Bulletin cybersec indus hebdo 26.S14

07.04.26 07:19 - Par Amine

Les news relatives à la cybersécurité des installations industrielles

Le plan de sauvetage de Jaguar Land Rover dans le secteur de la cybersécurité crée un précédent inquiétant selon les assureurs britanniques

Pour rappel, suite à la cyberattaque qu'a subi Jaguar Land Rover environ 5000 sous-traitants ont été indirectement impactées. Le gouvernement britannique est intervenu en injectant environ 1,7 milliard d'euros sans critères clairs, cela pose une question sur l'engagement des entreprises pour améliorer leur niveau de protection contre la menace cyber. De plus, l'intervention de l'état montre aussi une limite claire des assurances. Ils peuvent assurer une entreprise mais pas les sous-traitants.

https://www.theregister.com/2026/03/20/jlr_bailout_cmc/

Guide ENISA de la sécurité dès la conception

Ce guide ENISA détaille comment intégrer la sécurité dès la conception et la maintenir sur tout le cycle de vie d’un produit. Il transforme des principes comme le secure by design et by default en actions concrètes (checklists, tests, contrôles CI/CD). Surtout, il donne une méthode claire : identifier les risques critiques, appliquer des configurations sécurisées dès le déploiement, et intégrer des contrôles automatiques pour vérifier en continu que le produit reste sécurisé.

https://ncca.nbu.gov.sk/data/files/240_enisa_secure_by_design_and_default_playbook_v04.pdf?csrt=9023025590583266772

Vulnerability Corner :

Liste des Known Exploited Vulnerabilities (KEV) publiés par l'agence de cybersécurité américaine CISA la semaine dernière :

CVE	Vendor	Product	Liens
CVE-2026-3055	Citrix	NetScaler	https://nvd.nist.gov/vuln/detail/CVE-2026-3055, https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX696300&articleURL=NetScaler_ADC_and_NetScaler_Gateway_Security_Bulletin_for_CVE_2026_3055_and_CVE_2026_4368
CVE-2026-3502	TrueConf	Client	https://nvd.nist.gov/vuln/detail/CVE-2026-3502, https://trueconf.com/blog/update/trueconf-8-5, https://trueconf.com/downloads/windows.html
CVE-2026-5281	Google	Dawn	https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_31.html, https://nvd.nist.gov/vuln/detail/CVE-2026-5281

Vulnérabilités de composants de systèmes industriels :

Source : ICS Advisory Project dashboard https://lookerstudio.google.com/u/0/reporting/f0d99ae7-c75b-4fdd-9951-8ecada5aee5e/page/G1klC

Vendor	Product	Critical	High	Medium	Low	Total
Anritsu	Remote Spectrum Monitor MS27100A	1	0	0	0	1
PX4	Autopilot	1	0	0	0	1
Yokogawa	CENTUM VP	0	0	1	0	1

Liste complète triée par CVSSv3 Score :

Vendor	Product	CVE	CVSSv3 Score	CVSSv3 Severity	EPSS	Percentile	CWE
Anritsu	Remote Spectrum Monitor MS27100A	CVE-2026-3356	9.8	CRITICAL	0.054%	17.256%	CWE-306
PX4	Autopilot	CVE-2026-1579	9.8	CRITICAL	0.073%	22.206%	CWE-306
Yokogawa	CENTUM VP	CVE-2025-7741	4.0	MEDIUM	0.018%	4.385%	CWE-259

-----
Actualité Fortress Cybersecurity

- Bilan des Known Exploited Vulnerabilities du mois de décembre 2025

- Nouveau guide de classification des actifs industriels publié par l'ANSSI

Nos prochains webinaires dédiés à la cybersécurité des installations industrielles :

- 9 avril 2026 : NIS 2 pour l’industrie, inscription lien

- 7 mai 2026 : Segmenter les réseaux industriels, inscription lien

- 4 juin 2026 : Gérer les incidents cyber en environnement industriel, inscription lien

- 2 juillet 2026 : Gérer les vulnérabilités en environnement industriel, inscription lien

- 3 septembre 2026 : Mettre en place le plan de contrôle cyber de ses installations industriels, inscription lien

- 1 octobre 2026 : Sécuriser les accès à distance et de télémaintenance des actifs industriels, inscription lien

- 5 novembre 2026 : Protéger les endpoints dans les zones industrielles, inscription lien

- 3 décembre 2026 : Protéger les réseaux mobiles privés 5G, inscription lien