Thales annonce la disponibilité commerciale d'une solution de chiffrement homomorphe permettant le traitement de données financières sensibles sans déchiffrement. Solution pertinente pour les établissements luxembourgeois cherchant à renforcer la protection des données clients tout en maintenant les capacités analytiques.
La CSSF met en garde contre des fraudeurs usurpant l'identité de Maureen Wiwinius, Présidente du Conseil de la CSSF. Cet avertissement souligne les risques de fraude par ingénierie sociale ciblant les entités financières luxembourgeoises.
L'événement annuel SECURITYMADEIN.LU accueille des sessions dédiées à la résilience cyber des infrastructures financières critiques, avec participation de la CSSF, BCL et acteurs majeurs du secteur. Opportunité de mise à jour sur les attentes réglementaires et les bonnes pratiques émergentes.
Les écosystèmes Trivy ont été compromis via des credentials volés (19-22 mars 2026). Des versions malveillantes (v0.69.4, v0.69.5, v0.69.6) distribuées via GHCR, ECR, Docker Hub et packages deb/rpm contiennent des malwares volant secrets, clés SSH, credentials cloud/Kubernetes et tokens. Risque critique pour les pipelines CI/CD d'entreprise.
Un acteur malveillant a utilisé des identifiants compromis pour publier une version malveillante de Trivy v0.69.4 et modifier les dépôts GitHub associés avec du malware voleur de credentials. Incident de chaîne d'approvisionnement critique affectant les pipelines CI/CD d'entreprises.
Le gang ransomware Interlock exploite une vulnérabilité RCE critique (zero-day depuis janvier) dans Cisco Secure Firewall Management Center. Cela cible potentiellement les firewalls utilisés dans les secteurs financiers et infrastructures critiques EU. Mise à jour urgente recommandée.
Communication de la CSSF relative aux exigences supplémentaires en matière de gestion de la liquidité applicables aux OPCVM et gestionnaires de FIA domiciliés au Luxembourg, suite à la transposition de la Directive (EU) 2024/927 par la loi du 3 mars 2026.
La CSSF rappelle aux entités financières soumises à DORA qu'elles doivent soumettre leur registre d'information au niveau individuel ou consolidé avant le 31 mars 2026. Cette deadline critique concerne tous les établissements financiers luxembourgeois et impose une documentation complète des risques ICT et de la résilience opérationnelle.
La CSSF a communiqué le 17 mars 2026 sur la soumission obligatoire du registre d'informations DORA au plus tard le 31 mars 2026 pour les entités financières soumises à la directive. Cela concerne les exigences de résilience opérationnelle et de gestion des risques TIC. Priorité pour les CISOs en matière de conformité DORA.
Avertissement mis à jour le 20 mars 2026 contre des fraudeurs usurpant l’identité de Maureen Wiwinius, Présidente du Conseil de la CSSF. Rappel que la CSSF ne contacte pas par des moyens non officiels, soulignant les risques de phishing et ingénierie sociale pour le secteur financier.
Publiée le 16 mars 2026 et listée par la CSSF, cette réglementation met à jour les sanctions UE relatives aux actions menaçant l'intégrité territoriale de l'Ukraine. Les entités luxembourgeoises doivent vérifier la conformité. Lien avec les exigences AML/CFT en cybersécurité.
Contournement d'authentification dans Ivanti EPM avant 2024 SU5 permettant à un attaquant distant non authentifié de divulguer des credentials stockés. Ajoutée au KEV CISA le 09/03/2026 (due date 23/03/2026). Impact sur gestion d'endpoints en entreprise ; appliquer SU5 immédiatement.
VMware Aria Operations contient une vulnérabilité d'injection de commande permettant à un acteur non authentifié d'exécuter du code arbitraire lors de migrations assistées. Cette vulnérabilité figure au catalogue KEV CISA avec une date limite de remédiation dépassée (24 mars 2026).
Une défaillance du mécanisme de protection dans MSHTML Framework permet à un attaquant non authentifié de contourner une fonctionnalité de sécurité sur le réseau. Figurant au catalogue KEV CISA avec date limite dépassée (3 mars 2026).
Une vulnérabilité de gestion incorrecte des privilèges dans Windows Remote Desktop permet à un attaquant autorisé d'élever ses privilèges localement. Inscrite au catalogue KEV CISA avec date limite dépassée (3 mars 2026).