Les écosystèmes Trivy ont été compromis via des credentials volés (19-22 mars 2026). Des versions malveillantes (v0.69.4, v0.69.5, v0.69.6) distribuées via GHCR, ECR, Docker Hub et packages deb/rpm contiennent des malwares volant secrets, clés SSH, credentials cloud/Kubernetes et tokens. Risque critique pour les pipelines CI/CD d'entreprise.
La CSSF alerte sur des fraudeurs usurpant l’identité de Maureen Wiwinius pour contacter les entités supervisées. Rappel que la CSSF ne demande pas d’informations sensibles par téléphone ou email non officiels. Mesure de sensibilisation cyber pour le secteur financier.
La CSSF a communiqué le 17 mars 2026 sur la soumission obligatoire du registre d'informations DORA au plus tard le 31 mars 2026 pour les entités financières soumises à la directive. Cela concerne les exigences de résilience opérationnelle et de gestion des risques TIC. Priorité pour les CISOs en matière de conformité DORA.
Publiée le 16 mars 2026 et listée par la CSSF, cette réglementation met à jour les sanctions UE relatives aux actions menaçant l'intégrité territoriale de l'Ukraine. Les entités luxembourgeoises doivent vérifier la conformité. Lien avec les exigences AML/CFT en cybersécurité.
Contournement d'authentification permettant à un attaquant non authentifié de divulguer des credentials stockés dans Ivanti EPM < 2024 SU5. Ajoutée au catalogue KEV CISA le 09/03/2026 (due date 23/03/2026). Pertinent pour la gestion des endpoints en entreprise financière.
Vulnérabilité critique d'injection de commandes dans VMware Aria Operations permettant une exécution de code à distance par un acteur non authentifié pendant une migration assistée. Ajoutée au catalogue KEV CISA le 03/03/2026 (due date 24/03/2026). Impact élevé sur les infrastructures critiques européennes, prioriser le patch VMSA-2026-0001.