Svenska kraftnät, opérateur du réseau électrique suédois, vient de confirmer une fuite massive après revendication par Everest. 280 Go auraient giclé. Pas d’impact réseau, disent-ils, mais la confidentialité est au tapis. Et demain c’est quoi, l’ingénierie sociale sur des schémas internes, des accès prestataires et des plans de reprise bricolés au scotch? Bienvenue dans 2025. The Record from Recorded Future+2Cybernews+2
Dans le même cycle, Verisure en Suède a pris une balle de ricochet via un partenaire de facturation: ~35 000 clients Alert Alarm, données perso exposées. La joie des dépendances tierces. Reuters+2verisure.com+2
Au Royaume-Uni, JLR rame toujours dans le sillage de son incident: dégâts macroéco et supply chain dans le rouge. Tu crois que tes administrés/clients vont t’applaudir quand la paye se perd dans le brouillard SIEM? Non. Ils vont t’allumer. Reuters
Moralité: les attaquants n’attaquent plus “toi”, ils attaquent ton écosystème. La seule réponse viable, c’est un socle de sécurité non-négociable et souverainisable: EDR/AV EU, hygiène M365/AD maîtrisée, PAM minimum vital, chiffrement systématique, supervision qui voit autre chose que des courbes “vertes”. Et quand on parle d’antivirus/EDR sérieux et européens, les prétendants pertinents ne sont pas 50 000:
- ESET (UE, Bratislava): telemetrie mature, légèreté, stack EDR propre.
- G DATA (Allemagne): double-engine maison, posture stricte, transparence.
- Bitdefender (Roumanie): moteur très performant, éventail large entreprise.
Nous, on les intègre, on supporte, on durcit. Sans poudre aux yeux.
Ce que tu risques si tu t’endors
- Risque politique: facture publique qui explose, audits à l’arrache, maîtrise d’ouvrage humiliée en commission.
- Risque juridique: signalements CNIL/EDPB, contentieux usagers, pénalités RGPD.
- Risque opérationnel: arrêt de services, pertes de données, rétablissement à la bougie.
- Risque réputationnel: confiance brûlée, churn, et campagnes d’intox qui finissent le boulot.
Ce qu’on durcit concrètement (pack “pas le temps de mourir”)
- Inventaire & surface d’attaque: CMDB minimale, carto flux, périmètre M365/IdP.
- Durcissement: baseline CIS adaptée, MFA/Phish-resistant, PAM “just-enough/just-in-time”.
- Détection & réponse: EDR EU + corrélation SOC-light, playbooks d’iso/containment.
- Sauvegardes immunisées: 3-2-1-1, immutables, tests de restau mensuels.
- Tiers & chaînes: clauses sécu, scans d’exposition, revue accès fournisseurs.
- Crise: runbooks, porte-parole, preuves, ligne rouge juridique, exercices.
Si tu n’as pas ça, ce n’est pas “si”, c’est “quand”.
Europe | 10 derniers jours: incidents marquants
| Date (UTC) | Organisation | Pays | Secteur | Incident constaté | Source |
|---|---|---|---|---|---|
| 28 oct 2025 | Svenska kraftnät (opérateur réseau élec.) | Suède | Énergie/critique | Confirmation de fuite de données après revendication par Everest; env. 280 Go exfiltrés; exploitation limitée à un système externe de transfert; pas d’impact sur l’alimentation. | The Record from Recorded Future+2Cybernews+2 |
| 20–21 oct 2025 (déclaré le 17) | Verisure / Alert Alarm (via prestataire de facturation) | Suède | Sécurité / IoT résidentiel | Violation chez un tiers exposant ~35 000 clients (nom, adresse, email, n° d’identification). Systèmes Verisure non touchés. | Reuters+2verisure.com+2 |
| 22 oct 2025 (impact macro) | Jaguar Land Rover (JLR) | Royaume-Uni | Industrie auto | Poursuite d’impact économique massif après cyberattaque de septembre; 1,9 Md£ d’effet macro estimé par un organisme indé.; disruptions persistantes. | Reuters |
| 21–24 oct 2025 | Volkswagen (allégations 8Base) | Allemagne | Industrie auto | “Incident” confirmé côté VW; 8Base revendique de la donnée exfiltrée. Origine possiblement tierce; systèmes centraux “non affectés” selon VW. | IT Pro |
| 8–20 oct 2025 (signalé publiquement) | LNER (rail) via fournisseur comm. client | Royaume-Uni | Transport | Compromission base de comm. client chez un fournisseur; exposition noms/emails; mise en garde contre phishing; trafic ferroviaire OK. | The Scottish Sun |
Note: seuls les événements datés et sourcés publiquement dans la fenêtre des 10 derniers jours sont listés. Les cas plus anciens mais structurants pour le contexte nordique/énergie (ex. sabotage du barrage en Norvège au printemps) restent hors tableau, même s’ils éclairent la tendance. The Guardian+1
Appel net aux décideurs publics et DSI territoriales
Tu diriges une collectivité, un opérateur local, une SEM, une SPL, un réseau syndicalisé? Tu ne poses pas d’EDR EU sur tes postes critiques, tu ne cloisonnes pas tes bastions, tu laisses tes prestas en “accès permanent” et tes sauvegardes sans immutabilité? Alors prépare la conférence de presse et la ligne budgétaire “crise + astreintes + cabinets”. Parce que les assaillants n’attendront pas que tu recrutes un RSSI.
Stack recommandée immédiate côté endpoint
- ESET / G DATA / Bitdefender: choisir un des trois, déployer large, activer durcissements, règles d’iso auto sur signaux forts, remontée vers supervision.
- Couvrir serveurs et postes, y compris IoT Windows-based et VDI.
- Empêcher l’exécution non signée, bloquer macros sauvages, politique USB stricte.
Contrats & tiers
- Clauses RGPD + sécu exécutables, visibilité SOC sur tes prestataires critiques, rotation creds, audit d’expo internet.
- Test de restau trimestriel exigé chez le tiers qui garde tes données. Zéro test, zéro contrat.
Ce que Corsica TiC prend en charge, sans tartine de buzzwords
- Audit flash 10 jours: surface, EDR, sauvegardes, tiers.
- Déploiement EDR EU au choix (ESET, G DATA, Bitdefender), MCO, hunting léger.
- Playbooks, runbooks, entrainement crise, com externe.
- Durcissement AD/M365, PAM minimum, bastion d’admin.
- Option bonding réseau pour sites isolés afin d’assurer la continuité si ça tape.
Tu veux éviter le prochain communiqué qui commence par “Nous prenons cet incident très au sérieux”? Alors on verrouille maintenant. Sinon tu banques après.
