DevSecOps
-
Guide
07 oct. 2024
Les premiers effets de l’AI Act : guide pratique pour s’adapter
Ce guide essentiel retrace la survenue de l’AI Act, en détaille les premières mesures et évoque ses premières conséquences, tout en recensant les conseils de base à sa mise en place. Lire la suite
-
Conseil
26 août 2024
Comment et pourquoi créer une nomenclature AIBOM
Les AIBOM aident les développeurs et les équipes de sécurité en fournissant une vue détaillée des composants du système d’IA, améliorant ainsi la sécurité de la chaîne d’approvisionnement et la conformité. Ce guide vous introduit à cette pratique. Lire la suite
- Information sécurité 30 : Là où commencent les cyberattaques –eZine
- Les bases de l'administration des serveurs Linux –eBook
- 3 étapes pour gérer les dépenses et les risques technologiques –eBook
-
Dans ce numéro:
- Chakib Gzenayi : « L’EASM est important, mais le renseignement est plus important que tout »
- Michelin face à la problématique de gestion de la surface d’attaque exposée
- « MFA : la sensibilisation des collaborateurs est nécessaire » (Antoine Coutant, Synetis)
-
Actualités
16 août 2024
Copilot Autofix : GitHub veut remédier aux vulnérabilités grâce à l’IA générative
Selon GitHub, Copilot Autofix a permis de réduire le temps médian de correction des vulnérabilités, lors des tests bêta, qui est passé de 90 minutes pour les corrections manuelles, à 28 minutes avec l’outil s’appuyant sur la GenAI. Lire la suite
par- Rob Wright, Associate Editorial Director
- Gaétan Raoul, LeMagIT
-
Actualités
13 août 2024
Sage : les premiers utilisateurs mettent à l’épreuve les agents d’IA de Sysdig
Les agents d’IA de Sysdig Sage s’appuient sur un « raisonnement à plusieurs étapes ». Ce mécanisme s’avère plus sophistiqué que les systèmes d’IA générative génériques. Mais ils sont destinés à assister les humains, et non à les remplacer, assure l’éditeur. Lire la suite
-
Actualités
08 août 2024
Automatisation des tests : Cloudbees met la main sur Launchable
Kohsuke Kawaguchi, créateur de Jenkins, rejoint CloudBees en tant que co-PDG de Launchable, pour endiguer la vague de code généré par l’IA grâce à l’optimisation des tests pilotée par l’IA. Lire la suite
-
Actualités
24 juil. 2024
Datadog serait prêt à acquérir GitLab : la prudence règne chez les clients
Selon les informations de Reuters, Datadog serait un prétendant pour acquérir GitLab. Tandis que les clients pèsent le pour et le contre d’une telle fusion, des experts IT s’interrogent sur sa faisabilité. Lire la suite
-
Actualités
16 juil. 2024
Sécurité cloud : Alphabet négocie une acquisition à 23 milliards de dollars
Selon le Wall Street Journal, Alphabet, la maison mère de Google, serait en train de négocier le rachat de la jeune pousse israélienne Wiz, spécialisée dans la sécurité du cloud, pour un montant doublant sa valorisation. Lire la suite
-
Actualités
05 juil. 2024
Les développeurs français, ces adeptes de la GenAI et du DevSecOps (étude GitLab)
Dans un rapport consacré aux pratiques DevSecOps, GitLab observe que les entreprises adoptent massivement l’IA générative dans leur cycle de développement. Environ 48 % des personnes interrogées en France l’utiliseraient déjà la technologie. Ils seraient tout autant à déployer une plateforme DevSecOps. Lire la suite
-
Actualités
02 juil. 2024
Après l’observabilité, Datadog s’attaque au marché de l’automatisation IT
Lors de sa conférence DASH 2024 la semaine dernière, Datadog a consacré plus d’une douzaine de ses annonces à l’automatisation des processus d’enquêtes et de remédiations après incident IT. L’éditeur sort ainsi de son pré carré de l’observabilité et marche sur les plates-bandes d’acteurs comme Atlassian, PagerDuty et d’autres. Lire la suite
-
Opinion
01 juil. 2024
Le PDG de New Relic définit une stratégie d’observabilité pour l’ère de l’IA
L’ancien PDG de Proofpoint établit un programme axé sur l’IA, notamment un partenariat avec Nvidia lancé cette semaine, tout en démentant les rumeurs de licenciement et les spéculations sur une fusion avec Sumo Logic. Lire la suite
-
Actualités
28 juin 2024
Attaques par rebond via le service Polyfill.io
En février, une société chinoise du nom de Funnull a acheté le domaine Polyfill.io, ce qui a suscité l’inquiétude de la communauté de l’informatique quant aux menaces pesant sur la chaîne logistique du logiciel. Lire la suite
par- Valéry Rieß-Marchive, Rédacteur en chef
- Arielle Waldman, News Writer
-
Actualités
31 mai 2024
DevSecOps : GitHub et JFrog rapprochent leurs outils
JFrog et GitHub, filiale de Microsoft, ont annoncé une série d’intégrations ciblées qui offrent une meilleure visibilité sur la chaîne d’approvisionnement logicielle alors que les entreprises cherchent à consolider et à sécuriser leur écosystème de développement. Lire la suite
-
Projet IT
27 mai 2024
Chanel met ses développeurs au parfum DevSecOps
Chanel développe ses propres applications en interne. Depuis 4 ans, la prestigieuse Maison veut en chasser les vulnérabilités et diffuse progressivement la culture DevSecOps auprès de ses développeurs. Lire la suite
-
Actualités
30 avr. 2024
GenAI et DevOps : GitLab veut convaincre les clients les plus exigeants
Ce mois-ci, GitLab a annoncé la disponibilité générale de Duo Chat, l’occasion de partager ses intentions concernant son assistant d’IA à infuser au cœur du cycle de développement logiciel. L’éditeur a le défi de convaincre des clients plus à cheval sur les notions de confidentialité et de sécurité que ses concurrents. Lire la suite
-
Actualités
22 avr. 2024
IaC : la bêta d’OpenTofu 1.7 provoque l’ire d’HashiCorp
Défiant la lettre de cessation et de désistement envoyée par HashiCorp, OpenTofu 1.7 bêta est livré avec la fonctionnalité de blocs retirés et le support du chiffrement des états côté client, réclamé depuis longtemps par la communauté Terraform. Lire la suite
-
Actualités
19 avr. 2024
Recrudescence d’attaques d’ingénierie sociale contre des projets Open Source
À la suite de la récente alerte concernant XZ Utils, les responsables d’un autre projet open source se sont manifestés pour dire qu’ils avaient peut-être été victimes d’attaques similaires d’ingénierie sociale. Lire la suite
-
Actualités
17 avr. 2024
Attaque contre les outils de la chaîne logistique logicielle dans GitHub
Checkmarx invite les développeurs à faire preuve de prudence lorsqu’ils choisissent les référentiels à utiliser, car les pirates manipulent les fonctionnalités de GitHub dans la chaîne logistique logicielle pour renforcer leurs codes malveillants. Lire la suite
-
Actualités
19 févr. 2024
Eclypsium : Le firmware d’Ivanti présente une « pléthore » de problèmes de sécurité
Dans son analyse des microprogrammes, Eclypsium a constaté que l’appliance Ivanti Pulse Secure utilisait une version de Linux vieille de plus de dix ans et dont la fin de vie était dépassée depuis plusieurs années. Lire la suite
-
Conseil
31 janv. 2024
MLSecOps : les bonnes pratiques pour sécuriser l’IA
Si le terme apparaît comme une énième déclinaison marketing, le suivi des meilleures pratiques MLSecOps doit permettre aux entreprises de déployer l’IA et le machine learning sans ajouter de problèmes de sécurité irrémédiables, malgré l’inévitable élargissement de la surface d’attaque. Lire la suite
-
Actualités
31 janv. 2024
Défié sur la détection de secrets, GitGuardian diversifie son offre
Malgré l’intégration des outils de détection de secrets dans les plateformes DevOps GitHub et GitLab, GitGuardian croit avoir quelques cartes à jouer pour exister sur le marché de l’AppSec. Lire la suite
-
Conseil
09 janv. 2024
Comment établir les bases d’une politique de sécurité open source
L’utilisation de logiciels open source soulève des questions en matière de sécurité et de propriété intellectuelle. Voici comment prendre des décisions judicieuses et éviter des situations potentiellement regrettables. Lire la suite
-
Projet IT
20 déc. 2023
Les API de Mon Espace Santé sous haute surveillance
En janvier 2022, la CNAM et la Direction de la Sécurité Sociale lançaient Mon Espace Santé, une déclinaison grand public du DMP, le Dossier Médical Partagé. Un service Web nécessairement sous haute surveillance, tant les données sont critiques. Lire la suite
-
Actualités
13 nov. 2023
GitHub affine son offre en direction des entreprises
Bien décidé à renforcer son empreinte auprès des grands comptes, GitHub a présenté des mesures prises en vue d’améliorer la gouvernance et la sécurité de sa plateforme DevOps. La filiale de Microsoft tente par ailleurs d’attirer les entreprises vers ses offres cloud managées. Lire la suite
-
Actualités
31 oct. 2023
DevOps : GitLab étend sa stratégie de la plateforme unique
Bien moins visible que son concurrent GitHub, GitLab poursuit son ambition de fournir une plateforme DevSecOps la plus complète possible afin de prendre des clients à son principal adversaire, mais aussi – pourquoi pas – aux autres acteurs du marché, dont Jira, Snyk ou Datadog. Lire la suite
-
Guide
17 oct. 2023
Guide Infrastructure-as-Code : ce qu’il faut savoir sur HashiCorp (Terraform)
Solution d’IaC la plus téléchargée avec Ansible de Red Hat, Terraform sort de l’Open source – et des versions gratuites – à l’été 2023. Depuis, son éditeur HashiCorp s’efforce de proposer des outils mieux taillés pour l’entreprise. Ce guide explique pourquoi, comment. Lire la suite
-
Actualités
13 oct. 2023
HashiConf 2023 : éviter les failles malgré les strates du cloud
Lors de sa conférence à San Francisco, l’éditeur HashiCorp a déroulé les nouvelles fonctions de ses logiciels de sécurité, censées garantir que les clés servant à passer de service en service ne tombent pas dans de mauvaises mains. Lire la suite
-
Actualités
14 sept. 2023
DevSecOps : CloudBees lance sa plateforme SaaS
Pour tenter de séduire les organisations habituées à GitHub et GitHub Actions, CloudBees s’inspire de la filiale de Microsoft afin de convaincre une plus large audience d’adopter sa plateforme SaaS. Lire la suite
-
Actualités
05 sept. 2023
CNAPP : Datadog consolide les vulnérabilités et les alertes
Avec son tableau de bord Security Inbox, Datadog consolide les données de vulnérabilités applicatives, les informations sur les menaces et les identités à risques répertoriées dans l’IAM et liées à une infrastructure cloud. L’éditeur entend mieux concurrencer Lacework, Palo Alto ou encore Orca Security. Lire la suite
-
Actualités
01 sept. 2023
Les APIs, des opportunités pour les entreprises comme pour les attaquants
Les API facilitent le développement, mais peuvent être exploitées. Pour prévenir les risques, utilisez des passerelles, une approche sans confiance, une politique de moindre privilège, et gérez les API rigoureusement. Lire la suite
-
Actualités
31 août 2023
La bonne santé de Jenkins ne cache pas des enjeux de sécurité
L’usage croissant du serveur d’automatisation des pipelines CI/CD entraîne des défis importants pour la communauté et les éditeurs en matière de sécurité. Il semble toutefois protégé des changements de licences qui affectent les utilisateurs de CentOS et de Terraform. Lire la suite
-
E-Zine
31 août 2023
Information sécurité 27 – API : les sécuriser pour garantir fiabilité et disponibilité
Le succès des API dans le développement applicatif n’est pas à démontrer. Mais celles-ci sont aussi source d’opportunités pour des acteurs malveillants. Au menu de ce magazine : bien gérer ses API, se protéger des Shadow API, passerelles API et démarche zero trust, corriger les 5 principales vulnérabilités des API, ainsi qu’un témoignage de Decathlon. Lire la suite
-
Conseil
21 août 2023
Automatisation du cycle DevOps : comment garder le contrôle
Les équipes IT automatisent de plus en plus les processus DevOps afin d’accélérer et d’améliorer la livraison applicative. Toutefois, il est essentiel de trouver un juste équilibre entre automatisation et supervision humaine pour en récolter les fruits. Lire la suite
-
Actualités
02 août 2023
Cloud public et services financiers : la FINOS imagine une « pierre de Rosette » réglementaire
Au sein de la FINOS, Citi lance le projet de norme ouverte Common Cloud Controls. La fondation entend standardiser des contrôles de conformité, de cybersécurité et de résilience pour l’ensemble des clouds. Il s’agit d’appliquer concrètement les nouvelles réglementations concernant les environnements IT des services financiers et d’éviter si possible les effets néfastes de la concentration du marché. Lire la suite
-
Actualités
18 juil. 2023
Microsoft continue d'enquêter sur la clé MSA volée lors d'attaques par email
Microsoft a fourni des détails additionnels sur l'attaque et les techniques utilisées par Storm-0558. Mais la manière dont la clé de signature du compte Microsoft a été acquise reste inconnue. Lire la suite
-
Actualités
15 juin 2023
DevSecOps : AWS tente de faire bouger les lignes avec CodeGuru Security
Un nouveau service DevSecOps d’AWS élargit les intégrations tierces pour son outil existant d’analyse de sécurité piloté par l’IA, ouvrant la voie à une concurrence accrue avec Microsoft Copilot et les partenaires SAST d’AWS. Lire la suite
-
Actualités
15 juin 2023
AWS : un serveur de rebond managé pour administrer ses instances EC2
Lors de la conférence re:Inforce 2023, AWS a lancé un nouveau service qui permet aux clients de se connecter à leurs instances EC2 via des connexions SSH et RDP sans avoir besoin d’une adresse IP publique. Lire la suite
-
Actualités
08 juin 2023
Atlassian pousse Jira dans le grand bain du DevSecOps
Les données de gestion des vulnérabilités des partenaires d’Atlassian font surface dans un nouvel onglet Security in Jira pour ses clients cloud, ouvrant la voie à une éventuelle expédition de l’éditeur sur le marché DevSecOps. Lire la suite
-
Actualités
24 avr. 2023
Veracode Fix : Veracode se lance dans la course à la remédiation « intelligente »
La semaine dernière, le spécialiste de la sécurité applicative a annoncé la préversion limitée de Veracode Fix, une extension payante à sa suite Veracode Static Analysis. L’outil, propulsé à l’IA et directement accessible depuis un IDE du marché, doit suggérer des moyens de remédier des vulnérabilités connues. Lire la suite
-
Conseil
17 avr. 2023
Comment détecter et contrôler la prolifération des Shadow API
Maintenant que l’infiltration via les API est devenue une méthode privilégiée par les pirates, les équipes IT doivent prendre des mesures supplémentaires pour se protéger des Shadow API. Lire la suite
-
Projet IT
12 avr. 2023
Comment e-TF1 a préparé la diffusion en ligne de la Coupe du monde 2022
Les footballeurs ne sont pas les seuls à devoir s’entraîner en amont d’une Coupe du monde. Les équipes d’e-TF1 ont pu en faire la preuve en amont et pendant le Mondial 2022. Lire la suite
-
Actualités
30 mars 2023
Communications unifiées : attaque sur la chaîne logistique du logiciel de 3CX
Les utilisateurs des clients lourds de 3CX sont menacés par une cyberattaque sur sa chaîne d’approvisionnement logiciel attribuée à la Corée du Nord. Elle implique le vol de données de navigateur Web. Lire la suite
-
Actualités
13 mars 2023
2FA : GitHub déroule son plan sans éviter les concessions
GitHub a ajouté la prise en charge des SMS et de nouvelles fonctionnalités de prévention du verrouillage des comptes à ses plans de déploiement progressif, alors qu’il met en œuvre une exigence 2FA pour les contributeurs à partir de ce lundi. Lire la suite
-
Actualités
02 mars 2023
GitHub chasse gratuitement les secrets dans les dépôts publics
GitHub a annoncé la disponibilité générale d’un système gratuit de détection de secrets dans les dépôts publics. Une étape de plus pour tenter de sécuriser les projets open source. Lire la suite
-
Projet IT
02 mars 2023
Decathlon allie PenTesting et Bug Bounty pour blinder ses applications
Marque extrêmement visible dans le monde, Decathlon a pris le virage du digital depuis quelques années. Pour s’assurer du niveau de sécurité de ses sites et de ses applications, l’enseigne a fait le choix de compléter les tests d’intrusion « classiques » avec des campagnes de Bug Bounty. Deux approches très complémentaires. Lire la suite
-
Conseil
17 févr. 2023
Gestion des API : le difficile équilibre entre fiabilité et sécurité
Une fois l’API déployée, il appartient à son développeur d’en assurer la mise à jour et la sécurité. Un véritable défi quand les applications d’entreprise dépendent de plus en plus de ces interfaces. Lire la suite
par- Cliff Saran, TechTarget - ComputerWeekly
- Adrian Bridgwater
-
Actualités
16 déc. 2022
Dépendances open source : Google veut automatiser les scans de vulnérabilités
L’équipe de sécurité commence par proposer OSV-Scanner, un outil open de scan de vulnérabilités s’appuyant sur sa base de données OSV. Il est d’ores et déjà utilisé par l’OpenSSF. Lire la suite
-
Actualités
03 nov. 2022
Sécurité du Cloud : Datadog se met à la remédiation
Datadog a récemment annoncé la disponibilité générale de Cloud Security Management et a enrichi Application Security Management. De la supervision, l’éditeur passe à la remédiation et se lance sur le marché des CNAPP. Lire la suite
-
Actualités
11 oct. 2022
Sécurité applicative : Pradeo s’est offert Yagaan
L’éditeur français, spécialiste de la sécurité des flottes et des applications mobiles, a récemment fait l’acquisition de Yagaan, jeune pousse spécialisée dans l’audit de code source. Lire la suite
-
Actualités
28 sept. 2022
GitGuardian fait la chasse aux secrets dans les dépôts de code
Le Français GitGuardian s’est fait une place sur le marché de la détection de secrets dans le code source et compte élargir son expertise à d’autres vulnérabilités. Lire la suite
-
Projet IT
09 sept. 2022
Teads mise sur une sécurité « Cloud Native »
L’Adtech basée à Montpellier vient de refondre son architecture de sécurité. Celle-ci s’appuie désormais sur les différents modules de l’offre Prisma Cloud de Palo Alto Networks, une solution qui s’intègre à 100 % à l’approche DevSecOps de l’éditeur de services. Lire la suite
-
Guide
07 sept. 2022
Les clés pour comprendre Log4Shell et ses conséquences
Ce guide essentiel donne les clés pour comprendre la vulnérabilité Log4Shell et ses conséquences sur les entreprises et les projets libres. Il est un des vecteurs parmi d’autres poussant à l’adoption des pratiques DevSecOps. Lire la suite
-
Actualités
05 sept. 2022
Cybersécurité : le CNCF et la CISA se penchent sur l’adaptation du SBOM au cloud
Les discussions dans l’industrie sur la manière de surmonter les problèmes de sécurité du cloud à l’aide des SBOM incluent une initiative récente de la CNCF qui exploite une base de données orientée graphes pour gérer les métadonnées transitoires. Lire la suite
-
Conseil
01 sept. 2022
DevSecOps : les 10 métriques clés à surveiller
Connaître les indicateurs à surveiller et savoir quoi en faire est un bon point de départ pour mesurer la réussite d’un projet applicatif et renforcer sa sécurité. Lire la suite
-
Actualités
25 août 2022
Phishing de PyPI : les experts appellent à rendre obligatoire la double authentification
Une attaque par hameçonnage récemment révélée a visé les contributeurs du plus grand dépôt de code Python. En réaction, les experts du secteur ont appelé à rendre obligatoire l’authentification à deux facteurs et la signature des paquets au sein des dépôts de code open source. Lire la suite
par- Beth Pariseau, TechTarget
- Stephanie Glen, News Writer
-
Actualités
16 août 2022
Cybersécurité : AWS et Splunk veulent rationaliser le partage de données
AWS, Splunk et d’autres éditeurs vont commencer à construire des connecteurs établis sur un nouveau schéma standard destiné à rationaliser le partage des données entre les outils de cybersécurité. Lire la suite
par- Beth Pariseau, TechTarget
- Gaétan Raoul, LeMagIT
-
Actualités
02 août 2022
Snyk Cloud : Snyk officialise son offre CSPM
À l’occasion de l’événement ReInforce d’AWS, l’éditeur basé à Boston a lancé son offre Snyk Cloud. Celle-ci combine Snyk Infrastructure as code, Snyk Container et le CSPM de Fugue. Lire la suite
-
Actualités
21 juil. 2022
Microsoft lance le nébuleux Cloud for Sovereignty
Lors de son événement Inspire 2022, le géant du cloud a présenté sa solution Microsoft Cloud for Sovereignty. Une solution qui semble porter à confusion et qui ne permet pas aux clients potentiels de se départir des lois extraterritoriales américaines. Lire la suite
-
Actualités
22 juin 2022
Splunk entrevoit la convergence de l’observabilité et de la cybersécurité
Lors de la Splunk Conf. 22, Splunk a annoncé la disponibilité générale de Splunk Enterprise 9.0, avec la promesse de fédérer les données de supervision tout en baissant leur coût de rétention. Dans un même temps, les clients de Splunk Cloud accroissent leur utilisation de la plateforme à l’aune de la complexité du cloud et de la convergence des pratiques d’observabilité et de sécurité. Lire la suite
par- Gaétan Raoul, LeMagIT
- Beth Pariseau, TechTarget
-
Actualités
10 juin 2022
Qualité du code : les nouvelles ambitions de Sonar
Maintenant que Sonar a popularisé ses outils open source d’analyse de la qualité du code, l’éditeur suisse compte bien convaincre un plus large panel d’entreprises d’adopter ses solutions commerciales. Lire la suite
-
Actualités
18 mai 2022
Datadog veut creuser dans le code à la recherche de vulnérabilités
Après l’acquisition de la startup française Sqreen et l’intégration de sa technologie à sa plateforme, Datadog se prépare à racheter Hdiv Security. L’occasion pour le spécialiste de l’observabilité de superviser, voire de remédier les vulnérabilités dans le code. Lire la suite
-
Actualités
16 mai 2022
Talonné par VMware Tanzu, Red Hat OpenShift se met au DevSecOps
Alors que les entreprises s’intéressent de plus en plus aux plateformes DevOps basées sur des conteneurs, Red Hat enrichit OpenShift, tandis que VMware Tanzu veut s’emparer d’au moins une partie de la base installée de VMware vSphere. Lire la suite
-
Actualités
02 mai 2022
La sécurité de Kubernetes soumise aux risques de la supply chain logicielle
Si Kubernetes demeure relativement préservé des failles de sécurité, l’écosystème et la supply chain qui sous-tendent le déploiement de l’orchestrateur sont soumis à des risques majeurs de compromission. Lire la suite
-
Actualités
08 avr. 2022
SLM : New Relic rattrape son retard pour répondre aux besoins des SRE
Une mise à jour de New Relic cette semaine reflète le rôle crucial des SRE dans le maintien en condition opérationnelle des microservices. L’éditeur prévoit également de s’aligner sur les ambitions DevSecOps de ses concurrents. Lire la suite
par- Beth Pariseau, TechTarget
- Gaétan Raoul, LeMagIT
-
Actualités
22 mars 2022
DevSecOps : les SRE de plus en plus impliqués
Qu’il s’agisse de créer des outils automatisés pour la certification des systèmes d’exploitation ou d’explorer eBPF comme moyen de préserver la sécurité de la chaîne d’approvisionnement en production, la cybersécurité occupe une place croissante dans les emplois de SRE. Lire la suite
-
Actualités
18 mars 2022
Cybersécurité : les grandes entreprises françaises à la traîne
Personnel insuffisant, budgets hétérogènes : selon les secteurs, les grandes organisations pèchent par leur manque de sécurité. Ce n’est qu’après une attaque qu’elles prennent en charge ce problème. Lire la suite
-
Actualités
15 mars 2022
Sécurité de l’open source : bien plus qu’une histoire de financement
La vulnérabilité Log4Shell a non seulement mis sur le gril la sécurité de l’open source, mais également relancé le débat consacré à son financement, alors que les acteurs du secteur appellent de leurs vœux l’adoption du principe de responsabilité partagée. Lire la suite
-
Actualités
22 févr. 2022
Sécurité de l’open source : les pistes des fondations pour la renforcer
Face aux menaces de plus en plus pressantes sur les dépôts de code open source, les promoteurs des projets et les fondations savent qu’il faut réagir. Ils doivent d’abord faire face à un problème culturel qui touche l’ensemble de l’industrie logicielle. Lire la suite
-
Conseil
14 févr. 2022
Remédiation et SBOM : les deux enseignements de Log4j
L’événement Log4Shell a laissé une trace durable dans l’esprit des responsables IT. Il a également remis sur le devant de la scène les dispositifs pour amoindrir les conséquences d’une faille. Selon les experts du secteur, les entreprises doivent accélérer l’application des patchs et lister leurs dépendances logicielles dans un SBOM. Lire la suite
-
Conseil
26 janv. 2022
Policy as Code : les bonnes pratiques pour en tirer les bénéfices
Née de l’initiative Infrastructure as Code, l’approche Policy as Code applique ses principes fondamentaux à la gestion et à la mise en œuvre des politiques régissant l’infrastructure et les applications. Voici pourquoi – et la meilleure façon – de l’adopter. Lire la suite
-
Projet IT
19 janv. 2022
DevSecOps : une démarche essentielle pour la fintech Algoan
En tant que fintech, Algoan considère qu’elle n’a pas le choix : elle se doit d’être « irréprochable » en matière de cybersécurité. Son CTO, Fabrice Ongenae détaille les outils et les mesures mis en place dans le cadre de son approche DevSecOps. Lire la suite
-
Actualités
29 déc. 2021
En 2021, le DevSecOps a été mis à rude épreuve
Pour se protéger, maintenir une hygiène de base ne suffit plus : les experts et les analystes intiment aux équipes de développement d’adopter des pratiques de sécurité inscrites dans le triptyque DevSecOps. Oui, mais comment ? Cette question est restée sur de nombreuses lèvres en 2021. Lire la suite
-
Actualités
28 déc. 2021
DevSecOps et API : quand l’approche « Shift Left » ne suffit pas
Un éditeur de développement d’applications de banque en ligne a formé ses développeurs pour coder dans des environnements sécurisés, mais la protection des API a également nécessité un « virage à droite » pour renforcer les outils de surveillance et la formation des Ops. Lire la suite
-
Actualités
03 déc. 2021
ReInvent 2021 : AWS relance la compétition autour du DevSecOps
Les entreprises devraient bénéficier des nouvelles fonctionnalités DevSecOps d’AWS, même si elles ne les utilisent pas, car les analystes estiment qu’elles constituent un référentiel par rapport auquel les éditeurs tiers pourront se différencier. Lire la suite
-
Conseil
18 août 2021
DevSecOps : les enseignements du Département de la Défense américain
Lors de l’événement GitLab Commit 2021, deux ingénieurs d’Anchore ont partagé leur expérience autour de ce projet et les enseignements qu’ils en tirent, afin de bâtir une chaîne d’outils et des pipelines CI/CD sécurisés. Lire la suite
-
Actualités
09 août 2021
DevSecOps : les responsables IT ne veulent plus naviguer à vue
La cybersécurité ne s’améliorera pas si les régulateurs et les experts du secteur ne donnent pas de conseils plus clairs sur la manière de mettre en œuvre l’approche DevSecOps, selon les discussions qui ont eu lieu lors du GitLab Commit 2021. Lire la suite
par- Beth Pariseau, TechTarget
- Gaétan Raoul, LeMagIT
-
Conseil
19 avr. 2021
DevSecOps : les bénéfices et les risques de l’automatisation
Lors du sommet virtuel DevOps Live Paris, événement dont LeMagIT était partenaire, nous avons animé un débat consacré à la gestion des risques de sécurité grâce à l’automatisation dans une approche DevSecOps. Cinq intervenants ont partagé leurs points de vue, leurs expériences et leurs conseils quant à cette approche. Dans cet article, nous en tirons les enseignements. Lire la suite
-
Actualités
25 févr. 2021
Palo Alto reprend ses emplettes dans la sécurité des environnements cloud
L’équipementier vient d’annoncer le rachat de Bridgecrew, avec l’objectif de renforcer la sécurité des déploiements cloud au plus tôt dans leur cycle de vie. De quoi compléter les rachats antérieurs de Twistlock, PureSec, Redlock et Evident.io. Lire la suite
-
Actualités
09 févr. 2021
Cisco infuse la gestion des vulnérabilités dans AppDynamics
Un nouveau module pour la plateforme AIOps d’AppDynamics utilise les données APM pour effectuer la surveillance de la gestion des vulnérabilités et le blocage automatique des attaques, alors que le buzz autour de l’approche DevSecOps alimente les discussions sur le marché. Lire la suite
-
Projet IT
06 août 2020
Thales Alenia Space envoie ses satellites dans la galaxie SpaceOps
La joint-venture Thales Alena Space a bouleversé sa façon de faire ses appareils puis de développer ses services pour ses utilisateurs : place aux méthodes agiles, aux conteneurs, aux mises à jour mensuelles, au cloud hybride et à DevSecOps. Lire la suite
-
Conseil
19 juin 2020
Contrast Security veut protéger les applications Web tout au long de leur cycle de vie
La jeune pousse fondée en 2014 mise sur l’instrumentation en profondeur du code source pour aider les développeurs à identifier et corriger rapidement les vulnérabilités de leur applications Web. Lire la suite
-
Actualités
12 juin 2020
GitLab renforce (lui aussi) ses capacités de détection de vulnérabilités
Après l’annonce de la version 13.0 de sa plateforme CI/CD, GitLab veut encore améliorer ses fonctionnalités de détection de vulnérabilités. Pour cela, il rachète deux sociétés : PeachTech et Fuzzit. Lire la suite
-
Conseil
27 avr. 2020
Sécurité applicative : Yagaan veut fluidifier la détection de vulnérabilités dans le code
La jeune pousse française ajoute à l’analyse statique du code une couche d’apprentissage automatique supervisé pour améliorer la classification des alertes et accélérer le travail des développeurs. Lire la suite
-
Conseil
20 févr. 2020
Dix éditeurs DevOps à surveiller en 2020
Le marché DevOps est important. Il rassemble un grand nombre d’éditeurs, de la petite startup au grand groupe bien établi. Un panel d’experts nous a désigné les dix acteurs susceptibles de faire évoluer le marché en 2020. Lire la suite
-
Actualités
07 nov. 2018
Thoma Bravo, nouveau tycoon de la cybersécurité ?
Le fond d’investissement vient de racheter Veracode à Broadcom. Il chercherait en outre à faire l’acquisition de Symantec. De quoi encore étendre son portefeuille dans le domaine de la sécurité informatique. Lire la suite
-
Actualités
19 oct. 2018
CyberArk concrétise le rachat de Vaultive
L’éditeur vient d’annoncer une solution de contrôle des comptes à privilèges dans les environnements cloud, basée sur une technologie acquise au printemps. Il poursuit ainsi sa stratégie en direction des DevSecOps. Lire la suite
-
Conseil
06 sept. 2018
Prendre sa part de responsabilité dans la sécurité des applications SaaS
Difficile d’assurer la robustesse de ses applications en mode cloud ? Pour les experts, il est temps d’adopter des approches DevSecOps ainsi que de miser sur des outils et des services de sécurité tiers. Lire la suite
-
Conseil
19 févr. 2018
DevSecOps ? Une vraie révolution culturelle
Intégrer la sécurité dans ses pratiques DevOps n'est pas aussi simple que l'on pourrait bien le souhaiter. Pour Gartner, cela nécessite rien moins qu'un changement de mentalités, de processus, en plus de l'ajout de nouvelles briques technologiques. Lire la suite
-
Opinion
14 nov. 2017
DevSecOps se concentre trop sur la chaîne logistique du logiciel, Elizabeth Lawler (CyberArk)
Spécialiste de la gestion des comptes à privilèges, CyberArk s’est offert au printemps Conjur, étendant son offre à la gestion des constituants d’identité de systèmes. La cofondatrice de Conjur expique pourquoi ce point est important, au-delà de DevOps. Lire la suite
-
Actualités
13 juil. 2017
CA Technologies veut s'imposer dans les approches DevSecOps
CA Technologies digère ses récentes acquisitions afin d'enrichir son approche Moderne Software Factory. Gestion de projet agile, Security by Design et gestion des API sont les points forts d'une offre qui opère sa mutation vers le Cloud. Lire la suite
-
Actualités
10 mars 2017
Revue de presse : les brèves IT de la semaine (10 mars)
Rapprochement IBM & Salesforce : importance majeure des accords mineurs - Google et SAP se disent oui, Digora et Equinix aussi - OVH : Octave Klaba reprend les rênes - AI : Fujitsu met 6 milliards de yens pour du « Made in France » - HPE s’offre Nimble à bon prix - CA se fait une place dans le DevSecOps pour 640 millions de dollars Lire la suite
-
Actualités
07 mars 2017
CA Technologies s’offre un spécialiste de la sécurité applicative
L’éditeur rachète Veracode, l’éditeur d’une plateforme SaaS de test de la sécurité des applications capable d’intégration dans les environnements DevOps, notamment. Lire la suite
-
Conseil
29 févr. 2016
DevOps c'est bien, DevSecOps c'est beaucoup mieux
D'après David Cearley, analyste chez Gartner, les DSI ont besoin d'intégrer les équipes en charge de la sécurité à leurs équipes DevOps actuelles pour initier une démarche plus globale : le « DevSecOps ». Lire la suite