Blog

Les analyses CVE (Common Vulnerabilities and Exposures) sont essentielles à la sécurisation de vos applications logicielles. Cependant, avec la complexité croissante des piles logicielles, identifier et traiter tous les CVE peut s'avérer difficile. L'un des plus gros problèmes des analyses CVE aujourd'hui est la prévalence des faux positifs, où une vulnérabilité est identifiée dans un package qui n'est pas [...]

En mars 2023, la Maison Blanche a publié une nouvelle stratégie nationale de cybersécurité. La stratégie présente une liste de 5 piliers que la Maison Blanche considère comme essentiels pour améliorer la cybersécurité pour tous les Américains, tant dans le secteur public que privé. Le troisième pilier concerne la volonté de façonner les forces du marché pour améliorer la sécurité et la résilience. Une partie de cela […]

En avril 2023, la CISA a publié un nouveau guide conjoint sur la sécurité des logiciels intitulé Shifting the Balance of Cybersecurity Risk : Security-by-Design and Default Principles. Le guide a été rédigé avec la coopération de 9 agences différentes, dont la NSA, l'Australian Cyber ​​Security Center (ACSC) et l'Office fédéral allemand pour la sécurité de l'information (BSI), entre autres. Le fait que […]

Le 20 mars, OpenAI a supprimé le populaire outil d'IA générative ChatGPT pendant quelques heures. Il a admis plus tard que la raison de la panne était une vulnérabilité de la chaîne d'approvisionnement logicielle provenant de la bibliothèque open source de stockage de données en mémoire « Redis ». En raison de cette vulnérabilité, il y avait une fenêtre horaire (entre 1h et 10h) […]

En avril 2023, le DHS, le CISA, le DOE et le CESER ont publié un rapport intitulé « Software Bill of Materials (SBOM) Sharing Lifecycle Report ». Le but du rapport était d'examiner les manières actuelles dont les gens partagent les SBOM ainsi que de décrire, en termes généraux, comment ce partage pourrait être amélioré, avec une plus grande sophistication pour […]

Alors que tout le monde en prend progressivement conscience, la protection de vos chaînes d'approvisionnement en logiciels devrait être un élément essentiel de la stratégie de cybersécurité de chaque organisation. L’une des principales difficultés liées à la création d’une stratégie globale visant à atténuer les menaces liées à la chaîne d’approvisionnement logicielle réside dans la complexité et la diversité des chaînes d’approvisionnement. Chaque chaîne d'approvisionnement est unique et les éléments […]

Fin mars 2023, des chercheurs en sécurité ont révélé une attaque complexe de la chaîne d'approvisionnement logicielle d'un acteur malveillant contre les logiciels de communication d'entreprise de 3CX, principalement l'application de bureau d'appels vocaux et vidéo de l'entreprise. Les chercheurs ont averti que l’application était en quelque sorte un cheval de Troie et que son utilisation pourrait exposer l’organisation à un éventuel plan d’exfiltration par un acteur malveillant. […]

Les pipelines CI/CD sont notoirement opaques quant à ce qui se passe exactement à l’intérieur. Même si c'est vous qui avez écrit le fichier de configuration YAML (la liste d'instructions du pipeline), comment pouvez-vous être sûr que tout se déroule exactement comme décrit ? Pire encore, la plupart des pipelines sont complètement éphémères, donc même si quelque chose de grave se produit, il n'y a pas de […]

OpenSSL est une bibliothèque de logiciels open source largement utilisée pour mettre en œuvre des communications sécurisées sur des réseaux informatiques. Dans quelle mesure est-il largement utilisé ? Eh bien, il est probable que si vous avez déjà accédé à une page Web HTTPS, vous l'avez fait via un cryptage OpenSSL. La bibliothèque fournit des fonctions et des protocoles cryptographiques pour le cryptage, le déchiffrement, l'authentification et la vérification des signatures numériques. OpenSSL peut être […]

Les cyberattaques réussies contre les produits matériels et logiciels deviennent extrêmement fréquentes. Selon Cybersecurity Ventures, la cybercriminalité a coûté au monde environ 7 2022 milliards de dollars en XNUMX. Avec un prix aussi élevé, il n’est pas étonnant que les entreprises et les gouvernements en prennent conscience. Les États-Unis ont ouvert la voie avec le décret présidentiel […]