DevSecOps

Conseil 25 nov. 2024
10 outils de test de la sécurité des API pour réduire les risques

Pour sécuriser correctement les API, il faut les tester tout au long de leur cycle de vie. Découvrez les 10 principaux outils de test de sécurité des API pour des tests de sécurité automatisés et continus. Lire la suite
par
- Michael Cobb
- Dave Shackleford, Voodoo Security
Conseil 25 nov. 2024
Liste de contrôle des tests de sécurité de l’API : 7 étapes clés

Les API sont un vecteur d’attaque courant pour les acteurs malveillants. Utilisez notre liste de contrôle des tests de sécurité des API et nos meilleures pratiques pour protéger votre organisation et ses données. Lire la suite
par
- Dave Shackleford, Voodoo Security
- Michael Cobb

Ressources Partenaire

Automatiser Votre Réseau Avec Red Hat –eBook
Simplifier Le Centre Opérationnel De Sécurité –eBook
Red Hat Ansible Automation Platform Le Guide Du Débutant –eBook

Télécharger Information Sécurité

Dans ce numéro:
- Magazine Information Sécurité 30 : Là où commencent les cyberattaques
- Chakib Gzenayi : « L’EASM est important, mais le renseignement est plus important que tout »
- Michelin face à la problématique de gestion de la surface d’attaque exposée
Télécharger cette édition

Projet IT 07 nov. 2024
Doctolib divise par deux ses incidents de sécurité liés aux secrets

Doctolib multiplie les applications pour les professionnels de santé. Autant d’applications qui traitent des données dont la sécurité ne tolère aucune approximation, tout particulièrement dans la gestion des secrets par les développeurs. Lire la suite
par
- Alain Clapaud
Actualités 31 oct. 2024
La sécurité, l’autre priorité de GitHub

Avec ses annonces autour de son Copilot, qu’il place partout où il le peut, GitHub laisse à penser qu’il n’a d’yeux que pour l’IA générative. Que nenni, ils continuent de renforcer ses fonctions de sécurité aussi. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 30 oct. 2024
GitHub renforce Copilot Autofix alors que l’IA ralentit la livraison logicielle

GitHub Copilot Autofix pourrait aider les développeurs à mieux gérer les vulnérabilités alors que le volume de code généré par l’IA submerge les processus de livraison. Mais peut-on vraiment faire confiance à l’IA pour encadrer l’IA ? Lire la suite
par
- Beth Pariseau, TechTarget
Actualités 17 oct. 2024
HashiCorp veut gérer les secrets de bout en bout

Lors d’HashiConf 2024, HashiCorp a dévoilé plusieurs fonctionnalités pour renforcer les capacités de HCP Vault Secrets. La mission de l’éditeur : offrir une solution de bout en bout qui couvre la génération, la suppression, la découverte et la remédiation de secrets. Lire la suite
par
- Gaétan Raoul, LeMagIT
Guide 07 oct. 2024
Les premiers effets de l’AI Act : guide pratique pour s’adapter

Ce guide essentiel retrace la survenue de l’AI Act, en détaille les premières mesures et évoque ses premières conséquences, tout en recensant les conseils de base à sa mise en place. Lire la suite
par
- Gaétan Raoul, LeMagIT
Conseil 26 août 2024
Comment et pourquoi créer une nomenclature AIBOM

Les AIBOM aident les développeurs et les équipes de sécurité en fournissant une vue détaillée des composants du système d’IA, améliorant ainsi la sécurité de la chaîne d’approvisionnement et la conformité. Ce guide vous introduit à cette pratique. Lire la suite
par
- Nihad Hassan
Actualités 16 août 2024
Copilot Autofix : GitHub veut remédier aux vulnérabilités grâce à l’IA générative

Selon GitHub, Copilot Autofix a permis de réduire le temps médian de correction des vulnérabilités, lors des tests bêta, qui est passé de 90 minutes pour les corrections manuelles, à 28 minutes avec l’outil s’appuyant sur la GenAI. Lire la suite
par
- Rob Wright, Associate Editorial Director
- Gaétan Raoul, LeMagIT
Actualités 13 août 2024
Sage : les premiers utilisateurs mettent à l’épreuve les agents d’IA de Sysdig

Les agents d’IA de Sysdig Sage s’appuient sur un « raisonnement à plusieurs étapes ». Ce mécanisme s’avère plus sophistiqué que les systèmes d’IA générative génériques. Mais ils sont destinés à assister les humains, et non à les remplacer, assure l’éditeur. Lire la suite
par
- Beth Pariseau, TechTarget
Actualités 08 août 2024
Automatisation des tests : Cloudbees met la main sur Launchable

Kohsuke Kawaguchi, créateur de Jenkins, rejoint CloudBees en tant que co-PDG de Launchable, pour endiguer la vague de code généré par l’IA grâce à l’optimisation des tests pilotée par l’IA. Lire la suite
par
- Beth Pariseau, TechTarget
Actualités 24 juil. 2024
Datadog serait prêt à acquérir GitLab : la prudence règne chez les clients

Selon les informations de Reuters, Datadog serait un prétendant pour acquérir GitLab. Tandis que les clients pèsent le pour et le contre d’une telle fusion, des experts IT s’interrogent sur sa faisabilité. Lire la suite
par
- Beth Pariseau, TechTarget
Actualités 16 juil. 2024
Sécurité cloud : Alphabet négocie une acquisition à 23 milliards de dollars

Selon le Wall Street Journal, Alphabet, la maison mère de Google, serait en train de négocier le rachat de la jeune pousse israélienne Wiz, spécialisée dans la sécurité du cloud, pour un montant doublant sa valorisation. Lire la suite
par
- Valéry Rieß-Marchive, Rédacteur en chef
Actualités 05 juil. 2024
Les développeurs français, ces adeptes de la GenAI et du DevSecOps (étude GitLab)

Dans un rapport consacré aux pratiques DevSecOps, GitLab observe que les entreprises adoptent massivement l’IA générative dans leur cycle de développement. Environ 48 % des personnes interrogées en France l’utiliseraient déjà la technologie. Ils seraient tout autant à déployer une plateforme DevSecOps. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 02 juil. 2024
Après l’observabilité, Datadog s’attaque au marché de l’automatisation IT

Lors de sa conférence DASH 2024 la semaine dernière, Datadog a consacré plus d’une douzaine de ses annonces à l’automatisation des processus d’enquêtes et de remédiations après incident IT. L’éditeur sort ainsi de son pré carré de l’observabilité et marche sur les plates-bandes d’acteurs comme Atlassian, PagerDuty et d’autres. Lire la suite
par
- Beth Pariseau, TechTarget
Opinion 01 juil. 2024
Le PDG de New Relic définit une stratégie d’observabilité pour l’ère de l’IA

L’ancien PDG de Proofpoint établit un programme axé sur l’IA, notamment un partenariat avec Nvidia lancé cette semaine, tout en démentant les rumeurs de licenciement et les spéculations sur une fusion avec Sumo Logic. Lire la suite
par
- Beth Pariseau, TechTarget
Actualités 28 juin 2024
Attaques par rebond via le service Polyfill.io

En février, une société chinoise du nom de Funnull a acheté le domaine Polyfill.io, ce qui a suscité l’inquiétude de la communauté de l’informatique quant aux menaces pesant sur la chaîne logistique du logiciel. Lire la suite
par
- Valéry Rieß-Marchive, Rédacteur en chef
- Arielle Waldman, News Writer
Actualités 31 mai 2024
DevSecOps : GitHub et JFrog rapprochent leurs outils

JFrog et GitHub, filiale de Microsoft, ont annoncé une série d’intégrations ciblées qui offrent une meilleure visibilité sur la chaîne d’approvisionnement logicielle alors que les entreprises cherchent à consolider et à sécuriser leur écosystème de développement. Lire la suite
par
- Nicole Laskowski, Senior News Director
Projet IT 27 mai 2024
Chanel met ses développeurs au parfum DevSecOps

Chanel développe ses propres applications en interne. Depuis 4 ans, la prestigieuse Maison veut en chasser les vulnérabilités et diffuse progressivement la culture DevSecOps auprès de ses développeurs. Lire la suite
par
- Alain Clapaud
Actualités 30 avr. 2024
GenAI et DevOps : GitLab veut convaincre les clients les plus exigeants

Ce mois-ci, GitLab a annoncé la disponibilité générale de Duo Chat, l’occasion de partager ses intentions concernant son assistant d’IA à infuser au cœur du cycle de développement logiciel. L’éditeur a le défi de convaincre des clients plus à cheval sur les notions de confidentialité et de sécurité que ses concurrents. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 22 avr. 2024
IaC : la bêta d’OpenTofu 1.7 provoque l’ire d’HashiCorp

Défiant la lettre de cessation et de désistement envoyée par HashiCorp, OpenTofu 1.7 bêta est livré avec la fonctionnalité de blocs retirés et le support du chiffrement des états côté client, réclamé depuis longtemps par la communauté Terraform. Lire la suite
par
- Beth Pariseau, TechTarget
Actualités 19 avr. 2024
Recrudescence d’attaques d’ingénierie sociale contre des projets Open Source

À la suite de la récente alerte concernant XZ Utils, les responsables d’un autre projet open source se sont manifestés pour dire qu’ils avaient peut-être été victimes d’attaques similaires d’ingénierie sociale. Lire la suite
par
- Alex Scroxton, Journaliste Cybersécurité
Actualités 17 avr. 2024
Attaque contre les outils de la chaîne logistique logicielle dans GitHub

Checkmarx invite les développeurs à faire preuve de prudence lorsqu’ils choisissent les référentiels à utiliser, car les pirates manipulent les fonctionnalités de GitHub dans la chaîne logistique logicielle pour renforcer leurs codes malveillants. Lire la suite
par
- Arielle Waldman, News Writer
Actualités 19 févr. 2024
Eclypsium : Le firmware d’Ivanti présente une « pléthore » de problèmes de sécurité

Dans son analyse des microprogrammes, Eclypsium a constaté que l’appliance Ivanti Pulse Secure utilisait une version de Linux vieille de plus de dix ans et dont la fin de vie était dépassée depuis plusieurs années. Lire la suite
par
- Alexander Culafi, Senior News Writer
Conseil 31 janv. 2024
MLSecOps : les bonnes pratiques pour sécuriser l’IA

Si le terme apparaît comme une énième déclinaison marketing, le suivi des meilleures pratiques MLSecOps doit permettre aux entreprises de déployer l’IA et le machine learning sans ajouter de problèmes de sécurité irrémédiables, malgré l’inévitable élargissement de la surface d’attaque. Lire la suite
par
- Nihad Hassan
Actualités 31 janv. 2024
Défié sur la détection de secrets, GitGuardian diversifie son offre

Malgré l’intégration des outils de détection de secrets dans les plateformes DevOps GitHub et GitLab, GitGuardian croit avoir quelques cartes à jouer pour exister sur le marché de l’AppSec. Lire la suite
par
- Gaétan Raoul, LeMagIT
Conseil 09 janv. 2024
Comment établir les bases d’une politique de sécurité open source

L’utilisation de logiciels open source soulève des questions en matière de sécurité et de propriété intellectuelle. Voici comment prendre des décisions judicieuses et éviter des situations potentiellement regrettables. Lire la suite
par
- George Lawton
Projet IT 20 déc. 2023
Les API de Mon Espace Santé sous haute surveillance

En janvier 2022, la CNAM et la Direction de la Sécurité Sociale lançaient Mon Espace Santé, une déclinaison grand public du DMP, le Dossier Médical Partagé. Un service Web nécessairement sous haute surveillance, tant les données sont critiques. Lire la suite
par
- Alain Clapaud
Actualités 13 nov. 2023
GitHub affine son offre en direction des entreprises

Bien décidé à renforcer son empreinte auprès des grands comptes, GitHub a présenté des mesures prises en vue d’améliorer la gouvernance et la sécurité de sa plateforme DevOps. La filiale de Microsoft tente par ailleurs d’attirer les entreprises vers ses offres cloud managées. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 31 oct. 2023
DevOps : GitLab étend sa stratégie de la plateforme unique

Bien moins visible que son concurrent GitHub, GitLab poursuit son ambition de fournir une plateforme DevSecOps la plus complète possible afin de prendre des clients à son principal adversaire, mais aussi – pourquoi pas – aux autres acteurs du marché, dont Jira, Snyk ou Datadog. Lire la suite
par
- Gaétan Raoul, LeMagIT
Guide 17 oct. 2023
Guide Infrastructure-as-Code : ce qu’il faut savoir sur HashiCorp (Terraform)

Solution d’IaC la plus téléchargée avec Ansible de Red Hat, Terraform sort de l’Open source – et des versions gratuites – à l’été 2023. Depuis, son éditeur HashiCorp s’efforce de proposer des outils mieux taillés pour l’entreprise. Ce guide explique pourquoi, comment. Lire la suite
par
- Yann Serra, LeMagIT
Actualités 13 oct. 2023
HashiConf 2023 : éviter les failles malgré les strates du cloud

Lors de sa conférence à San Francisco, l’éditeur HashiCorp a déroulé les nouvelles fonctions de ses logiciels de sécurité, censées garantir que les clés servant à passer de service en service ne tombent pas dans de mauvaises mains. Lire la suite
par
- Yann Serra, LeMagIT
Actualités 14 sept. 2023
DevSecOps : CloudBees lance sa plateforme SaaS

Pour tenter de séduire les organisations habituées à GitHub et GitHub Actions, CloudBees s’inspire de la filiale de Microsoft afin de convaincre une plus large audience d’adopter sa plateforme SaaS. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 05 sept. 2023
CNAPP : Datadog consolide les vulnérabilités et les alertes

Avec son tableau de bord Security Inbox, Datadog consolide les données de vulnérabilités applicatives, les informations sur les menaces et les identités à risques répertoriées dans l’IAM et liées à une infrastructure cloud. L’éditeur entend mieux concurrencer Lacework, Palo Alto ou encore Orca Security. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 01 sept. 2023
Les APIs, des opportunités pour les entreprises comme pour les attaquants

Les API facilitent le développement, mais peuvent être exploitées. Pour prévenir les risques, utilisez des passerelles, une approche sans confiance, une politique de moindre privilège, et gérez les API rigoureusement. Lire la suite
par
- Valéry Rieß-Marchive, Rédacteur en chef
Actualités 31 août 2023
La bonne santé de Jenkins ne cache pas des enjeux de sécurité

L’usage croissant du serveur d’automatisation des pipelines CI/CD entraîne des défis importants pour la communauté et les éditeurs en matière de sécurité. Il semble toutefois protégé des changements de licences qui affectent les utilisateurs de CentOS et de Terraform. Lire la suite
par
- Gaétan Raoul, LeMagIT
E-Zine 31 août 2023

Information sécurité 27 – API : les sécuriser pour garantir fiabilité et disponibilité

Le succès des API dans le développement applicatif n’est pas à démontrer. Mais celles-ci sont aussi source d’opportunités pour des acteurs malveillants. Au menu de ce magazine : bien gérer ses API, se protéger des Shadow API, passerelles API et démarche zero trust, corriger les 5 principales vulnérabilités des API, ainsi qu’un témoignage de Decathlon. Lire la suite
Conseil 21 août 2023
Automatisation du cycle DevOps : comment garder le contrôle

Les équipes IT automatisent de plus en plus les processus DevOps afin d’accélérer et d’améliorer la livraison applicative. Toutefois, il est essentiel de trouver un juste équilibre entre automatisation et supervision humaine pour en récolter les fruits. Lire la suite
par
- Tom Nolle, Andover Intel
Actualités 02 août 2023
Cloud public et services financiers : la FINOS imagine une « pierre de Rosette » réglementaire

Au sein de la FINOS, Citi lance le projet de norme ouverte Common Cloud Controls. La fondation entend standardiser des contrôles de conformité, de cybersécurité et de résilience pour l’ensemble des clouds. Il s’agit d’appliquer concrètement les nouvelles réglementations concernant les environnements IT des services financiers et d’éviter si possible les effets néfastes de la concentration du marché. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 18 juil. 2023
Microsoft continue d'enquêter sur la clé MSA volée lors d'attaques par email

Microsoft a fourni des détails additionnels sur l'attaque et les techniques utilisées par Storm-0558. Mais la manière dont la clé de signature du compte Microsoft a été acquise reste inconnue. Lire la suite
par
- Arielle Waldman, News Writer
Actualités 15 juin 2023
DevSecOps : AWS tente de faire bouger les lignes avec CodeGuru Security

Un nouveau service DevSecOps d’AWS élargit les intégrations tierces pour son outil existant d’analyse de sécurité piloté par l’IA, ouvrant la voie à une concurrence accrue avec Microsoft Copilot et les partenaires SAST d’AWS. Lire la suite
par
- Beth Pariseau, TechTarget
Actualités 15 juin 2023
AWS : un serveur de rebond managé pour administrer ses instances EC2

Lors de la conférence re:Inforce 2023, AWS a lancé un nouveau service qui permet aux clients de se connecter à leurs instances EC2 via des connexions SSH et RDP sans avoir besoin d’une adresse IP publique. Lire la suite
par
- Rob Wright, Associate Editorial Director
Actualités 08 juin 2023
Atlassian pousse Jira dans le grand bain du DevSecOps

Les données de gestion des vulnérabilités des partenaires d’Atlassian font surface dans un nouvel onglet Security in Jira pour ses clients cloud, ouvrant la voie à une éventuelle expédition de l’éditeur sur le marché DevSecOps. Lire la suite
par
- Beth Pariseau, TechTarget
Actualités 24 avr. 2023
Veracode Fix : Veracode se lance dans la course à la remédiation « intelligente »

La semaine dernière, le spécialiste de la sécurité applicative a annoncé la préversion limitée de Veracode Fix, une extension payante à sa suite Veracode Static Analysis. L’outil, propulsé à l’IA et directement accessible depuis un IDE du marché, doit suggérer des moyens de remédier des vulnérabilités connues. Lire la suite
par
- Gaétan Raoul, LeMagIT
Conseil 17 avr. 2023
Comment détecter et contrôler la prolifération des Shadow API

Maintenant que l’infiltration via les API est devenue une méthode privilégiée par les pirates, les équipes IT doivent prendre des mesures supplémentaires pour se protéger des Shadow API. Lire la suite
par
- Twain Taylor, Twain Taylor Consulting
Projet IT 12 avr. 2023
Comment e-TF1 a préparé la diffusion en ligne de la Coupe du monde 2022

Les footballeurs ne sont pas les seuls à devoir s’entraîner en amont d’une Coupe du monde. Les équipes d’e-TF1 ont pu en faire la preuve en amont et pendant le Mondial 2022. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 30 mars 2023
Communications unifiées : attaque sur la chaîne logistique du logiciel de 3CX

Les utilisateurs des clients lourds de 3CX sont menacés par une cyberattaque sur sa chaîne d’approvisionnement logiciel attribuée à la Corée du Nord. Elle implique le vol de données de navigateur Web. Lire la suite
par
- Valéry Rieß-Marchive, Rédacteur en chef
Actualités 13 mars 2023
2FA : GitHub déroule son plan sans éviter les concessions

GitHub a ajouté la prise en charge des SMS et de nouvelles fonctionnalités de prévention du verrouillage des comptes à ses plans de déploiement progressif, alors qu’il met en œuvre une exigence 2FA pour les contributeurs à partir de ce lundi. Lire la suite
par
- Beth Pariseau, TechTarget
Actualités 02 mars 2023
GitHub chasse gratuitement les secrets dans les dépôts publics

GitHub a annoncé la disponibilité générale d’un système gratuit de détection de secrets dans les dépôts publics. Une étape de plus pour tenter de sécuriser les projets open source. Lire la suite
par
- Gaétan Raoul, LeMagIT
Projet IT 02 mars 2023
Decathlon allie PenTesting et Bug Bounty pour blinder ses applications

Marque extrêmement visible dans le monde, Decathlon a pris le virage du digital depuis quelques années. Pour s’assurer du niveau de sécurité de ses sites et de ses applications, l’enseigne a fait le choix de compléter les tests d’intrusion « classiques » avec des campagnes de Bug Bounty. Deux approches très complémentaires. Lire la suite
par
- Alain Clapaud
Conseil 17 févr. 2023
Gestion des API : le difficile équilibre entre fiabilité et sécurité

Une fois l’API déployée, il appartient à son développeur d’en assurer la mise à jour et la sécurité. Un véritable défi quand les applications d’entreprise dépendent de plus en plus de ces interfaces. Lire la suite
par
- Cliff Saran, TechTarget - ComputerWeekly
- Adrian Bridgwater
Actualités 16 déc. 2022
Dépendances open source : Google veut automatiser les scans de vulnérabilités

L’équipe de sécurité commence par proposer OSV-Scanner, un outil open de scan de vulnérabilités s’appuyant sur sa base de données OSV. Il est d’ores et déjà utilisé par l’OpenSSF. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 03 nov. 2022
Sécurité du Cloud : Datadog se met à la remédiation

Datadog a récemment annoncé la disponibilité générale de Cloud Security Management et a enrichi Application Security Management. De la supervision, l’éditeur passe à la remédiation et se lance sur le marché des CNAPP. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 11 oct. 2022
Sécurité applicative : Pradeo s’est offert Yagaan

L’éditeur français, spécialiste de la sécurité des flottes et des applications mobiles, a récemment fait l’acquisition de Yagaan, jeune pousse spécialisée dans l’audit de code source. Lire la suite
par
- Valéry Rieß-Marchive, Rédacteur en chef
Actualités 28 sept. 2022
GitGuardian fait la chasse aux secrets dans les dépôts de code

Le Français GitGuardian s’est fait une place sur le marché de la détection de secrets dans le code source et compte élargir son expertise à d’autres vulnérabilités. Lire la suite
par
- Gaétan Raoul, LeMagIT
Projet IT 09 sept. 2022
Teads mise sur une sécurité « Cloud Native »

L’Adtech basée à Montpellier vient de refondre son architecture de sécurité. Celle-ci s’appuie désormais sur les différents modules de l’offre Prisma Cloud de Palo Alto Networks, une solution qui s’intègre à 100 % à l’approche DevSecOps de l’éditeur de services. Lire la suite
par
- Alain Clapaud
Guide 07 sept. 2022
Les clés pour comprendre Log4Shell et ses conséquences

Ce guide essentiel donne les clés pour comprendre la vulnérabilité Log4Shell et ses conséquences sur les entreprises et les projets libres. Il est un des vecteurs parmi d’autres poussant à l’adoption des pratiques DevSecOps. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 05 sept. 2022
Cybersécurité : le CNCF et la CISA se penchent sur l’adaptation du SBOM au cloud

Les discussions dans l’industrie sur la manière de surmonter les problèmes de sécurité du cloud à l’aide des SBOM incluent une initiative récente de la CNCF qui exploite une base de données orientée graphes pour gérer les métadonnées transitoires. Lire la suite
par
- Beth Pariseau, TechTarget
Conseil 01 sept. 2022
DevSecOps : les 10 métriques clés à surveiller

Connaître les indicateurs à surveiller et savoir quoi en faire est un bon point de départ pour mesurer la réussite d’un projet applicatif et renforcer sa sécurité. Lire la suite
par
- Stephen J. Bigelow, Senior Technology Editor
Actualités 25 août 2022
Phishing de PyPI : les experts appellent à rendre obligatoire la double authentification

Une attaque par hameçonnage récemment révélée a visé les contributeurs du plus grand dépôt de code Python. En réaction, les experts du secteur ont appelé à rendre obligatoire l’authentification à deux facteurs et la signature des paquets au sein des dépôts de code open source. Lire la suite
par
- Beth Pariseau, TechTarget
- Stephanie Glen, News Writer
Actualités 16 août 2022
Cybersécurité : AWS et Splunk veulent rationaliser le partage de données

AWS, Splunk et d’autres éditeurs vont commencer à construire des connecteurs établis sur un nouveau schéma standard destiné à rationaliser le partage des données entre les outils de cybersécurité. Lire la suite
par
- Beth Pariseau, TechTarget
- Gaétan Raoul, LeMagIT
Actualités 02 août 2022
Snyk Cloud : Snyk officialise son offre CSPM

À l’occasion de l’événement ReInforce d’AWS, l’éditeur basé à Boston a lancé son offre Snyk Cloud. Celle-ci combine Snyk Infrastructure as code, Snyk Container et le CSPM de Fugue. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 21 juil. 2022
Microsoft lance le nébuleux Cloud for Sovereignty

Lors de son événement Inspire 2022, le géant du cloud a présenté sa solution Microsoft Cloud for Sovereignty. Une solution qui semble porter à confusion et qui ne permet pas aux clients potentiels de se départir des lois extraterritoriales américaines. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 22 juin 2022
Splunk entrevoit la convergence de l’observabilité et de la cybersécurité

Lors de la Splunk Conf. 22, Splunk a annoncé la disponibilité générale de Splunk Enterprise 9.0, avec la promesse de fédérer les données de supervision tout en baissant leur coût de rétention. Dans un même temps, les clients de Splunk Cloud accroissent leur utilisation de la plateforme à l’aune de la complexité du cloud et de la convergence des pratiques d’observabilité et de sécurité. Lire la suite
par
- Gaétan Raoul, LeMagIT
- Beth Pariseau, TechTarget
Actualités 10 juin 2022
Qualité du code : les nouvelles ambitions de Sonar

Maintenant que Sonar a popularisé ses outils open source d’analyse de la qualité du code, l’éditeur suisse compte bien convaincre un plus large panel d’entreprises d’adopter ses solutions commerciales. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 18 mai 2022
Datadog veut creuser dans le code à la recherche de vulnérabilités

Après l’acquisition de la startup française Sqreen et l’intégration de sa technologie à sa plateforme, Datadog se prépare à racheter Hdiv Security. L’occasion pour le spécialiste de l’observabilité de superviser, voire de remédier les vulnérabilités dans le code. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 16 mai 2022
Talonné par VMware Tanzu, Red Hat OpenShift se met au DevSecOps

Alors que les entreprises s’intéressent de plus en plus aux plateformes DevOps basées sur des conteneurs, Red Hat enrichit OpenShift, tandis que VMware Tanzu veut s’emparer d’au moins une partie de la base installée de VMware vSphere. Lire la suite
par
- Beth Pariseau, TechTarget
Actualités 02 mai 2022
La sécurité de Kubernetes soumise aux risques de la supply chain logicielle

Si Kubernetes demeure relativement préservé des failles de sécurité, l’écosystème et la supply chain qui sous-tendent le déploiement de l’orchestrateur sont soumis à des risques majeurs de compromission. Lire la suite
par
- Beth Pariseau, TechTarget
Actualités 08 avr. 2022
SLM : New Relic rattrape son retard pour répondre aux besoins des SRE

Une mise à jour de New Relic cette semaine reflète le rôle crucial des SRE dans le maintien en condition opérationnelle des microservices. L’éditeur prévoit également de s’aligner sur les ambitions DevSecOps de ses concurrents. Lire la suite
par
- Beth Pariseau, TechTarget
- Gaétan Raoul, LeMagIT
Actualités 22 mars 2022
DevSecOps : les SRE de plus en plus impliqués

Qu’il s’agisse de créer des outils automatisés pour la certification des systèmes d’exploitation ou d’explorer eBPF comme moyen de préserver la sécurité de la chaîne d’approvisionnement en production, la cybersécurité occupe une place croissante dans les emplois de SRE. Lire la suite
par
- Beth Pariseau, TechTarget
Actualités 18 mars 2022
Cybersécurité : les grandes entreprises françaises à la traîne

Personnel insuffisant, budgets hétérogènes : selon les secteurs, les grandes organisations pèchent par leur manque de sécurité. Ce n’est qu’après une attaque qu’elles prennent en charge ce problème. Lire la suite
par
- Pierre Berlemont
Actualités 15 mars 2022
Sécurité de l’open source : bien plus qu’une histoire de financement

La vulnérabilité Log4Shell a non seulement mis sur le gril la sécurité de l’open source, mais également relancé le débat consacré à son financement, alors que les acteurs du secteur appellent de leurs vœux l’adoption du principe de responsabilité partagée. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 22 févr. 2022
Sécurité de l’open source : les pistes des fondations pour la renforcer

Face aux menaces de plus en plus pressantes sur les dépôts de code open source, les promoteurs des projets et les fondations savent qu’il faut réagir. Ils doivent d’abord faire face à un problème culturel qui touche l’ensemble de l’industrie logicielle. Lire la suite
par
- Gaétan Raoul, LeMagIT
Conseil 14 févr. 2022
Remédiation et SBOM : les deux enseignements de Log4j

L’événement Log4Shell a laissé une trace durable dans l’esprit des responsables IT. Il a également remis sur le devant de la scène les dispositifs pour amoindrir les conséquences d’une faille. Selon les experts du secteur, les entreprises doivent accélérer l’application des patchs et lister leurs dépendances logicielles dans un SBOM. Lire la suite
par
- Gaétan Raoul, LeMagIT
Conseil 26 janv. 2022
Policy as Code : les bonnes pratiques pour en tirer les bénéfices

Née de l’initiative Infrastructure as Code, l’approche Policy as Code applique ses principes fondamentaux à la gestion et à la mise en œuvre des politiques régissant l’infrastructure et les applications. Voici pourquoi – et la meilleure façon – de l’adopter. Lire la suite
par
- Kurt Marko, MarkoInsights
Projet IT 19 janv. 2022
DevSecOps : une démarche essentielle pour la fintech Algoan

En tant que fintech, Algoan considère qu’elle n’a pas le choix : elle se doit d’être « irréprochable » en matière de cybersécurité. Son CTO, Fabrice Ongenae détaille les outils et les mesures mis en place dans le cadre de son approche DevSecOps. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 29 déc. 2021
En 2021, le DevSecOps a été mis à rude épreuve

Pour se protéger, maintenir une hygiène de base ne suffit plus : les experts et les analystes intiment aux équipes de développement d’adopter des pratiques de sécurité inscrites dans le triptyque DevSecOps. Oui, mais comment ? Cette question est restée sur de nombreuses lèvres en 2021. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 28 déc. 2021
DevSecOps et API : quand l’approche « Shift Left » ne suffit pas

Un éditeur de développement d’applications de banque en ligne a formé ses développeurs pour coder dans des environnements sécurisés, mais la protection des API a également nécessité un « virage à droite » pour renforcer les outils de surveillance et la formation des Ops. Lire la suite
par
- Beth Pariseau, TechTarget
Actualités 03 déc. 2021
ReInvent 2021 : AWS relance la compétition autour du DevSecOps

Les entreprises devraient bénéficier des nouvelles fonctionnalités DevSecOps d’AWS, même si elles ne les utilisent pas, car les analystes estiment qu’elles constituent un référentiel par rapport auquel les éditeurs tiers pourront se différencier. Lire la suite
par
- Beth Pariseau, TechTarget
Conseil 18 août 2021
DevSecOps : les enseignements du Département de la Défense américain

Lors de l’événement GitLab Commit 2021, deux ingénieurs d’Anchore ont partagé leur expérience autour de ce projet et les enseignements qu’ils en tirent, afin de bâtir une chaîne d’outils et des pipelines CI/CD sécurisés. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 09 août 2021
DevSecOps : les responsables IT ne veulent plus naviguer à vue

La cybersécurité ne s’améliorera pas si les régulateurs et les experts du secteur ne donnent pas de conseils plus clairs sur la manière de mettre en œuvre l’approche DevSecOps, selon les discussions qui ont eu lieu lors du GitLab Commit 2021. Lire la suite
par
- Beth Pariseau, TechTarget
- Gaétan Raoul, LeMagIT
Conseil 19 avr. 2021
DevSecOps : les bénéfices et les risques de l’automatisation

Lors du sommet virtuel DevOps Live Paris, événement dont LeMagIT était partenaire, nous avons animé un débat consacré à la gestion des risques de sécurité grâce à l’automatisation dans une approche DevSecOps. Cinq intervenants ont partagé leurs points de vue, leurs expériences et leurs conseils quant à cette approche. Dans cet article, nous en tirons les enseignements. Lire la suite
par
- Gaétan Raoul, LeMagIT
Actualités 25 févr. 2021
Palo Alto reprend ses emplettes dans la sécurité des environnements cloud

L’équipementier vient d’annoncer le rachat de Bridgecrew, avec l’objectif de renforcer la sécurité des déploiements cloud au plus tôt dans leur cycle de vie. De quoi compléter les rachats antérieurs de Twistlock, PureSec, Redlock et Evident.io. Lire la suite
par
- Valéry Rieß-Marchive, Rédacteur en chef
Actualités 09 févr. 2021
Cisco infuse la gestion des vulnérabilités dans AppDynamics

Un nouveau module pour la plateforme AIOps d’AppDynamics utilise les données APM pour effectuer la surveillance de la gestion des vulnérabilités et le blocage automatique des attaques, alors que le buzz autour de l’approche DevSecOps alimente les discussions sur le marché. Lire la suite
par
- Beth Pariseau, TechTarget
Projet IT 06 août 2020
Thales Alenia Space envoie ses satellites dans la galaxie SpaceOps

La joint-venture Thales Alena Space a bouleversé sa façon de faire ses appareils puis de développer ses services pour ses utilisateurs : place aux méthodes agiles, aux conteneurs, aux mises à jour mensuelles, au cloud hybride et à DevSecOps. Lire la suite
par
- Alain Clapaud
Conseil 19 juin 2020
Contrast Security veut protéger les applications Web tout au long de leur cycle de vie

La jeune pousse fondée en 2014 mise sur l’instrumentation en profondeur du code source pour aider les développeurs à identifier et corriger rapidement les vulnérabilités de leur applications Web. Lire la suite
par
- Valéry Rieß-Marchive, Rédacteur en chef
Actualités 12 juin 2020
GitLab renforce (lui aussi) ses capacités de détection de vulnérabilités

Après l’annonce de la version 13.0 de sa plateforme CI/CD, GitLab veut encore améliorer ses fonctionnalités de détection de vulnérabilités. Pour cela, il rachète deux sociétés : PeachTech et Fuzzit. Lire la suite
par
- Gaétan Raoul, LeMagIT
Conseil 27 avr. 2020
Sécurité applicative : Yagaan veut fluidifier la détection de vulnérabilités dans le code

La jeune pousse française ajoute à l’analyse statique du code une couche d’apprentissage automatique supervisé pour améliorer la classification des alertes et accélérer le travail des développeurs. Lire la suite
par
- Valéry Rieß-Marchive, Rédacteur en chef
Conseil 20 févr. 2020
Dix éditeurs DevOps à surveiller en 2020

Le marché DevOps est important. Il rassemble un grand nombre d’éditeurs, de la petite startup au grand groupe bien établi. Un panel d’experts nous a désigné les dix acteurs susceptibles de faire évoluer le marché en 2020. Lire la suite
par
- Beth Pariseau, TechTarget
Actualités 07 nov. 2018
Thoma Bravo, nouveau tycoon de la cybersécurité ?

Le fond d’investissement vient de racheter Veracode à Broadcom. Il chercherait en outre à faire l’acquisition de Symantec. De quoi encore étendre son portefeuille dans le domaine de la sécurité informatique. Lire la suite
par
- Valéry Rieß-Marchive, Rédacteur en chef
Actualités 19 oct. 2018
CyberArk concrétise le rachat de Vaultive

L’éditeur vient d’annoncer une solution de contrôle des comptes à privilèges dans les environnements cloud, basée sur une technologie acquise au printemps. Il poursuit ainsi sa stratégie en direction des DevSecOps. Lire la suite
par
- Valéry Rieß-Marchive, Rédacteur en chef
Conseil 06 sept. 2018
Prendre sa part de responsabilité dans la sécurité des applications SaaS

Difficile d’assurer la robustesse de ses applications en mode cloud ? Pour les experts, il est temps d’adopter des approches DevSecOps ainsi que de miser sur des outils et des services de sécurité tiers. Lire la suite
par
- Jan Stafford, Features Writer
Conseil 19 févr. 2018
DevSecOps ? Une vraie révolution culturelle

Intégrer la sécurité dans ses pratiques DevOps n'est pas aussi simple que l'on pourrait bien le souhaiter. Pour Gartner, cela nécessite rien moins qu'un changement de mentalités, de processus, en plus de l'ajout de nouvelles briques technologiques. Lire la suite
par
- Valéry Rieß-Marchive, Rédacteur en chef
Opinion 14 nov. 2017
DevSecOps se concentre trop sur la chaîne logistique du logiciel, Elizabeth Lawler (CyberArk)

Spécialiste de la gestion des comptes à privilèges, CyberArk s’est offert au printemps Conjur, étendant son offre à la gestion des constituants d’identité de systèmes. La cofondatrice de Conjur expique pourquoi ce point est important, au-delà de DevOps. Lire la suite
par
- Valéry Rieß-Marchive, Rédacteur en chef
Actualités 13 juil. 2017
CA Technologies veut s'imposer dans les approches DevSecOps

CA Technologies digère ses récentes acquisitions afin d'enrichir son approche Moderne Software Factory. Gestion de projet agile, Security by Design et gestion des API sont les points forts d'une offre qui opère sa mutation vers le Cloud. Lire la suite
par
- Alain Clapaud
Actualités 10 mars 2017
Revue de presse : les brèves IT de la semaine (10 mars)

Rapprochement IBM & Salesforce : importance majeure des accords mineurs - Google et SAP se disent oui, Digora et Equinix aussi - OVH : Octave Klaba reprend les rênes - AI : Fujitsu met 6 milliards de yens pour du « Made in France » - HPE s’offre Nimble à bon prix - CA se fait une place dans le DevSecOps pour 640 millions de dollars Lire la suite
par
- Philippe Ducellier, Rédacteur en chef adjoint
Actualités 07 mars 2017
CA Technologies s’offre un spécialiste de la sécurité applicative

L’éditeur rachète Veracode, l’éditeur d’une plateforme SaaS de test de la sécurité des applications capable d’intégration dans les environnements DevOps, notamment. Lire la suite
par
- Valéry Rieß-Marchive, Rédacteur en chef
Conseil 29 févr. 2016
DevOps c'est bien, DevSecOps c'est beaucoup mieux

D'après David Cearley, analyste chez Gartner, les DSI ont besoin d'intégrer les équipes en charge de la sécurité à leurs équipes DevOps actuelles pour initier une démarche plus globale : le « DevSecOps ». Lire la suite
par
- Nicole Laskowski, Senior News Director