📢 Actualité Cybersécurité – Semaine du 23 février au 01 mars 2026

🙋‍♂️Introduction

La dernière semaine de février 2026 a été riche en événements marquants dans le domaine de la cybersécurité : des fuites de données sensibles, des initiatives gouvernementales de renforcement des compétences et des menaces actives à l’échelle mondiale ont animé l’actualité. Voici les principales actualités à retenir.

---

🗼Zoom France

1- Mise à jour du MOOC SecNumacadémie proposé par l’ANSSI

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a annoncé une refonte importante de son cours en ligne gratuit SecNumacadémie, un MOOC dédié à la cybersécurité ouvert à tous (grand public, étudiants, professionnels).

🔒 Arrêt temporaire du service actuel

La plateforme actuelle sera indisponible à partir du 28 février 2026 pour plusieurs mois afin de laisser place à une nouvelle version modernisée.

📚 Objectif de la refonte

L’objectif est de proposer une expérience de formation personnalisée, avec des parcours adaptés à différents profils d’apprenants. Au lieu d’un parcours unique, il y aura désormais trois niveaux :

1. Découverte – pour les débutants, sans connaissances préalables en cybersécurité.
2. Intermédiaire – pour les professionnels ou étudiants qui utilisent le numérique régulièrement et veulent approfondir les bases.
3. Approfondissement – pour ceux qui travaillent déjà dans la cybersécurité et souhaitent renforcer leurs compétences techniques et conceptuelles.

🎓 Nouveautés attendues

La future version du MOOC inclura notamment :

• Une attestation de réussite pour chaque parcours complété.
• Des interactions pédagogiques variées.
• Des contenus accessibles et enrichis.
• De nouvelles unités pédagogiques adaptées à l’évolution des enjeux cybersécurité.

📍 Pendant la transition

L’ANSSI recommande de consulter des guides et ressources disponibles sur la plateforme MesServicesCyber pour continuer à progresser en cybersécurité pendant la mise à jour.

💡 Contexte complémentaire

Le MOOC SecNumacadémie existe depuis plusieurs années et a pour mission de sensibiliser et former un large public aux enjeux de la sécurité numérique, avec des cours répartis en modules portant sur les fondamentaux (authentification, sécurité sur Internet, postes de travail, etc.).

---

(sources : cyber.gouv.fr)

2- Fuite de données des bénéficiaires du RSA en France

Un incident de cybersécurité a touché des données personnelles de bénéficiaires du Revenu de Solidarité Active (RSA) à la suite d’une intrusion dans un service numérique public géré par l’État en janvier 2026.

📝 Contexte

La Direction interministérielle du numérique (DINUM) – responsable de la plateforme HubEE utilisée pour transmettre les données entre administrations, notamment entre la Caisse d’Allocations Familiales (CAF) et les conseils départementaux – a détecté une violation de données.

📍 Données compromises

Les informations personnelles exfiltrées comprennent (selon les messages envoyés aux personnes concernées et les médias) :

• identité complète (nom, prénom) des bénéficiaires et de la personne responsable du dossier,
• numéro de sécurité sociale,
• matricule allocataire RSA,
• coordonnées (adresse e-mail, numéro de téléphone),
• dates importantes liées à la demande de RSA (date de dépôt, date de début des droits).

Ces données sont particulièrement sensibles car elles permettent à des cybercriminels de mener des attaques d’hameçonnage (phishing) ou d’usurper l’identité des personnes concernées.

📌 Portée et conséquences

• La DINUM a confirmé que l’incident n’a pas affecté les données bancaires ni les mots de passe de connexion des allocataires, ni leur droit au RSA ou les paiements.
• Toutefois, l’accès à des données d’identification et de contact peut rendre les victimes vulnérables à des attaques de phishing ou d’escroqueries ciblées à l’avenir.

🛡️ Réaction des autorités

L’alerte a été relayée publiquement par des chercheurs en cybersécurité (notamment sur X) et reprise par plusieurs médias spécialisés. Les autorités compétentes surveillent la situation, mais peu de détails techniques sur l’origine exacte de l’intrusion ou les mesures internes prises ont été rendus publics.

🧠 Contexte élargi

Cet incident s’ajoute à une série de fuites et compromissions de données personnelles impliquant des organismes publics en France, déjà marquées par des cas récents (comme la fuite des données du fichier national des comptes bancaires).

La fréquence de ces incidents illustre des défis persistants dans la sécurisation des systèmes d’information publics, avec des risques directs pour la vie privée des citoyens et la confiance dans les services numériques de l’État.

💡 En résumé

Une violation des données gérées par la DINUM a exposé des informations personnelles de bénéficiaires du RSA (identité, coordination et dates administratives), ce qui nécessite une vigilance accrue contre les attaques par phishing ou usurpation d’identité, même si les droits sociaux et paiements ne sont pas directement touchés.

(sources : lemondeinformatique.fr, lesnumeriques.com, frandroid.com)

3- Mon logiciel médical de Cegedim Santé piraté, des millions de patients touchés

Un logiciel médical majeur utilisé par des médecins en France, édité par Cegedim Santé, a été victime d’une cyberattaque fin 2025, entraînant une fuite massive de données personnelles de patients, révélée publiquement fin février 2026 par France 2.

🖥️ Qui est concerné ?

• Le logiciel visé est « Mon Logiciel Médical » (MLM), utilisé par environ 3 800 médecins, dont 1 500 ont été directement affectés par l’intrusion.
• Selon les estimations publiées par les médias et des enquêteurs, entre 11 et 15 millions de patients français ont vu leurs données consultées ou extraites illégalement.

🔍 Quelles données ont fuité ?

• Données administratives personnelles : nom, prénom, sexe, date de naissance, numéro de téléphone, adresse postale.
• Une partie très limitée (environ 1 % ≈ 169 000 cas) comprend des annotations libres saisies par les médecins, qui peuvent contenir certaines informations sensibles ou des notes personnelles.
• Le ministère de la Santé a affirmé que les dossiers médicaux structurés (comme prescriptions, résultats d’examens, documents cliniques) n’auraient pas été directement diffusés dans la fuite.

🛑 Nature et chronologie de l’attaque

• L’intrusion a eu lieu fin 2025, mais n’a été rendue publique que récemment lors d’enquêtes par des médias et confirmée par le ministère de la Santé.
• Un échantillon de données (~300 000 lignes) a circulé sur le dark web ou des forums spécialisés, visible par des enquêteurs indépendants, ce qui a amené à estimer l’ampleur de la fuite.
• Certains pirates ont revendiqué la publication ou la possession de ces données, mais l’identité et les motivations exactes restent incertaines (possiblement simplement un revendeur de données).

⚖️ Réactions et contexte réglementaire

• Cegedim Santé a confirmé l’incident, déclaré avoir bloqué les accès compromis, déposé plainte et notifié la CNIL et les autorités compétentes.
• L’entreprise avait déjà été sanctionnée par la CNIL en début 2026 pour un traitement non autorisé de données pseudonymisées, ce qui mettait déjà en lumière des lacunes dans la gestion de données médicales.
• Les autorités demandent des mesures correctives urgentes pour sécuriser l’écosystème numérique de santé et éviter d’autres fuites.

🧾 En résumé

• Une cyberattaque ciblant l’éditeur de logiciel médical Cegedim Santé a entraîné une massive fuite de données administratives de patients, potentiellement jusqu’à 15 millions de personnes concernées.
• La majorité des informations fuitées sont des informations personnelles (identité, contacts), mais une minorité contient aussi des annotations plus sensibles.
• L’affaire pose des questions sur la sécurité et la gouvernance des données de santé en France, notamment dans les solutions numériques utilisées par les professionnels de santé.

(sources : zataz.com, lemondeinformatique.fr)

4- Recherche intensive de profils en cybersécurité et en cloud

Selon une étude du cabinet Robert Half, la cybersécurité devient la compétence IT la plus recherchée en France en 2026 : près de la moitié des entreprises (47 %) prévoient de recruter des spécialistes dans ce domaine dès le premier semestre. Suivent de près les experts du cloud, avec 44 % d’intentions d’embauche, notamment pour accompagner les déploiements liés à l’intelligence artificielle (IA) et à la transformation numérique.

🔒 Cybersécurité en tête des priorités

• Face à la multiplication et à la sophistication croissante des cyberattaques, les organisations mettent en priorité les postes de sécurité IT pour protéger leurs systèmes et leurs données existants plutôt que pour créer de nouveaux projets.
• Les profils les plus recherchés incluent les spécialistes de la protection des actifs stratégiques (SOC, pentest, gouvernance des identités), les RSSI, et les consultants en sécurité capables de réduire les risques opérationnels.

☁️ Cloud comme pilier de la transformation numérique

• Les experts cloud sont très demandés pour piloter les architectures sur AWS, Azure, GCP, garantir la sécurité des environnements et intégrer des solutions cloud adaptées à des projets IA ou de données lourdes.
• Les technologies cloud sont perçues comme indissociables des ambitions IA et data des entreprises, ce qui renforce la tension sur les profils capables de combiner compétences cloud, sécurité et automatisation.

📊 Tensions sur d’autres compétences techniques

• Outre cybersécurité et cloud, chefs de projet IT, analystes BI, et développeurs (back-end / full-stack) font aussi partie des profils en demande, bien que dans une moindre mesure par rapport aux profils orientés sécurité et cloud.

🎓 Formation et montée en compétences

• La formation interne des équipes est devenue une stratégie clé pour 60 % des décideurs IT, face à la pénurie de talents qualifiés et la difficulté à attirer ou retenir des experts externes.
• Les entreprises investissent également dans des compétences hybrides, combinant savoir-faire technique (cloud, sécurité, IA) et soft skills (communication, résolution de problèmes), pour mieux aligner les technologies avec les enjeux business.

💼 Contexte plus large

• Cette dynamique n’est pas isolée : d’autres analyses du marché IT en 2026 montrent une tendance générale à la reprise des embauches dans les domaines considérés comme stratégiques (cybersécurité, cloud, IA, data), alors que le marché s’était ralenti les années précédentes.

🧾 En bref

• La cybersécurité est la compétence IT la plus recherchée en France en 2026, avec près de la moitié des entreprises qui prévoient de recruter dès le premier semestre.
• Le cloud computing arrive juste derrière, porté par les projets d’IA, de données et de transformation numérique.
• Les tensions concernent aussi d’autres profils techniques, mais la sécurité et le cloud restent les priorités fortes du marché de l’emploi.
• La formation et la montée en compétences internes deviennent essentielles face à la pénurie de talents et à la complexité accrue des environnements IT.

(sources : lemondeinformatique.fr, siecledigital.fr, zataz.com)

---

🌍Zoom International

1- Vulnérabilité critique Cisco SD-WAN (CVE-2026-20127)

Un zero-day extrêmement critique a été révélé dans les produits Cisco Catalyst SD-WAN Controller (anciennement vSmart) et Cisco Catalyst SD-WAN Manager (anciennement vManage). Ce bug impacte un mécanisme d’authentification interne et permet à un attaquant non authentifié d’obtenir des privilèges administratifs sur le système simplement en envoyant une requête spécialement conçue.

⚠️ Exploitation active et historique

La vulnérabilité, référencée CVE-2026-20127, a une gravité maximale (CVSS score 10.0) – la note la plus élevée possible – et des preuves montrent qu’elle est exploitée en conditions réelles depuis au moins 2023.

Des acteurs malveillants identifiés sous le nom UAT-8616 utilisent cette faille pour accéder aux systèmes SD-WAN et y maintenir une présence persistante.

Après avoir obtenu un accès administratif initial, ils peuvent manipuler la configuration réseau via le protocole NETCONF, ajouter des « pairs » malveillants et potentiellement prendre le contrôle total de l’infrastructure SD-WAN.

🧠 Techniques d’escalade et persistence

Une fois l’accès interne obtenu, les attaquants ont exploité une combinaison de failles – en particulier en downgradant temporairement le logiciel vers une version vulnérable – pour exploiter une autre faille (CVE-2022-20775) et obtenir l’accès root complet, puis restaurer une version non vulnérable pour masquer leurs traces.

🛡️ Réponse de Cisco et des agences

• Cisco a publié des correctifs d’urgence et liste les versions logicielles remédiées qui corrigent cette faille.
• La U.S. Cybersecurity and Infrastructure Security Agency (CISA) a ajouté CVE-2026-20127 (ainsi que la CVE-2022-20775 liée) à son catalogue KEV (Known Exploited Vulnerabilities) et a émis une directive d’urgence pour que les agences fédérales appliquent les correctifs immédiatement.
• La CISA a également ordonné l’inventaire des systèmes SD-WAN, la collecte des journaux et la chasse aux indices d’intrusion.

🔍 Risques pour les organisations

Les systèmes SD-WAN affectés incluent à la fois des déploiements sur site et des environnements cloud Cisco-hébergés (Standard, Managed, FedRAMP).
Si ces dispositifs ont leur interface de gestion exposée à internet sans protections supplémentaires, ils peuvent être compromis à distance.

🧾 En résumé

• Vulnérabilité critique (CVE-2026-20127) dans Cisco Catalyst SD-WAN.
• Exploitation active observée depuis au moins 2023 par un acteur sophistiqué (UAT-8616).
• Permet d’obtenir des droits administratifs et de manipuler la configuration réseau.
• Cisco a publié des correctifs d’urgence ; les agences de cybersécurité (dont CISA) imposent des actions immédiates.
• L’incident illustre la vulnérabilité des infrastructures SD-WAN face aux attaques persistantes ciblant les plans de gestion et de contrôle.

(sources : thehackernews.com)

2-Les hackers exploitent l’IA pour accélérer l’exploitation des vulnérabilités

Ce n’est pas une nouveauté, mais selon le rapport 2026 IBM X-Force Threat Intelligence Index, les cybercriminels utilisent de plus en plus des outils d’IA générative pour identifier et exploiter des failles de sécurité plus rapidement qu’auparavant. Cela ne change pas fondamentalement les méthodes d’attaque, mais accélère considérablement des étapes clés comme la reconnaissance, l’automatisation des tests d’exploit et la génération de scripts d’attaque – des tâches qui auparavant demandaient plus de compétences ou de temps.

📊 Données phares du rapport

• Les attaques exploitant des applications accessibles publiquement (sites web, API, services en ligne) ont augmenté d’environ 44 % par rapport à l’année précédente.
• L’exploitation de vulnérabilités a représenté 40 % de toutes les incidents observés en 2025.
• Le nombre d’acteurs de ransomware actifs a augmenté d’environ 50 % dans la même période.

L’IA ne révolutionne pas les tactiques de base, mais réduit drastiquement le seuil technique nécessaire pour automatiser et accélérer des attaques, permettant même à des acteurs moins expérimentés de lancer des opérations efficaces.

🌍 Cibles privilégiées

Les attaques se concentrent surtout sur des chaînes d’approvisionnement logicielle, des services tiers (intégrations SaaS), des environnements de développement automatisés (ex. CI/CD) et des API, des zones traditionnellement vulnérables et difficiles à sécuriser.

🤖 IA au service des hackers : exemples récents

L’utilisation de l’IA par les cybercriminels n’est pas une théorie isolée – plusieurs incidents récents confirment l’accélération des attaques :

• 🌐 Compromission de centaines de pare-feu avec IA
  • Un groupe de hackers a utilisé des outils d’IA grand public pour pirater plus de 600 pare-feux FortiGate à travers 55 pays, exploitant des protections faibles ou simples. L’attaque a été rendue possible grâce à l’automatisation fournie par des services d’IA pour scanner les systèmes, tester des identifiants faibles et franchir les défenses rapidement.
• 🔧 Baisse du gap entre découverte de faille et exploitation
  • Des recherches externes montrent que les outils d’IA peuvent générer des proofs of concept d’exploit (PoC) en quelques minutes, un processus qui pouvait auparavant prendre des heures ou des jours, réduisant la fenêtre de sécurité disponible pour corriger les vulnérabilités.

⚠️ Impacts sur la cybersécurité

• Automatisation et réduction des barrières
  • L’IA abaisse le niveau technique requis pour produire des scripts d’attaque, codes d’exploit ou stratégies offensives — ce qui signifie que même des acteurs moins qualifiés peuvent exécuter des attaques techniques sophistiquées en s’appuyant sur des modèles génératifs ou des assistants d’IA.
• Vitesse et volume des attaques
  • Les attaques s’exécutent désormais plus vite et deviennent plus fréquentes, avec une pression accrue sur les équipes de défense qui doivent répondre à des campagnes automatisées en quasi temps réel.
• Adaptation nécessaire
  • Les responsables de la sécurité doivent réévaluer les hypothèses traditionnelles de défense, renforcer la détection comportementale, automatiser les correctifs et intégrer des mesures d’IA défensive pour compenser l’avantage des attaquants.

🧠 En résumé

• Cela implique une pression accrue sur les équipes de sécurité et une nécessité d’investir dans des défenses capables de répondre à une menace plus rapide et automatisée.
• L’IA accélère l’exploitation des vulnérabilités sans forcément créer de nouvelles techniques d’attaque, mais en automatisant des étapes techniques auparavant lentes ou complexes.
• Les attaques ciblent des surfaces d’exposition larges (API, SaaS, chaînes d’approvisionnement) et exploitent cette automatisation pour intensifier et industrialiser les campagnes.
• Des incidents récents (comme la compromission automatisée de centaines de pare-feu) montrent que cette IA assistée peut transformer de petits groupes en menaces efficaces à grande échelle.

(sources : techradar.com, insurancejournal.com)

3- Failles critiques activement exploitées dans le MDM d’Ivanti

Le fournisseur de solutions de gestion d’appareils mobiles Ivanti a signalé deux vulnérabilités de gravité critique dans son produit Endpoint Manager Mobile (EPMM) – une solution de Mobile Device Management (MDM) utilisée pour administrer des flottes de smartphones, tablettes et autres terminaux en entreprise.

Ces vulnérabilités, suivies sous les identifiants CVE-2026-1281 et CVE-2026-1340, sont particulièrement dangereuses car elles permettent l’exécution de code à distance sans authentification préalable – une situation qualifiée de remote code execution (RCE) critique.

⚠️ Exploitation active dans la nature

Selon l’article de Le Monde Informatique et des bulletins de sécurité publics, ces vulnérabilités sont activement exploitées par des attaquants : des campagnes d’attaque automatiques ciblent des instances d’EPMM exposées sur Internet.

• Les attaques peuvent permettre à un cybercriminel prenant le contrôle du serveur MDM de déployer des shells web, des backdoors ou des outils malveillants, ouvrant un accès persistant dans l’environnement touché.
• La Commission européenne a par exemple détecté le 30 janvier 2026 une tentative d’attaque sur son infrastructure de gestion des terminaux mobiles via ce vecteur (détection rapide puis confinement), ce qui illustre le caractère réel et ciblé des exploitations.

🚨 Impacts techniques et risques

• 🛠️ Ce que permettent les failles
  • Exécution de code arbitraire à distance sans authentification, donc sans mot de passe, simplement en envoyant des requêtes spécialement conçues.
  • Possibilité pour un attaquant de prendre le contrôle des appareils gérés (téléphones, tablettes) via le serveur EPMM compromis.
  • Une compromission de l’EPMM peut mener à des mouvements latéraux sur le réseau interne, exposant potentiellement d’autres infrastructures critiques.
• 🔎 Pourquoi c’est préoccupant
  • Les systèmes MDM ont souvent un accès privilégié à des terminaux de l’entreprise – si ce composant est compromis, l’attaquant peut rebondir et compromettre des données sensibles ou des éléments de sécurité réseau.
  • Dans plusieurs cas documentés, après exploitation initiale, des webshells ou backdoors ont été installés, permettant aux attaquants de persister et de revenir sur les systèmes même si les premiers correctifs sont appliqués.

🛡️ Réponse et correctifs

• 🔧 Mises à jour disponibles
  • Ivanti a publié des correctifs de sécurité pour combler ces failles dans les versions concernées d’EPMM ainsi que des scripts de correctif temporaire (RPM) à appliquer immédiatement.
  • Cependant, ces correctifs sont parfois temporairement applicables et doivent être réinstallés après chaque mise à jour de version du produit, en attendant une version majeure target prévue (ex. EPMM 12.8.0.0) qui les résoudra définitivement.
• 📍 Mesures recommandées
  • Appliquer immédiatement les patches ou mitigations proposés par Ivanti sur toutes les installations vulnérables.
  • Vérifier les logs et les signatures d’exploitation (par exemple dans les journaux Apache) car des preuves de compromission peuvent être présentes longtemps après l’exploitation initiale.
  • Isoler les serveurs vulnérables et, si nécessaire, restaurer à partir d’une sauvegarde saine ou reconstruire l’infrastructure touchée pour éliminer toute trace de backdoors.

🧠 En bref

• Deux vulnérabilités critiques (CVE-2026-1281 et CVE-2026-1340) dans Ivanti Endpoint Manager Mobile (EPMM) permettent l’exécution de code à distance sans authentification.
• Ces failles sont activement exploitées dans la nature, impliquant des campagnes de piratage ciblant des solutions MDM exposées, y compris au sein d’institutions comme la Commission européenne.
• L’exploitation peut donner à un attaquant un accès persistant aux serveurs MDM, compromettant potentiellement des terminaux et l’infrastructure interne.
• Correctifs urgents et mesures de remédiation (patchs, vérification de compromission) sont disponibles et doivent être appliqués sans délai par les organisations concernées.

(sources : lemondeinformatique.fr, cert.ssi.gouv.fr, lemagit.fr)

---

🎯 Conclusion

Cette dernière semaine de février 2026 a souligné plusieurs réalités clés du paysage cyber :

• les données sensibles restent une cible majeure, même lorsqu’elles sont gérées par des institutions publiques,
• l’intelligence artificielle transforme profondément tant les attaques que les moyens de défense,
• et les efforts de formation et d’anticipation (comme ceux menés par l’ANSSI) sont plus que jamais indispensables.

Garder une veille proactive et une hygiène numérique rigoureuse demeure crucial pour toute organisation ou particulier exposé aux risques numériques.