Édito

L’été des fuites de données / CVE-2025-25256 - FortiSIEM / L’IA de XBOW au sommet de HackerOne / CVE-2025-53770 & CVE-2025-53771 - SharePoint RCE

La conformité est bien souvent un sujet très clivant dans les discussions liées à la cybersécurité. Les débats s’enflamment d’autant plus vite quand s’affrontent ceux qui sont confrontés aux effets des attaques, et ceux qui auditent les contrôles. Deux extrémités du spectre des compétences avec des objectifs parfois différents, et des expériences qui forcent à confronter pratique et théorie. Les sujets clivants sont nombreux : le renouvellement fréquent des mots de passe, ou les mises à jour en sont des exemples très classiques.

Depuis fin de 2022, la vague de l’IA générative, amorcée par l’arrivée de ChatGPT, déferle sur le monde et le monde de la sécurité n’y a pas échappé. Sans surprise, les aspects offensifs ont rapidement attiré l’attention, avec en premier lieu, la manipulation des réponses d’un modèle à l’aide de prompts malveillants, pour le pousser à ignorer ses mesures de sécurité et à divulguer des données sensibles.

Au-delà des Jeux Olympiques de Paris et des nombreux exploits sportifs, l’année 2024 s’est achevée sur un autre record : plus de 40000 CVE ont été publiées, soit une hausse de près de 40% en comparaison à 2023. Si l’on est en droit de se demander si toutes ces vulnérabilités sont de qualité ou si leurs scores reflètent bien leurs impacts, une telle augmentation me pousse à m'interroger sur l’une étape clé de l’existence d’une CVE : la divulgation de vulnérabilités.