Depuis le 18 juillet 2025, une cyberattaque d’ampleur mondiale exploite une faille critique dans Microsoft SharePoint Server, identifiée sous le nom CVE-2025-53770. Cette vulnérabilité zero-day permet l’exécution de code à distance sans authentification. Plus de 85 serveurs d’organisations publiques et privées ont déjà été compromis. Cette situation rappelle à quel point il est vital pour les entreprises, même de taille moyenne, de disposer d’un accompagnement compétent en cybersécurité.
Une faille critique et activement exploitée
La faille CVE-2025-53770, surnommée « ToolShell », touche les installations SharePoint on-premise. Elle repose sur la désérialisation de données non fiables, ce qui permet à un attaquant de prendre le contrôle à distance du serveur via un simple accès réseau, sans identifiants.
Cette attaque se distingue par sa rapidité de propagation : dès la mi-juillet, des entités gouvernementales, des banques et des entreprises françaises ont été ciblées. Les cybercriminels exploitent cette brèche pour installer des web shells, voler des clés cryptographiques et maintenir un accès même après un éventuel correctif.
Les conséquences pour les entreprises françaises
Outre l’interruption d’activité, une telle intrusion entraîne une perte de données, une atteinte à la réputation et des risques de sanctions RGPD en cas de fuites d’informations personnelles. De plus, les attaques zero-day sont rarement couvertes par les assurances cyber si les mesures de prévention ne sont pas documentées ou mises en place préalablement.
Pourquoi les assurances cyber ne couvrent pas toujours ces attaques
Les assureurs sont souvent réticents à couvrir les attaques zero-day car :
- la faille est inconnue au moment de l’attaque,
- les entreprises ne fournissent pas toujours un historique technique clair,
- les contrats intègrent des clauses d’exclusion pour les failles non corrigées,
- la préparation à l’incident (audit, plans de réponse) est jugée insuffisante.
Sans accompagnement, une PME peut se retrouver seule face à un sinistre non indemnisé.
Cas client : une PME industrielle face à ToolShell
En juillet 2025, une PME industrielle basée dans le Gard, utilisatrice de SharePoint Server 2019 on-premise pour la gestion documentaire de ses projets, constate un ralentissement brutal de ses serveurs internes. Aucune alerte de son antivirus standard n’est émise.
Alertée par un comportement anormal sur le réseau, la direction informatique contacte AITEC SERVICE. L’équipe de cybersécurité découvre rapidement la présence d’un web shell installé sur le serveur SharePoint via la faille CVE-2025-53770.
Grâce à une intervention rapide :
- le serveur est isolé,
- les clés cryptographiques sont renouvelées,
- l’ensemble des journaux est analysé pour retracer l’attaque,
- un rapport complet est remis à l’assureur avec preuves de remédiation et de conformité.
Résultat : l’entreprise évite des pertes critiques et son contrat d’assurance est maintenu, prouvant l’importance d’avoir un partenaire compétent et réactif.
Les recommandations techniques urgentes
Microsoft recommande :
- d’activer AMSI (Antimalware Scan Interface) sur SharePoint,
- d’installer Microsoft Defender sur les serveurs,
- de déconnecter les serveurs SharePoint d’internet si AMSI ne peut être activé,
- d’appliquer les correctifs urgents publiés fin juillet 2025,
- de renouveler les clés MachineKey ASP.NET pour couper les accès persistants.
Mais ces actions nécessitent des compétences techniques avancées et une supervision continue.
L’accompagnement par AITEC SERVICE
Spécialiste français de l’intégration de solutions logicielles et de la sécurité informatique, AITEC SERVICE propose un accompagnement complet :
1. Audit de vulnérabilité
- Analyse de vos versions de SharePoint,
- Détection de fichiers suspects (web shells),
- Revue des journaux d’activité et de la configuration réseau.
2. Mise à jour et renforcement
- Application des derniers patchs de Microsoft,
- Activation des mécanismes de protection AMSI,
- Rotation des clés cryptographiques internes.
3. Surveillance et réaction
- Mise en place de solutions EDR (Endpoint Detection and Response),
- Rédaction d’un plan de réponse à incident adapté,
- Assistance en cas d’investigation post-incident.
4. Conseil en assurance cyber
- Aide à la constitution des preuves de prévention,
- Analyse des contrats existants et rédaction de clauses personnalisées,
- Mise en conformité RGPD et documentation des processus.
Conclusion
Cette vulnérabilité critique rappelle une fois de plus que la cybersécurité ne peut être improvisée. Une entreprise comme AITEC SERVICE, à la fois intégrateur logiciel et partenaire en sécurité informatique, vous permet d’anticiper, de prévenir et de réagir efficacement. En ces temps d’incertitude numérique, le bon partenaire est la meilleure protection.
Sources :
- Orange Cyberdefense : https://www.orangecyberdefense.com/fr/blog/cert-news/sharepoint-zero-day
- Data Security Breach : https://www.datasecuritybreach.fr/vulnerabilite-zero-day-cve-2025-53770-microsoft-google-menace-active
- ENISA : https://www.enisa.europa.eu/news/joint-statement-on-sharepoint-vulnerabilities-assessment-and-advice-on-recovery-and-mitigating-actions
- BreizhCyber : https://breizhcyber.bzh/actualites/alerte-securite-deux-failles-zero-day-activement-exploitees-sur-microsoft-sharepoint-server
- EU Vulnerability Database : https://euvd.enisa.europa.eu/vulnerability/CVE-2025-53770
