La CISA a ajouté huit nouvelles entrées à son Catalogue des Vulnérabilités Connues Exploitées au cours d’une semaine, fin avril 2026. Trois systèmes se distinguent :... Lire l'article
Cyberattaque par phishing de haut niveau : Klöckner, Prien, Graichen touchés
Vol de code de vérification de signal chez Klöckner, Prien, Hubertz plus un but contre son camp de Graichen sur X. Trois mouvements de CISO pour 2026. Lire l'article
DSGVO 2026 : comment les affaires Renault, YOTI, Enel et Bakeca redéfinissent les risques pour les PME
En avril 2026, l’autorité roumaine de protection des données a sanctionné Renault Commercial Roumanie suite à une cyberattaque imputable à des mesures de sécurité insuffisantes ; l’espagnole AEPD a infligé... Lire l'article
L’authentification multifacteur adaptative comme norme NIS2 2026 : Comment la guidance de l’ENISA a clarifié la clause de pertinence
NIS2 exige une authentification multi-facteurs (MFA) « lorsque approprié » et en Allemagne, le mandat d’exécution du BSI entrera dans sa phase opérationnelle en mai 2026. La question centrale pour les responsables... Lire l'article
Squidex SSRF CVE-2026-41172 : Plan de 72 heures pour les équipes d’opérations après le patch du 22 avril
Squidex SSRF CVE-2026-41172 est patché dans la version 7.23.0. Les équipes d'opérations ont besoin d'un plan de 72 heures : liste d'autorisation de sortie, verrouillage IMDSv2 et révision du profil WAF. Lire l'article
Évasion de Sandbox Terrarium CVE-2026-5752 : Mise à jour sur la faille Cohere-AI et plan de réaction en 72 heures
CVE-2026-5752 dans Terrarium de Cohere AI (pas Cloudflare) : CVSS 9.3, évasion de sandbox avec exécution de code root. Plan de réaction en 72 heures pour les équipes Edge et plateforme. Lire l'article
Microsoft ASP.NET Core Zero-Day CVE-2026-40372 : CVSS 9.1, Patch disponible depuis le 22 avril
Microsoft Out-of-Band 22.04. : ASP.NET Core CVE-2026-40372 avec CVSS 9.1. Patch dans DataProtection 10.0.7. Plan de réaction en 72 heures pour les opérations de sécurité. Lire l'article
CISA étend le catalogue KEV avec huit vulnérabilités: échéances des agences fédérales les 23 avril et 4 mai en détail
Mise à jour CISA-KEV du 20 avril 2026 avec huit vulnérabilités, échéances de correctif le 23 avril et 4 mai. Plan de réaction de 14 jours pour les équipes de sécurité DACH. Lire l'article
ASP.NET Core CVE-2026-40372 (CVSS 9.1) : Conséquences de conformité pour les ateliers de développement financiers et d’assurance sous DORA et NIS2
Microsoft ASP.NET Core CVE-2026-40372 : CVSS 9.1, élévation de privilèges. Conséquences de conformité DORA, NIS2 et MaRisk avec un plan de 21 jours pour les ateliers de développement financiers. Lire l'article
