Voici un aperçu de certaines des nouvelles, articles, interviews et vidéos les plus intéressants de la semaine dernière:
Winrar Zero-Day a été exploité par deux acteurs de la menace (CVE-2025-8088)
Les attaquants de RomCom ne sont pas les seuls à tirer parti de la vulnérabilité de Winrar nouvellement dévoilée (CVE-2025-8088) dans des attaques zéro-jour: Selon la société russe de cybersanité Bi.zone, un groupe suivi alors que Paper Werewolf l’utilisait pour cibler les organisations russes.
Microsoft corrige la vulnérabilité de Kerberos «Badsuccessor» (CVE-2025-53779)
Pour le correctif août 2025 mardi, Microsoft a publié des mises à jour de sécurité résolvant plus de 100 vulnérabilités de sécurité dans ses différentes solutions, y compris un défaut de traversée de chemin relatif dans Windows Kerberos (CVE-2025-53779) qui permet à un attaquant autorisé d’élever les privilèges sur un réseau dans le cadre d’une attaque de mauvaise réduction.
AWS CISO explique comment les échelles de sécurité du cloud-natif avec votre entreprise
Dans cette interview de la sécurité de Net, Amy Herzog, CISO à AWS, explique comment la sécurité native du cloud permet une protection flexible évolutive qui s’aligne sur la façon dont les équipes se construisent dans le cloud.
Les vulnérabilités de la solution RMM conviviale exploitée dans la nature (CVE-2025-8875, CVE-2025-8876)
Deux vulnérabilités (CVE-2025-8875, CVE-2025-8876) dans N-Central, une solution de surveillance et de gestion à distance (RMM) par Nable qui est populaire auprès des fournisseurs de services gérés, sont exploités par les attaquants.
De l’héritage au SaaS: pourquoi la complexité est l’ennemi de la sécurité d’entreprise
Dans cet entretien de sécurité de la sécurité, Robert Buljevic, consultant technologique chez Bridge IT, explique comment la coexistence des systèmes hérités et des applications SaaS modifie la façon dont les organisations abordent la sécurité.
L’Institut de recherche croate confirme l’attaque des ransomwares via les vulnérabilités de la pavillon d’outils
L’Institut Ruđer Bošković (RBI), le plus grand institut de recherche en sciences et technologies croates, a confirmé que c’était celui de «au moins 9 000 institutions dans le monde» qui ont été attaquées à l’aide des vulnérabilités de «file d’outils» de Microsoft Sharepoint.
Comment le leadership militaire prépare les anciens combattants au succès de la cybersécurité
Dans cette aide à la sécurité de la sécurité, Warren O’Driscoll, responsable de la pratique de la sécurité chez NTT Data UK et en Irlande, explique comment la formation de leadership militaire offre aux anciens combattants de l’état d’esprit, de la résilience et de la pensée stratégique nécessaire pour exceller dans la cybersécurité.
Surveillance du flux open source avec capteur: avantages et compromis
Les outils de surveillance des flux sont utiles pour suivre les modèles de trafic, la capacité de planification et les menaces de repérage. Mais de nombreuses solutions standard sont livrées avec des coûts de licence et des demandes de matériel élevés, surtout si vous souhaitez traiter chaque paquet.
Brute-Force Attaque des appareils Hammer Fortinet dans le monde entier
Une augmentation des tentatives de force brute ciblant les VPN SSL Fortinet qui a été repérée plus tôt ce mois-ci pourrait être un prélèvement d’attaques imminentes tirant parti des vulnérabilités actuellement non divulguées (potentiellement zéro-jour) dans les appareils Fortinet.
Fortinet met en garde contre la vulnérabilité de Fortisiem avec le code d’exploitation dans le monde (CVE-2025-25256)
Fortinet a publié des correctifs pour une vulnérabilité critique d’injection de commande OS (CVE-2025-25256) à Fortisiem, après que le code d’exploit pratique a fait surface dans la nature.
Les groupes appropriés deviennent personnels, et les cisos devraient être concernés
Au lieu de se concentrer uniquement sur les systèmes d’entreprise, certains groupes approfondis se poursuivent maintenant après les dirigeants de leur vie personnelle. Les réseaux domestiques, les appareils privés et même les membres de la famille sont devenus des cibles.
La vulnérabilité de NetScaler a été exploitée comme zéro-jour pendant près de deux mois (CVE-2025-6543)
Fortiguard Labs a signalé un pic dramatique dans les tentatives d’exploitation ciblant Citrixbleed 2, un tampon critique exagéré défaut (CVE – 2025‑5777) affectant Citrix NetScaler ADC (contrôleur de livraison d’application) et les appareils de passerelle.
La gouvernance de la sécurité de l’IA convertit le trouble en innovation délibérée
L’IA influence plus que la technologie, englobant les pratiques d’embauche, les choix politiques, les normes éthiques, le positionnement de la marque et la stratégie de leadership. C’est pourquoi la gouvernance doit s’étendre sur les fonctions et réunir diverses parties prenantes.
Win-DDOS: les attaquants peuvent transformer les contrôleurs de domaine public en agents DDOS
Les chercheurs de SafeBreach ont publié des détails sur plusieurs vulnérabilités qui pourraient être exploitées par les attaquants pour écraser les contrôleurs de domaine (DCS) de Windows Crash Windows, dont l’un (CVE-2025-32724) peut également être exploité pour forcer les DC publics pour participer à des attaques de déni de service distribué (ODD).
Comment la loi de Brandolini informe notre réalité infosec quotidienne
La loi de Brandolini jette une ombre sur tout ce que nous faisons, de la lutte contre l’ingénierie sociale à la dissection des menaces et même en essayant de donner un sens aux outils mêmes sur lesquels nous comptons.
Pentestage est désormais au cœur de la stratégie CISO
Les leaders de la sécurité repensent leur approche de la cybersécurité à mesure que les chaînes d’approvisionnement numériques se développent et que l’IA génératrice s’intègre dans les systèmes critiques.
Qu’est-ce qui fait mature d’un programme de sécurité et comment y arriver plus vite
Les leaders de la sécurité se rincent avec des outils et des données, mais cela n’aide pas leurs programmes à mûrir. Dans cette aide de sécurité Net Aide, Dan Decosh de Plextrac décrit les 3 lacunes clés retenant les programmes de sécurité et ce qui distingue les programmes matures.
NIST finalise la norme de cryptographie légère pour les petits appareils
L’Institut national des normes et de la technologie (NIST) a finalisé une norme de cryptographie légère pour protéger même les plus petits appareils en réseau des cyberattaques.
Pourquoi les menaces DNS devraient être sur le radar de chaque CISO en 2025
DNS est à nouveau dans la réticule des acteurs de la menace. Selon le Rapport de paysage de la menace DNS 2025 par InfoBlox, les attaquants modifient les tactiques et les entreprises ressentent la pression.
Les violations sont en hausse, les budgets sont aussi, alors pourquoi les soins de santé ne sont-ils pas plus sûrs?
Un nouveau rapport de Resilience décrit une cyber-crise croissante dans le secteur américain des soins de santé, où les attaques de ransomwares, le compromis des fournisseurs et l’erreur humaine continuent de provoquer des perturbations généralisées.
Combattre la fraude avec l’IA: le nouveau manuel de sécurité de l’identité
Dans cette vidéo de sécurité, Hal Lonas, CTO chez Trulioo, parle de la montée de la fraude à l’identité synthétique et de la façon dont il devient rapidement l’une des plus grandes menaces de crime financier.
Entragoat: infrastructure vulnérable Microsoft Entra ID pour simuler les erreurs de sécurité de l’identité
Entragoat est un outil spécialement conçu qui met en place un environnement ID Microsoft Entra vulnérable pour imiter les problèmes de sécurité d’identité réel.
Cours gratuits: Master AI Tools de Microsoft, AWS et Google
Découvrez comment les technologies d’IA peuvent être appliquées pour améliorer la sécurité, créer des applications sûres et responsables, développer des agents intelligents et améliorer la découverte d’informations.
Emplois de cybersécurité disponibles dès maintenant: 12 août 2025
Nous avons parcouru le marché pour vous apporter une sélection de rôles qui couvrent divers niveaux de compétence dans le domaine de la cybersécurité. Découvrez cette sélection hebdomadaire d’emplois de cybersécurité disponibles dès maintenant.
Showcase de produit: Apricorn Aegis Nvx, un SSD portable à haute sécurité
L’Apricorn Aegis NVX est un lecteur SSD externe AES XTS basé sur le matériel avec un câble USB-C intégré. Ses capacités de stockage varient de 500 Go à 2 To. L’appareil est sans système d’exploitation et compatible en plate-forme multiples.
Nouveaux produits InfoSec de la semaine: 15 août 2025
Voici un aperçu des produits les plus intéressants de la semaine dernière, avec des sorties de Brivo, Envoy, Prove, Rubrik et Trellix.
