Actualités

DevSecOps

• avril 03, 2026 03 avr.'26

  Trivy, KICS, LiteLLM : TeamPCP souligne les failles de la chaîne logistique logicielle

  La compromission de Trivy initie une campagne multi-étapes de TeamPCP via le « Tag Poisoning », exposant des infrastructures critiques et imposant une révision radicale de la sécurité CI/CD.  Lire la suite

• avril 01, 2026 01 avr.'26

  Axios compromis : l’impact d’une intrusion nord-coréenne sur la chaîne logistique

  Le groupe UNC1069 a compromis le package Axios, l’une des bibliothèques JavaScript les plus répandues. Cette faille dans la chaîne logistique logicielle permet le déploiement d’un logiciel malveillant de type cheval de Troie d’accès distant (RAT) ...  Lire la suite

• mars 05, 2026 05 mars'26

  DevSecOps : Harness infuse un « pare-feu » dédié aux dépendances logicielles

  Harness rend son registre d’artefacts accessible à tous, avec une touche de sécurité qui pourrait concurrencer des acteurs établis tels que JFrog et Sonatype.  Lire la suite

• mars 02, 2026 02 mars'26

  SharePwd : un outil complet de partage sécurisé de secrets

  Jizô AI vient de lever le voile sur SharePwd, un outil conçu pour le partage sécurisé de secrets et de fichiers de taille moyenne, avec chiffrement côté client et autodestruction après consultation. L’outil doit être prochainement disponible en ...  Lire la suite

• février 11, 2026 11 févr.'26

  Détection et gestion de secrets : le Français GitGuardian lève 50 millions de dollars

  L’éditeur français spécialiste de la détection de secrets dans les dépôts Git a annoncé son troisième tour de table d’envergure. Il prévoit d’étendre sa présence commerciale et se prépare en vue de superviser les identités machines à l’ère de l’IA ...  Lire la suite

• janvier 27, 2026 27 janv.'26

  DevSecOps : les agents IA contextuels de GitLab et Harness séduisent

  Les agents IA lancés ce mois-ci par les deux éditeurs spécialistes du DevSecOps génèrent des résultats prometteurs, selon les premiers usagers. Leur spécificité ? Ils s’appuient sur le contexte des entreprises, inscrit dans les dépôts de code et les...  Lire la suite

• décembre 23, 2025 23 déc.'25

  Vols de données CB : la menace persistante des skimmers

  Ces implants logiciels font bien moins parler d’eux qu’en 2018, après la compromission du site Web de British Airways. Pour autant, la menace reste bien présente, tapie parfois longtemps avant d’être débusquée.  Lire la suite

• décembre 19, 2025 19 déc.'25

  Docker et Chainguard s’écharpent sur fond de gratuité des images de conteneurs durcies

  Docker défie Chainguard en mettant gratuitement à disposition toutes ses images de conteneurs durcies, tandis que Chainguard étend son soutien à la sécurité open source.  Lire la suite

• décembre 08, 2025 08 déc.'25

  L’exploitation de React2Shell se répand rapidement

  L’exploitation d’une vulnérabilité RCE, dans une bibliothèque open source très répandue, se propage rapidement sous l’impulsion d’acteurs de la menace soutenus par la Chine.  Lire la suite

• novembre 26, 2025 26 nov.'25

  NPM : Shai-Hulud revient pour une seconde saison

  Une nouvelle campagne de compromission de paquets NPM a été lancée ce 24 novembre. Plus de 800 paquets ont été affectés.  Lire la suite

• octobre 22, 2025 22 oct.'25

  DevSecOps : GitLab dévoile ses deux premiers agents IA spécialisés

  Cette semaine, GitLab a lancé la version 18.5 de sa plateforme. Sans surprise, le concurrent de GitHub met en valeur ses capacités d’IA agentique, en respectant sa volonté de ne pas supplanter les développeurs.  Lire la suite

• octobre 03, 2025 03 oct.'25

  Red teaming : Giskard se dote d’agents… pour tester la sécurité des agents IA

  Le spécialiste français de l’évaluation des LLM fait évoluer l’analyse des vulnérabilités disponibles depuis sa plateforme. Il présente des agents IA de red teaming capables de simuler des attaques vouées à déjouer les garde-fous des applications ...  Lire la suite

• septembre 16, 2025 16 sept.'25

  L’écosystème NPM au centre d’une attaque sur la chaîne logistique du logiciel

  Le très populaire package @ctrl/tinycolor figure parmi un lot de près de 200 packages compromis. Le code malveillant embarque un mécanisme d’autopropagation et de vol de secrets d’authentification.  Lire la suite

• septembre 10, 2025 10 sept.'25

  Zurich : ServiceNow introduit davantage de contrôles sur les flux d’IA agentique

  Sandbox, process mining, gestion des identités et protection des données… le spécialiste de l’ITSM entend renforcer la fiabilité des flux de travail agentiques.  Lire la suite

• septembre 09, 2025 09 sept.'25

  JFrog s’adapte à l’infusion de l’IA dans la chaîne de livraison logicielle

  L’éditeur DevSecOps a profité de sa conférence annuelle swamUP à Nappa en Californie pour présenter ses avancées et sa feuille de route. JFrog veut non seulement sécuriser l’usage de l’IA générative, mais également l’infuser dans sa plateforme.  Lire la suite

• août 07, 2025 07 août'25

  Gemini CLI : Google s’attaque à l’automatisation des flux GitHub Actions avec son agent IA

  La version bêta de Google Gemini CLI pour GitHub Actions commence simplement et intègre la sécurité, mais dans l’ensemble, la « lune de miel » avec les agents IA de programmation pourrait, déjà, toucher à sa fin.  Lire la suite

• mai 22, 2025 22 mai'25

  Le RSSI est-il toujours un frein à la transformation numérique ?

  Avec sa réputation de celui qui dit non, le RSSI est redouté des équipes agiles qui voient en lui un obstacle à la rapidité de déploiement des applications. Pourtant, il est possible de concilier transformation numérique et sécurité pour peu que ...  Lire la suite

• avril 23, 2025 23 avr.'25

  Les API alimentées par l'IA s'avèrent très vulnérables aux attaques

  La croissance de l'IA s'avère être une arme à double tranchant pour la sécurité des API, offrant aux défenseurs des possibilités d'améliorer leur résilience, mais aussi davantage de risques liés aux attaques alimentées par l'IA, selon un rapport.  Lire la suite

• mars 10, 2025 10 mars'25

  Cybersécurité, FinOps, IA : les entreprises d’Occitanie prennent les taureaux par les cornes

  Face aux défis IT modernes, des entreprises occitanes du numérique se sont regroupées au sein du cluster Digital 113 pour mieux mutualiser des moyens et « agir collectivement ». Une démarche locale, et inspirante, dans un contexte général incertain.  Lire la suite

• février 11, 2025 11 févr.'25

  DevSecOps, IA et API : Harness fusionne avec Traceable

  Harness intègre sa société sœur Traceable pour la sécurité des API, dont l’intérêt s’accroît à mesure que les entreprises développent des applications d’IA générative et agentique.  Lire la suite

• janvier 24, 2025 24 janv.'25

  Vol de données CB : comment détecter les skimmers

  Ces implants malveillants empoisonnent discrètement des sites Web légitimes pour dérober les données de carte bancaire de leurs clients. Des règles permettent désormais d’en faciliter la détection.  Lire la suite

• janvier 07, 2025 07 janv.'25

  SCA : Veracode rachète la technologie de Phylum

  Veracode étoffe ses capacités d’analyse de la composition logicielle en rachetant la base de données et le pare-feu de gestion de paquets de Phylum.  Lire la suite

• décembre 27, 2024 27 déc.'24

  Chaîne logistique du logiciel : Cyberhaven touché par une cyberattaque

  L’éditeur de solutions de protection des données vient d’indiquer que le compte utilisé par l’un de ses collaborateurs pour accéder au Chrome Web Store a été détourné pour publier des extensions de navigateur malveillantes.  Lire la suite

• décembre 11, 2024 11 déc.'24

  Java : Azul tâte le marché français

  Après avoir connu une croissance importante dans la région EMEA cette année, le spécialiste californien de Java tente de s’implanter sur le marché français. Il espère convaincre les grands groupes d’abandonner les services Java d’Oracle pour son ...  Lire la suite

• octobre 31, 2024 31 oct.'24

  La sécurité, l’autre priorité de GitHub

  Avec ses annonces autour de son Copilot, qu’il place partout où il le peut, GitHub laisse à penser qu’il n’a d’yeux que pour l’IA générative. Que nenni, ils continuent de renforcer ses fonctions de sécurité aussi.  Lire la suite

• octobre 30, 2024 30 oct.'24

  GitHub renforce Copilot Autofix alors que l’IA ralentit la livraison logicielle

  GitHub Copilot Autofix pourrait aider les développeurs à mieux gérer les vulnérabilités alors que le volume de code généré par l’IA submerge les processus de livraison. Mais peut-on vraiment faire confiance à l’IA pour encadrer l’IA ?  Lire la suite

• octobre 17, 2024 17 oct.'24

  HashiCorp veut gérer les secrets de bout en bout

  Lors d’HashiConf 2024, HashiCorp a dévoilé plusieurs fonctionnalités pour renforcer les capacités de HCP Vault Secrets. La mission de l’éditeur : offrir une solution de bout en bout qui couvre la génération, la suppression, la découverte et la ...  Lire la suite

• août 16, 2024 16 août'24

  Copilot Autofix : GitHub veut remédier aux vulnérabilités grâce à l’IA générative

  Selon GitHub, Copilot Autofix a permis de réduire le temps médian de correction des vulnérabilités, lors des tests bêta, qui est passé de 90 minutes pour les corrections manuelles, à 28 minutes avec l’outil s’appuyant sur la GenAI.  Lire la suite

• août 13, 2024 13 août'24

  Sage : les premiers utilisateurs mettent à l’épreuve les agents d’IA de Sysdig

  Les agents d’IA de Sysdig Sage s’appuient sur un « raisonnement à plusieurs étapes ». Ce mécanisme s’avère plus sophistiqué que les systèmes d’IA générative génériques. Mais ils sont destinés à assister les humains, et non à les remplacer, assure l’...  Lire la suite

• août 08, 2024 08 août'24

  Automatisation des tests : Cloudbees met la main sur Launchable

  Kohsuke Kawaguchi, créateur de Jenkins, rejoint CloudBees en tant que co-PDG de Launchable, pour endiguer la vague de code généré par l’IA grâce à l’optimisation des tests pilotée par l’IA.  Lire la suite

• juillet 24, 2024 24 juil.'24

  Datadog serait prêt à acquérir GitLab : la prudence règne chez les clients

  Selon les informations de Reuters, Datadog serait un prétendant pour acquérir GitLab. Tandis que les clients pèsent le pour et le contre d’une telle fusion, des experts IT s’interrogent sur sa faisabilité.  Lire la suite

• juillet 16, 2024 16 juil.'24

  Sécurité cloud : Alphabet négocie une acquisition à 23 milliards de dollars

  Selon le Wall Street Journal, Alphabet, la maison mère de Google, serait en train de négocier le rachat de la jeune pousse israélienne Wiz, spécialisée dans la sécurité du cloud, pour un montant doublant sa valorisation.  Lire la suite

• juillet 05, 2024 05 juil.'24

  Les développeurs français, ces adeptes de la GenAI et du DevSecOps (étude GitLab)

  Dans un rapport consacré aux pratiques DevSecOps, GitLab observe que les entreprises adoptent massivement l’IA générative dans leur cycle de développement. Environ 48 % des personnes interrogées en France l’utiliseraient déjà la technologie. Ils ...  Lire la suite

• juillet 02, 2024 02 juil.'24

  Après l’observabilité, Datadog s’attaque au marché de l’automatisation IT

  Lors de sa conférence DASH 2024 la semaine dernière, Datadog a consacré plus d’une douzaine de ses annonces à l’automatisation des processus d’enquêtes et de remédiations après incident IT. L’éditeur sort ainsi de son pré carré de l’observabilité et...  Lire la suite

• juin 28, 2024 28 juin'24

  Attaques par rebond via le service Polyfill.io

  En février, une société chinoise du nom de Funnull a acheté le domaine Polyfill.io, ce qui a suscité l’inquiétude de la communauté de l’informatique quant aux menaces pesant sur la chaîne logistique du logiciel.  Lire la suite

• mai 31, 2024 31 mai'24

  DevSecOps : GitHub et JFrog rapprochent leurs outils

  JFrog et GitHub, filiale de Microsoft, ont annoncé une série d’intégrations ciblées qui offrent une meilleure visibilité sur la chaîne d’approvisionnement logicielle alors que les entreprises cherchent à consolider et à sécuriser leur écosystème de ...  Lire la suite

• avril 30, 2024 30 avr.'24

  GenAI et DevOps : GitLab veut convaincre les clients les plus exigeants

  Ce mois-ci, GitLab a annoncé la disponibilité générale de Duo Chat, l’occasion de partager ses intentions concernant son assistant d’IA à infuser au cœur du cycle de développement logiciel. L’éditeur a le défi de convaincre des clients plus à cheval...  Lire la suite

• avril 22, 2024 22 avr.'24

  IaC : la bêta d’OpenTofu 1.7 provoque l’ire d’HashiCorp

  Défiant la lettre de cessation et de désistement envoyée par HashiCorp, OpenTofu 1.7 bêta est livré avec la fonctionnalité de blocs retirés et le support du chiffrement des états côté client, réclamé depuis longtemps par la communauté Terraform.  Lire la suite

• avril 19, 2024 19 avr.'24

  Recrudescence d’attaques d’ingénierie sociale contre des projets Open Source

  À la suite de la récente alerte concernant XZ Utils, les responsables d’un autre projet open source se sont manifestés pour dire qu’ils avaient peut-être été victimes d’attaques similaires d’ingénierie sociale.  Lire la suite

• avril 17, 2024 17 avr.'24

  Attaque contre les outils de la chaîne logistique logicielle dans GitHub

  Checkmarx invite les développeurs à faire preuve de prudence lorsqu’ils choisissent les référentiels à utiliser, car les pirates manipulent les fonctionnalités de GitHub dans la chaîne logistique logicielle pour renforcer leurs codes malveillants.  Lire la suite

• février 19, 2024 19 févr.'24

  Eclypsium : Le firmware d’Ivanti présente une « pléthore » de problèmes de sécurité

  Dans son analyse des microprogrammes, Eclypsium a constaté que l’appliance Ivanti Pulse Secure utilisait une version de Linux vieille de plus de dix ans et dont la fin de vie était dépassée depuis plusieurs années.  Lire la suite

• janvier 31, 2024 31 janv.'24

  Défié sur la détection de secrets, GitGuardian diversifie son offre

  Malgré l’intégration des outils de détection de secrets dans les plateformes DevOps GitHub et GitLab, GitGuardian croit avoir quelques cartes à jouer pour exister sur le marché de l’AppSec.  Lire la suite

• novembre 13, 2023 13 nov.'23

  GitHub affine son offre en direction des entreprises

  Bien décidé à renforcer son empreinte auprès des grands comptes, GitHub a présenté des mesures prises en vue d’améliorer la gouvernance et la sécurité de sa plateforme DevOps. La filiale de Microsoft tente par ailleurs d’attirer les entreprises vers...  Lire la suite

• octobre 31, 2023 31 oct.'23

  DevOps : GitLab étend sa stratégie de la plateforme unique

  Bien moins visible que son concurrent GitHub, GitLab poursuit son ambition de fournir une plateforme DevSecOps la plus complète possible afin de prendre des clients à son principal adversaire, mais aussi – pourquoi pas – aux autres acteurs du marché...  Lire la suite

• octobre 13, 2023 13 oct.'23

  HashiConf 2023 : éviter les failles malgré les strates du cloud

  Lors de sa conférence à San Francisco, l’éditeur HashiCorp a déroulé les nouvelles fonctions de ses logiciels de sécurité, censées garantir que les clés servant à passer de service en service ne tombent pas dans de mauvaises mains.  Lire la suite

• septembre 14, 2023 14 sept.'23

  DevSecOps : CloudBees lance sa plateforme SaaS

  Pour tenter de séduire les organisations habituées à GitHub et GitHub Actions, CloudBees s’inspire de la filiale de Microsoft afin de convaincre une plus large audience d’adopter sa plateforme SaaS.  Lire la suite

• septembre 05, 2023 05 sept.'23

  CNAPP : Datadog consolide les vulnérabilités et les alertes

  Avec son tableau de bord Security Inbox, Datadog consolide les données de vulnérabilités applicatives, les informations sur les menaces et les identités à risques répertoriées dans l’IAM et liées à une infrastructure cloud. L’éditeur entend mieux ...  Lire la suite

• septembre 01, 2023 01 sept.'23

  Les APIs, des opportunités pour les entreprises comme pour les attaquants

  Les API facilitent le développement, mais peuvent être exploitées. Pour prévenir les risques, utilisez des passerelles, une approche sans confiance, une politique de moindre privilège, et gérez les API rigoureusement.  Lire la suite

• août 31, 2023 31 août'23

  La bonne santé de Jenkins ne cache pas des enjeux de sécurité

  L’usage croissant du serveur d’automatisation des pipelines CI/CD entraîne des défis importants pour la communauté et les éditeurs en matière de sécurité. Il semble toutefois protégé des changements de licences qui affectent les utilisateurs de ...  Lire la suite

• août 02, 2023 02 août'23

  Cloud public et services financiers : la FINOS imagine une « pierre de Rosette » réglementaire

  Au sein de la FINOS, Citi lance le projet de norme ouverte Common Cloud Controls. La fondation entend standardiser des contrôles de conformité, de cybersécurité et de résilience pour l’ensemble des clouds. Il s’agit d’appliquer concrètement les ...  Lire la suite