Contenu Premium

Un an après le premier hors-série que j'ai piloté pour un HS Radio, je reviens vers vous avec ce nouveau millésime consacré à l'automobile.

Que de bouleversements en seulement douze mois ! Cette période m'a permis d'explorer encore de nouveaux défis entrepreneuriaux, riches en enseignements qu'aucun manuel ne saurait transmettre – matière à réflexion pour un futur ouvrage sur les aléas de l'entrepreneuriat…

Selon le dernier rapport de l’ENISA [ENISA_2024], une adoption généralisée du DevSecOps contribue à limiter l’impact économique des violations de données grâce à l’intégration de mesures de réduction des risques dès la conception. Pour être efficace, cette approche doit s’adapter au contexte métier et aux menaces spécifiques identifiées. Ainsi, comment l’analyse de risques et le DevSecOps s’articulent-ils pour sécuriser les produits ?

Le règlement européen DORA étant entré en vigueur le 17 janvier 2025, de nombreuses entreprises sont d’ores et déjà contraintes d’être conformes aux attentes du règlement dans le secteur de la finance et de l’assurance. Ainsi, si ces activités étaient déjà bien suivies en termes de conformité par les autorités telles que l’AMF (Autorité des Marchés Financiers) ou l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) qui délivrent les accréditations pour pouvoir travailler sur ces marchés et s’assurent du reporting obligatoire des entreprises, c’est aujourd’hui une quasi-découverte de la réalité du monde de la cybersécurité, a minima pour toutes les PME qui la composent, ainsi que pour leurs prestataires tiers. Avec une obligation de déclaration de la liste de leurs prestataires au mois d’avril 2025 et de déclaration des incidents majeurs auprès de chaque autorité référente depuis fin janvier c’est le branle-bas de combat pour de nombreux acteurs du métier. Jusqu’à présent, les responsables de conformité et les bureauticiens étaient les seuls en mesure d’accompagner ces métiers peu connus, mais il leur faut aujourd’hui de véritables professionnels de la cyber pour détricoter les attentes du règlement.

« Peut-on facilement sécuriser ses connexions RDP avec une authentification forte ? ». La réponse est oui ! Et en plus, c’est simple et ne demande pas beaucoup de ressources.

Une API non documentée permet l’identification d’utilisateurs sur les réseaux sociaux. Les données partagées par les collaborateurs sur les réseaux au sein de l’entreprise peuvent devenir à la fois une source de renseignements et une source de prévention d’actes de malveillance. Connaître sa visibilité et les maladresses de collaborateurs sur les réseaux, c’est avant tout savoir combler les angles morts de la cybermalveillance et augmenter sa résilience cyber. Combien de contrats sont évoqués sur LinkedIn sans qu’ils soient publiquement connus du grand public ? Combien de sites industriels peuvent apparaître sur Snapchat laissant entrevoir des vulnérabilités éventuelles ? Plus il y a de réseaux utilisés par des collaborateurs, plus il y a de portes ouvertes pour les acteurs de la menace.

Que vous soyez un développeur web chevronné ou un pentester expérimenté ayant audité de nombreuses applications Laravel, vous vous êtes sûrement déjà interrogé sur l'utilité réelle de l'APP_KEY présente dans le fichier de configuration .env. Plongez dans cet article pour découvrir les risques liés à la fuite de ce secret trop souvent méconnu.

La rétro-ingénierie d’échantillons malveillants est chronophage. Et si on pouvait gagner du temps en faisant faire le travail à une Intelligence Artificielle ? Puis-je siroter un café pendant qu’elle fait mon travail ? Et, à plus long terme, dois-je chercher un nouvel emploi ?

Cet article présente un aperçu des techniques de distribution de malwares via la navigation sur le Web, détaillant différentes menaces associées et illustrant l’impact de ces intrusions initiales. L’article explore ensuite des méthodologies de recherche et de suivi des infrastructures de propagation de malwares, qui permettent l’identification et la détection de nouvelles campagnes d’attaques.