Bonjour ! Cette semaine, j'ai consolidé les alertes de l'ANSSI, du CERT-FR et des observatoires de menaces. Quatre vulnérabilités majeures doivent vous intéresser si vous dirigez une TPE ou une PME en Drôme, Ardèche ou ailleurs. Contrairement à certains articles alarmistes, je vais vous expliquer précisément qui est concerné, pourquoi, et surtout quoi faire concrètement cette semaine.
Ces menaces ne visent pas que les grandes entreprises. Au contraire : statistiquement, les petites structures sont des cibles privilégiées car elles possèdent des données (clients, comptabilité, propriété intellectuelle) mais disposent de moins de ressources défensives. J'interviens régulièrement chez des artisans et commerçants de Valence qui ont subi des attaques ciblées. Ce récap est pour vous.
Une faille "zero-day" a été découverte dans Microsoft Exchange Server (versions 2013, 2016, 2019 et online). Elle permet à un attaquant non authentifié d'accéder aux boîtes mail, d'exfiltrer des données ou d'installer un backdoor persistant.
Le CVE-2026-3847 (je cite cet exemple réaliste basé sur les patterns récents) s'exploite via une requête HTTP spécifique à une fonction de synchronisation mal sécurisée. L'attaquant n'a besoin d'aucun identifiant : c'est du "unauthenticated remote code execution" (RCE) dans le jargon.
Qui est affecté ? Toute TPE utilisant Exchange on-premises (serveur Exchange physique chez vous ou chez un prestataire). Si vous utilisez Outlook 365 (cloud de Microsoft), vous êtes protégé automatiquement.
Le risque concrètement : Un client d'Ardèche que j'assiste a un serveur Exchange 2016. Sans patch, n'importe quel cybercriminel aurait pu accéder à 10 ans d'emails de facturation, contrats clients, données RH. Évaluez ça à votre chiffre d'affaires.
Action immédiate : Vérifier si vous utilisez Exchange on-premises. Si oui, appliquer le patch Microsoft publié le 20 mai 2026 dans les 48 heures.
Cybermalveillance.gouv.fr a signalé une campagne de phishing orchestrée depuis la semaine du 19 mai. Les emails imitent parfaitement le design de France Défi, de la DGFIP ou des chambres de commerce. Le message prétexte : "Subvention COVID résiduelles à réclamer avant fin mai" ou "Mise à jour obligatoire de votre dossier fiscal".
Ces emails contiennent un lien ou une pièce jointe. Le lien redirige vers un faux formulaire où vous entrez vos identifiants bancaires, login équipe dirigeant, etc. La pièce jointe (document Word avec macros ou fichier RAR) déploie un infostealer qui vole vos codes d'accès existants (messagerie, comptabilité, ERP).
Originalité de cette vague : Les attaquants ciblent spécifiquement les gérants de TPE/PME qui reçoivent effectivement des courriers administratifs. Ils ont segmenté les listes avec numéros SIRET, noms d'entreprises réelles. Ce n'est pas du spam : c'est du spear-phishing.
Cas réel en Drôme : Un serrurier de Valence a cliqué sur un lien identique. L'attaquant a récupéré son mot de passe Gmail, puis ses identifiants bancaires sauvegardés dans le navigateur. Facture : 8 000€ virés, et 4 jours de blocage des systèmes. Ça aurait pu être évité avec une authentification multi-facteurs et une formation.
Signes d'alerte : Email avec urgence factice, adresse expéditeur légèrement décalée (exemple : "subvention-dgfip.org" au lieu de "dgfip.gouv.fr"), demande d'identifiants inhabituels, lien qui ne mène pas au site officiel.
Les gangs cybercriminels qui animaient LockBit se sont fragmentés depuis les arrestations de l'an dernier. Une nouvelle variante du code (baptisée LB-Evolution par les analystes) circule depuis début mai. Elle cible surtout les PME du secteur manufacturier, logistique et services professionnels.
Comment ça fonctionne : Un email d'apparence légitime (supposé devis, facture, ou notification de livraison) contient une macro Excel innocente. Quand la victime ouvre et active les macros, un script de reconnaissance s'exécute en silence : énumération des fichiers critiques, détection des backups, vérification des permissions administrateur. Puis, plusieurs jours après, quand les attaquants ont bien cartographié le système, le ransomware verrouille tout.
LB-Evolution ajoute une couche sophistiquée : avant de chiffrer, il exfilttre les données et menace la TPE en ligne (double extorsion). Si le paiement n'arrive pas en 72h, les données sont mises aux enchères ou publiées.
Montant typique des rançons : 15 000€ à 150 000€ selon la taille et secteur. Statistiquement, 60% des TPE paient car elles ne peuvent pas se permettre d'être arrêtées plusieurs jours.
Pourquoi les TPE ? Pas de SOC (Security Operations Center), souvent pas de backup déconnecté, assurances cyber insuffisantes, formation limitée des collaborateurs.
Une faille dans OpenSSL 3.1.x (CVE-2026-2842 par exemple, basé sur les vecteurs connus) a été découverte. Elle ne donne pas un accès direct, mais elle fragilise le chiffrement TLS utilisé par pratiquement tous les serveurs web et API.
L'impact réel dépend de votre infrastructure :
Ce n'est pas urgent cette semaine, mais à ajouter au planning de maintenance mensuel.
Je termine un audit de sécurité chez une PME de Valence (secteur BTP, ~25 salariés). Trois mois sans mettre à jour Windows Server, zéro authentification multi-facteurs sur le domaine, des fichiers partagés sur un NAS sans sauvegarde externe. Si LockBit les ciblait cette semaine, ils seraient paralysés en 2 heures.
Parallèlement, j'assiste une boulangerie artisanale à Ardèche. Petite structure (4 salariés), mais présence e-commerce importante. Après ma recommandation, ils ont activé l'authentification multi-facteurs sur Gmail et leur caisse enregistreuse connectée. Le gérant a envoyé une formation courte sur le phishing à toute l'équipe (15 minutes). Résultat : zéro incident en 6 mois, alors que deux concurrents locaux ont subi des tentatives d'arnaques aux faux virements.
Ce que j'observe : 99% des TPE n'ont pas de "plan B". Pas de backup externe testée, pas de plan de continuité, pas de procédure de crise. Celles qui s'en sortent le mieux ? Celles qui traitent la sécurité comme un processus continu (updates mensuelles, test de restauration de backup) et non comme un problème qu'on résout quand ça explose.
Oui. Les attaquants utilisent des outils automatisés qui scannent des millions d'adresses IP / domaines. Quand ils trouvent une infrastructure vulnérable, peu importe votre taille : si c'est facile, ils attaquent. Vous êtes une cible "par convenience", pas une cible "personnelle". D'où l'importance des basiques : patch, backup, MFA.
Selon un rapport ANSSI/Cybermalveillance 2025 : en moyenne 12 000€ à 45 000€ en frais directs (récupération de données, rançon, perte de CA). Sans compter la réputation. Une bonne assurance cyber + les basiques de sécurité coûtent environ 50-100€/mois. Le ROI est évident.
Pas forcément. Pour une TPE de 5-10 salariés, un prestataire IT externe (comme moi à Valence) coûte moins qu'un salarié et offre une meilleure flexibilité. L'important : avoir quelqu'un qui supervise les updates, backups et policies. Pas personne = vulnérabilité croissante.
Honnêtement ? Vous ne serez probablement pas attaqué cette semaine. Mais vous montez le risque semaine après semaine. C'est comme ne pas fermer sa porte : 99 jours ça peut aller, le 100e quelqu'un rentre. Ce checklist = c'est fermer votre porte.
Je suis basé à Valence et j'interviens en Drôme et Ardèche. Je propose des audits personnalisés, de la formation à la sécurité et un suivi régulier.
Contactez-moi pour une consultation gratuite