Le 25 mars 2026, la Commission a lancé une enquête sur Snapchat pour non-respect des règles de protection des mineurs sous le Digital Services Act. Focus sur les mesures de sécurité pour les utilisateurs vulnérables. Surveillance accrue pour les plateformes opérant au Luxembourg.
Un fournisseur de logiciels pour PSF au Luxembourg a été compromis via une mise à jour malveillante, affectant des banques et assurances EU. L'attaque, attribuée à des acteurs nord-coréens, expose des risques sous DORA pour la résilience des tiers. Patch urgent recommandé.
La Commission Nationale pour la Protection des Données (CNPD) prononce une amende significative contre un établissement financier luxembourgeois pour violation du RGPD suite à une fuite de données clients. La décision souligne les lacunes en chiffrement et en contrôle d'accès aux données sensibles.
BIND 9 versions 9.20.0-9.20.20 et 9.21.0-9.21.19 contiennent une fuite mémoire exploitable via requête DNS malveillante sur domaines spécialement conçus. Affecte les serveurs DNS critiques d'infrastructure.
Vulnérabilité critique (CVSS 9.8) d'injection SpEL via filtre non échappé dans Spring AI. Listée récente CIRCL Luxembourg, potentiellement impactante pour applications Java en stack entreprise. Vérifier usage dans environnements devops.
Vulnérabilité de désérialisation menant à une exécution de code à distance (CVSS 9.8) dans SharePoint Server Subscription Edition, 2019 et 2016. Ajoutée au catalogue KEV CISA le 18/03/2026, mise à jour Microsoft le 17/03/2026 confirmant exploitation par attaquants non authentifiés. CERT-EU recommande mise à jour immédiate et mesures additionnelles (AMSI, EDR, rotation clés).
Modification de la circulaire CSSF 18/703 introduisant un reporting semestriel sur les indicateurs des crédits immobiliers résidentiels liés à l’emprunteur. Cette évolution impacte la surveillance macroprudentiale des institutions financières luxembourgeoises. Mise à jour technique FAQ le 25 mars 2026.
Modification de la circulaire CSSF 18/703 introduisant un reporting semestriel relatif aux indicateurs sur les crédits immobiliers résidentiels. Cette exigence renforce la collecte de données standardisées pour le secteur bancaire luxembourgeois.
Le Cyber Resilience Act entre en phase d'application pour les produits et services numériques critiques. Les fournisseurs de solutions financières doivent se conformer aux exigences de sécurité par conception et de gestion des vulnérabilités. Impact direct sur les éditeurs de logiciels et prestataires de services cloud utilisés par les banques luxembourgeoises.
Le groupe TeamPCP a compromis le paquet Python LiteLLM sur PyPI, backdooré pour voler des identifiants et tokens d'authentification, affectant potentiellement 500 000 appareils. Cette attaque s'inscrit dans une série de compromissions supply chain par ce groupe. Les données exfiltrées incluent de nombreux doublons.
Le Ministère des Finances des Pays-Bas a confirmé une cyberattaque ayant compromis certains de ses systèmes, détectée la semaine précédente. Cela impacte le secteur financier européen et pourrait influencer la conformité DORA. Enquête en cours sur l'ampleur.
La CSSF a publié sa newsletter mensuelle n° 302 le 24 mars 2026, recensant les dernières publications et statistiques du secteur financier luxembourgeois. Elle inclut des mises à jour réglementaires et des données sectorielles pertinentes pour la cybersécurité et la conformité. Outil essentiel pour la veille des acteurs financiers.
La Banque Centrale du Luxembourg (BCL) publie une position de principe renforçant les attentes en matière de gestion des risques cyber pour les établissements de crédit. Accent mis sur la résilience opérationnelle, la gestion des dépendances aux tiers critiques et la continuité de service en cas de crise cyber majeure.
La plateforme PhaaS Tycoon2FA, ciblant Microsoft 365 et Gmail avec bypass 2FA, a retrouvé son niveau d'activité pré-disruption malgré la saisie de 330 domaines par Microsoft et Europol. Elle génère 30 millions d'emails phishing mensuels, représentant 62% des blocages Microsoft. Menace ciblée pour le secteur bancaire et fonds d'investissement EU via phishing avancé.
Vulnérabilité critique (CVSS 9.3) de lecture hors limites dans Citrix NetScaler configuré comme SAML IdP, permettant un surlecture mémoire et divulgation d'informations sensibles. Bulletin CERT-EU 2026-003 du 23/03/2026 ; pas d'exploitation publique connue mais exposition internet-facing prioritaire (DORA). Mise à jour vers 14.1-66.59 ou équivalent.
Oracle Identity Manager et Oracle Web Services Manager contiennent une vulnérabilité d'exécution de code à distance exploitable sans authentification. Affecte les systèmes de gestion d'identité critiques en environnement d'entreprise.
L'ESMA publie des lignes directrices sur l'application de l'EU AI Act aux systèmes d'IA à haut risque utilisés dans les services financiers (scoring, détection fraude, gestion de portefeuille). Les établissements doivent documenter les risques, mettre en place des tests de robustesse et assurer la traçabilité des décisions IA.
Davy Reinard a été assermenté comme Directeur Résolution à la CSSF à partir du 1er avril 2026. Il présidera le Conseil de Résolution chargé de la gestion des crises bancaires et de la continuité opérationnelle.
Vulnérabilité à exploitation distante sans authentification (CVSS 3.1 9.8) dans Oracle Identity Manager et Web Services Manager, menant à une exécution de code à distance. Bulletin Oracle relayé par CIRCL.lu le 23/03/2026. Application immédiate des patches recommandée.
Le Ministère néerlandais des Finances a confirmé une brèche dans certains de ses systèmes détectée la semaine dernière. Notifié le 19 mars par un tiers, il enquête toujours ; l'incident affecte certains employés.