Beaucoup de choses se sont passées cette semaine. La plupart ne changent rien à votre lundi. Deux devraient. La plateforme SD-WAN de Cisco est de nouveau sous attaque active, et des groupes de ransomware ont passé la semaine dans l'énergie et l'industrie des deux côtés de l'Atlantique. Si vous exploitez des sites distants, des opérations de terrain ou une usine, voici votre brief.
Le SD-WAN est de nouveau sous attaque active
Celle à traiter en premier, c'est CVE-2026-20127, une faille d'authentification CVSS 10.0 qui donne à un attaquant distant et non authentifié un accès administrateur au plan de contrôle SD-WAN. Les agences du Five Eyes et le Centre canadien pour la cybersécurité (alerte AL26-004) rapportent l'ajout de pairs malveillants et le maintien d'un accès dans la durée. À cela s'ajoute un nouveau zero-day dans Catalyst SD-WAN Manager (CVE-2026-20245), où un compte netadmin peut atteindre les privilèges root via un téléversement de fichier forgé, avec des changements de configuration poussés vers les équipements de périphérie dans les cas observés. Cela fait sept failles SD-WAN exploitées cette année.
Voici pourquoi c'est important pour votre environnement. Un contrôleur, c'est la connectivité des sites, y compris les liens vers les sous-stations, les sites distants et les opérations de terrain. Ces équipements de périphérie font partie de votre surface d'attaque externe, que vous les suiviez comme tels ou non, et prendre le contrôle du contrôleur, c'est du pré-positionnement, le genre d'ancrage discret que recherchent les acteurs d'espionnage. Confirmez que vous êtes sur une version corrigée pour CVE-2026-20127, verrouillez les comptes netadmin derrière une MFA résistante au phishing, et relisez vos journaux de changements de configuration depuis la mi-mai pour tout ce qui ne s'explique pas. Cisco renvoie vers les correctifs de CVE-2026-20182 en attendant un correctif dédié au nouveau zero-day.
Le ransomware a visé l'énergie et l'industrie
Qilin a inscrit Trican Well Service, un important prestataire de services pétroliers albertain, sur son site de fuite le 4 juin. Le groupe pratique la double extorsion et a un historique de cibles industrielles. INC_RANSOM a frappé Stuga Machinery, un fabricant britannique d'automatismes et de machines, et un fournisseur d'automatismes sur un site de fuite, c'est un problème de chaîne d'approvisionnement pour chaque usine en aval.
La tendance d'ensemble mérite d'être notée. Les volumes de ransomware sont globalement stables d'une année à l'autre, mais l'activité se concentre aux États-Unis, en Allemagne, au Canada, au Royaume-Uni et en France, et le nombre de groupes actifs ne cesse de se fragmenter. Les services énergétiques et les fournisseurs industriels de niche sont en plein dans cette cible. Le travail défensif est du genre ingrat : valider la segmentation entre l'informatique de gestion, le terrain et l'OT, et vos liens SD-WAN, confirmer que vous détenez des sauvegardes hors de portée d'un intrus, et traiter vos fournisseurs d'automatismes et d'OT comme des tiers à fort enjeu plutôt que comme des lignes de contrat.
Aussi à corriger
La CISA a ajouté cette semaine une faille de déni de service dans SolarWinds Serv-U (CVE-2026-28318) à sa liste KEV. Si vous exploitez du transfert de fichiers en DMZ, appliquez le correctif 15.5.4 Hotfix 1 et bloquez au niveau du proxy le motif de requête POST encodé en deflate. Un serveur de transfert qui peut être planté à la demande alimente en général beaucoup de processus internes.
Le reste des manchettes de la semaine comprenait un RCE e-commerce et une série de fuites dans la santé. Réel et sérieux, mais pas le centre de gravité des équipes d'infrastructures critiques. Le signal ici est plus étroit et plus ancien qu'il n'y paraît : la périphérie réseau est la cible, et le gain le plus rapide disponible, c'est de raccourcir la distance entre un correctif qui existe et un correctif que vous avez appliqué. Voir lesquelles de ces expositions vous atteignent réellement, corrélées à la threat intelligence en temps réel plutôt que constatées après coup, c'est là qu'est le levier.