Retour sur les actus cybersécurité de novembre 2025 en un coup d’œil

Novembre 2025 a été marqué par des campagnes ciblées à fort volume. Si le nombre mondial d’attaques par rançongiciel a légèrement baissé pour atteindre 659 incidents (-5 %), la gravité des vols de données a, elle, explosé. Le mois a été dominé par les groupes Qilin (107 revendications) et Akira, ainsi que par une faille Zero-Day critique dans Oracle E-Business Suite (CVE-2025-61882).

En France, malgré une baisse du volume d’attaques, l’impact a été sévère avec des brèches majeures chez Eurofiber et la FFF, exposant des millions de citoyens. À l’international, l’attention reste focalisée sur les vulnérabilités de la chaîne logistique (Supply Chain) et les campagnes massives d’ingénierie sociale.

Les événements clés du mois

🇫🇷 France : Supply Chain & Données Personnelles

• Eurofiber & Risque Tiers (13 nov.) : L’opérateur a confirmé une brèche via une vulnérabilité de son portail de billetterie. Avant l’application du correctif, des données ont été exfiltrées chez des clients majeurs comme Thales, TotalEnergies et la SNCF. Cela souligne le risque critique des portails B2B non surveillés.
• Carton Rouge pour la FFF (20 nov.) : La plateforme de la Fédération Française de Football a été piratée, entraînant la fuite de données personnelles (licences, adresses, emails) de millions de joueurs amateurs. Une vague de phishing ciblé est à prévoir contre ces licenciés.
• Cibles Industrielles : Le groupe Qilin a revendiqué des attaques contre Prova (industrie) et France Terre d’Asile, tandis que Colis Privé a subi un vol de contacts clients par des acteurs locaux en fin de mois.

🇺🇸 États-Unis : La vague Oracle Zero-Day

L’exploitation de la Zero-Day Oracle E-Business Suite (CVE-2025-61882) par le gang Clop a causé des dégâts considérables en novembre (liés à des intrusions remontant à juillet-août) :

• Université de Pennsylvanie : 1,2 million d’enregistrements exposés via le SSO.
• Géants du secteur privé : Des brèches confirmées au Washington Post (données financières), Cox Enterprises et GlobalLogic.
  
• DoorDash (Ingénierie Sociale) : Une exposition massive de contacts clients résultant d’une arnaque sophistiquée visant un employé le 25 octobre.

🌍 International : DeFi et Infrastructures

• Record d’exfiltration : Qilin arrive en tête des statistiques avec 31 200 To de données revendiquées comme exfiltrées à l’échelle mondiale.
• Infrastructures critiques : La société suédoise Miljödata (1,5M de victimes) et l’italien Almaviva ont été touchés.
• Finance : Le protocole DeFi Balancer a subi une perte de 120 millions de dollars suite à l’exploitation d’un smart contract.

---

Tendances observées

1. L’extorsion pure
   
   Changement de paradigme violent. Avec 31 200 To exfiltrés par le seul groupe Qilin, les attaquants ne cherchent plus seulement à paralyser vos opérations, mais à monétiser vos secrets. Le chiffrement devient accessoire : la véritable arme est désormais le chantage à la divulgation.

2. Évolution des secteurs visés

• Santé : +43 % (20 attaques).
• Industrie (Manufacturing) : +35 % (166 attaques) – le secteur le plus ciblé.
• Éducation : +24 % (21 attaques).

3. Le vecteur « Portail »

Les incidents Eurofiber et DoorDash prouvent que les portails web et les outils de helpdesk sont les nouveaux points d’entrée vulnérables. Que ce soit par des failles techniques (Oracle) ou par ingénierie sociale, les attaquants contournent les défenses périmétriques traditionnelles.

---

Points de vigilance techniques

• Oracle E-Business Suite : L’application immédiate du correctif pour la CVE-2025-61882 (versions 12.2.3 à 12.2.14) est obligatoire pour stopper les attaques RCE du groupe Clop.
• Portails & SSO : Suite aux brèches UPenn et Eurofiber, lancez des scans de vulnérabilité immédiats sur tous les portails exposés et renforcez le MFA.
• Segmentation des sauvegardes : Avec Qilin et Akira ciblant les équipements périphériques (Edge), assurez-vous que les sauvegardes sont immuables et segmentées du réseau principal.

---

Recommandations pour les CTOs et CISOs

• Auditez les accès tiers : Ne faites pas une confiance aveugle aux portails externes. Appliquez des politiques « Zero Trust » pour toutes les connexions B2B.
• Patchez & Testez : Accélérez le cycle de correction pour les ERP critiques (Oracle), mais incluez des tests de régression rigoureux.
• Exercices anti-phishing : Avec les fuites FFF et DoorDash, vos employés sont des cibles privilégiées. Isolez leur navigation web pour neutraliser les liens malveillants.

---

Où Reemo fait la différence

Dans un paysage dominé par les vulnérabilités de portails et le vol d’identifiants, Reemo apporte une couche de défense décisive :

• Remote Browser Isolation (RBI) : Neutralise la menace du phishing et de l’ingénierie sociale (comme le cas DoorDash) en exécutant le contenu web dans un conteneur jetable, gardant les menaces à distance du poste de travail.
• Reemo Bastion+ : Sécurise les accès tiers (crucial pour des cas comme Eurofiber). Il offre un accès privilégié « Just-in-Time » et une traçabilité complète des sessions, garantissant qu’aucune activité non surveillée ne se produise sur vos systèmes critiques.
• Isolation des Applications : Empêche le mouvement latéral. Même si un point d’entrée initial est compromis (comme un serveur Oracle), Reemo limite la capacité de l’attaquant à rebondir vers d’autres segments du réseau.