Source: news.sophos.com (Ross McKerchar) — Sophos décrit un incident survenu en mars 2025 où un employé a été piégé par un e‑mail de phishing, a saisi ses identifiants sur une fausse page de connexion, permettant un contournement de MFA, et détaille comment l’attaque a été contenue par une défense de bout en bout. Un RCA (root cause analysis) externe est publié sur le Trust Center.
• Incident: un hameçonnage a conduit à la saisie d’identifiants sur une page factice, suivi d’un contournement de l’authentification multifacteur. L’acteur menaçant a tenté d’entrer dans le réseau mais a échoué 🛡️.
• Contrôles: l’approche défense en profondeur a impliqué plusieurs couches — sécurité e‑mail, MFA, Conditional Access Policy (CAP), gestion des appareils, restrictions de comptes. Certaines couches ont été contournées, mais des contrôles ultérieurs se sont déclenchés. Après l’incident, Sophos a conduit une analyse de cause racine interne, évalué chaque contrôle, et recherché des améliorations, tout en notant la montée des bypasses MFA et l’intérêt des passkeys 🔐.
• Coopération: les équipes Sophos Labs, MDR, IDR et IT interne ont collaboré, partagé informations et expertises pour éliminer la menace. Sophos prévoit d’améliorer la collecte et l’opérationnalisation de l’intelligence, en resserrant les boucles de retour internes et au sein de la communauté de sécurité.
• Culture: l’entreprise met en avant une culture sans blâme favorisant le signalement rapide. L’employé a pu notifier directement ses collègues. Les utilisateurs sont considérés comme une première ligne de défense, capables d’appuyer les alertes automatisées et d’apporter du contexte 📣.
• Conclusion: bien que le périmètre ait été franchi, la combinaison contrôles + coopération + culture a limité l’impact avant éradication. Le retour d’expérience renforce la posture pour les futures tentatives. Article de type retour d’expérience/post‑mortem visant à illustrer un processus de défense de bout en bout et à partager les enseignements.
TTPs observés:
- Hameçonnage par e‑mail conduisant à une page de connexion factice (credential harvesting)
- Contournement de MFA via cadres/services de phishing
- Tentatives d’accès au réseau, avec contournement partiel de certaines couches et blocage par CAP, gestion des appareils et restrictions de comptes
IOCs:
- Aucun indicateur technique communiqué
🔗 Source originale : https://news.sophos.com/en-us/2025/09/22/what-happens-when-a-cybersecurity-company-gets-phished/