Le groupe APT chinois Salt Typhoon a intensifié ses attaques contre des institutions financières en Allemagne et aux Pays-Bas, avec des intrusions persistantes visant des données transactionnelles. Au Luxembourg, des PSF ont signalé des tentatives d'accès via des vecteurs zero-day. Cela impacte la conformité DORA en raison des risques de compromission de données critiques.
La Commission Européenne a confirmé une violation de données suite à un piratage de sa plateforme web Europa.eu, revendiqué par le gang d'extorsion ShinyHunters. Cet incident affecte une infrastructure critique européenne et soulève des préoccupations sous NIS2. La Commission enquête sur l'étendue des données compromises.
La CSSF publie un guide détaillé d'application de NIS2 pour les prestataires de services essentiels du secteur financier, couvrant les mesures techniques et organisationnelles, la gestion des risques tiers et les obligations de signalement. Document de référence pour la conformité opérationnelle.
Le groupe LockBit a revendiqué une attaque ransomware contre BGL BNP Paribas, causant l'arrêt des services bancaires en ligne et des opérations internes pendant 48 heures. L'incident affecte directement le secteur financier luxembourgeois et soulève des questions de conformité DORA. Les autorités CSSF ont été notifiées, avec une enquête en cours sur une potentielle fuite de données clients.
Un acteur de menace a accédé à un compte AWS de la Commission Européenne, volant plus de 350 GB de données incluant des bases de données et un serveur email. L'incident est en cours d'investigation par l'équipe de réponse cyber de la Commission. Cela affecte directement une infrastructure critique européenne et souligne les risques pour les institutions EU.
L'ESMA, l'EBA et l'EIOPA publient les standards techniques finaux pour les tests de résilience ICT (TLPT) applicables aux entités financières. Les établissements luxembourgeois doivent débuter les préparatifs pour les premiers tests prévus en 2027, avec exigences renforcées sur la continuité de service et la gestion des tiers.
Google Threat Intelligence et Mandiant ont disrupté une campagne d'espionnage chinois utilisant des appels API SaaS pour masquer le trafic malveillant, ciblant des réseaux télécom et gouvernements. Pertinent pour infrastructures critiques européennes et secteur financier luxembourgeois dépendant des télécoms. Alerte sur cyberespionnage étatique chinois contre l'UE.
Une intrusion avancée a compromis le système de signalisation SNCF, causant des retards massifs sur les lignes Luxembourg-Paris et impactant les transports critiques EU. Les enquêteurs pointent un acteur étatique ; notification obligatoire aux autorités luxembourgeoises en raison des flux transfrontaliers.
Vulnérabilité de désérialisation menant à une exécution de code à distance (CVSS 9.8) dans SharePoint Server Subscription Edition, 2019 et 2016. Ajoutée au catalogue KEV CISA le 18/03/2026, mise à jour Microsoft le 17/03/2026 confirmant exploitation par attaquants non authentifiés. CERT-EU recommande mise à jour immédiate et mesures additionnelles (AMSI, EDR, rotation clés).
Davy Reinard a été assermenté comme Directeur Résolution à la CSSF à partir du 1er avril 2026. Il présidera le Conseil de Résolution chargé de la gestion des crises bancaires et de la continuité opérationnelle.
Oracle Identity Manager et Oracle Web Services Manager contiennent une vulnérabilité d'exécution de code à distance exploitable sans authentification. Affecte les systèmes de gestion d'identité critiques en environnement d'entreprise.
Thales annonce la disponibilité commerciale d'une solution de chiffrement homomorphe permettant le traitement de données financières sensibles sans déchiffrement. Solution pertinente pour les établissements luxembourgeois cherchant à renforcer la protection des données clients tout en maintenant les capacités analytiques.
L'événement annuel SECURITYMADEIN.LU accueille des sessions dédiées à la résilience cyber des infrastructures financières critiques, avec participation de la CSSF, BCL et acteurs majeurs du secteur. Opportunité de mise à jour sur les attentes réglementaires et les bonnes pratiques émergentes.
Les écosystèmes Trivy ont été compromis via des credentials volés (19-22 mars 2026). Des versions malveillantes (v0.69.4, v0.69.5, v0.69.6) distribuées via GHCR, ECR, Docker Hub et packages deb/rpm contiennent des malwares volant secrets, clés SSH, credentials cloud/Kubernetes et tokens. Risque critique pour les pipelines CI/CD d'entreprise.
Un acteur malveillant a utilisé des identifiants compromis pour publier une version malveillante de Trivy v0.69.4 et modifier les dépôts GitHub associés avec du malware voleur de credentials. Incident de chaîne d'approvisionnement critique affectant les pipelines CI/CD d'entreprises.
La CSSF rappelle aux entités financières soumises à DORA qu'elles doivent soumettre leur registre d'information au niveau individuel ou consolidé avant le 31 mars 2026. Cette deadline critique concerne tous les établissements financiers luxembourgeois et impose une documentation complète des risques ICT et de la résilience opérationnelle.
VMware Aria Operations contient une vulnérabilité d'injection de commande permettant à un acteur non authentifié d'exécuter du code arbitraire lors de migrations assistées. Cette vulnérabilité figure au catalogue KEV CISA avec une date limite de remédiation dépassée (24 mars 2026).
Une défaillance du mécanisme de protection dans MSHTML Framework permet à un attaquant non authentifié de contourner une fonctionnalité de sécurité sur le réseau. Figurant au catalogue KEV CISA avec date limite dépassée (3 mars 2026).
Une vulnérabilité de gestion incorrecte des privilèges dans Windows Remote Desktop permet à un attaquant autorisé d'élever ses privilèges localement. Inscrite au catalogue KEV CISA avec date limite dépassée (3 mars 2026).