Articles sur la sécurité IA, le DevSecOps, les certifications ISO 27001 et le réglementaire (CRA, AI Act, NIS2, DORA). Mise à jour continue, écrits depuis le terrain.
L'AD reste la cible n°1 dans 80% des incidents post-intrusion. Voici la checklist d'audit en 7 étapes alignée ANSSI ADS et tier model Microsoft, applicable en 5 jours pour une PME 100-500 postes.
ISO 42001 est-elle un substitut, un complément ou un doublon d'ISO 27001 ? Réponse pratique pour les organisations qui doivent décider en 2026 où investir leur effort de certification.
RGPD et ISO 27001 sont souvent confondus dans les DDQ enterprise. L'un protège les données personnelles, l'autre formalise un système de management de la sécurité. Voici comment les articuler en 2026.
NIS2 (octobre 2026) et ISO 27001 partagent 70% de leurs exigences. Voici comment articuler les deux pour optimiser l'investissement, et ce que NIS2 ajoute spécifiquement.
DORA et NIS2 se chevauchent sur le secteur financier européen depuis 2025. Lex specialis, double conformité, articulation pratique pour les fintech et SaaS financiers.
ISO 27001 et PCI DSS s'articulent sur les SaaS qui traitent ou facilitent le paiement carte. Voici les recouvrements, les zones spécifiques PCI DSS, et la stratégie de conformité conjointe.
AI Act et RGPD se cumulent quand un système IA traite des données personnelles. AIPD vs AI Impact Assessment, base légale, transparence, droits — voici l'articulation pratique en 2026.
Authentification multi-facteur étendue, gestion des scripts e-commerce, exigences de continuous compliance — un guide pratique pour les éditeurs qui traitent des paiements.
Comment utiliser le NIST AI Risk Management Framework comme colonne vertébrale d'une démarche IA responsable, sans alourdir vos équipes, et en s'articulant avec l'AI Act.
Un stagiaire accusé d'avoir saboté un projet d'entraînement avec du malware. Comment se prémunir des menaces internes dans une chaîne ML, sans tomber dans la paranoïa.
Au-delà du rapport, ce que les acheteurs grand compte demandent en 2026 : preuves de monitoring, gestion des accès IA, tests de résilience. Le SOC 2 a évolué.
Au-delà de la documentation, ce que les auditeurs creusent en stage 1 et stage 2 d'une certification ISO 27001. Pour préparer sereinement et éviter les NC évitables.
Un token oublié dans un repo public, accès aux systèmes internes. Comment scanner, faire tourner et compartimenter vos secrets pour qu'un oubli ne devienne pas une crise.
Vous fournissez un composant IA à un client qui en fait un système haut risque ? Vous avez des obligations partielles AI Act. Voici lesquelles, et comment les remplir sans se sur-conformer.
Un agent qui agit dans le SI a besoin de garde-fous différents d'un chatbot. Architecture sécurisée pour agents tool-using en production.
Le CRA exige un canal de signalement de vulnérabilités opérationnel à partir de septembre 2026. Voici les exigences précises et l'architecture du programme — basique mais robuste.
Les pipelines RAG accumulent des risques propres : poisoning d'index, fuite cross-tenant, prompt injection indirect. Les bons choix de design dès le départ.
Pourquoi ISO 42001 prend de la valeur en 2026, comment l'articuler avec ISO 27001 et l'AI Act, et ce que les auditeurs vont vraiment demander.
Le Cyber Resilience Act se déploie en deux temps. Voici le séquencement réaliste pour ne pas se faire éjecter du marché européen, jalon par jalon.
Le CRA exige un SBOM tenu à jour pendant la durée de support du produit. Les exigences spécifiques, les gotchas, et l'architecture qui permet de tenir 5 ans.
L'Annexe A 2022 a remplacé 114 contrôles par 93, dont 11 nouveaux. Threat intelligence, cloud security, secure coding : ce que ça change concrètement pour les certifiés.
Sept piliers à mettre en production avant le 2 août 2026. Décryptage des exigences techniques pour les éditeurs concernés, sans s'enliser dans le juridique pur.
Les règles génériques d'un SAST sont du bruit pour vos vrais risques. Semgrep permet d'écrire en 30 minutes des règles qui détectent les patterns dangereux propres à votre entreprise.
Le modèle d'Anthropic dévoilé en avril 2026 trouve des failles inédites dans tous les OS et navigateurs majeurs. Implications concrètes pour les équipes sécurité côté défense, sur les 12 prochains mois.
Faire tourner les secrets à la main est faillible et lent. Architecture qui rotation automatiquement, sans toucher au code, en 4 semaines de mise en place.
Cloisonner les workspaces, gérer les clés, surveiller les agents tool-using, encadrer le MCP. Posture de sécurité de bout en bout pour une intégration enterprise de Claude.
Chaque action GitHub utilisée dans votre CI est du code tiers exécuté avec accès à vos secrets. La plupart ne sont jamais auditées. Voici la méthode pour cartographier et durcir.
Une coalition inédite (AWS, Apple, Cisco, CrowdStrike, Google, JPMorgan, Microsoft, NVIDIA, Palo Alto, Linux Foundation) autour de Mythos Preview pour sécuriser les logiciels critiques. Lecture stratégique pour éditeurs et RSSI.
Du déclenchement de l'alerte au debriefing post-incident. Le runbook pragmatique pour PME et scale-ups sans CSIRT interne, applicable dès la première heure.
SAST, DAST, SCA, IaC scanning, secret detection. Comment bâtir des portes de qualité qui arrêtent les releases vulnérables sans tuer la vélocité de l'équipe.
Cloner une voix prend désormais 30 secondes d'audio. Les arnaques au président par téléphone explosent. Voici les contre-mesures organisationnelles et techniques qui marchent vraiment.
Pourquoi Copilot rend visibles des fichiers censés rester privés, et comment cadenasser SharePoint, Teams et OneDrive en moins d'une journée pour éviter les remontées explosives.
ASVS L2 est devenu en 2026 le baseline attendu pour les SaaS B2B. Décryptage des 200+ contrôles, et roadmap pragmatique pour s'aligner sans noyer l'équipe.
Code source confidentiel collé dans un LLM grand public, comptes-rendus de réunions stratégiques en clair sur l'infra d'un tiers. Pourquoi le shadow AI est une priorité gouvernance, pas un sujet outil.
Tatouer cryptographiquement les contenus générés par IA pour permettre leur détection : SynthID, C2PA, watermarking text statistiques. État de l'art opérationnel et exigences AI Act.
Une instruction cachée dans un message public, et l'IA exfiltre des secrets de canaux privés. Anatomie de l'attaque, mécanique du bug, et les vraies parades à mettre en place dans vos propres intégrations.
Servir un RAG à plusieurs clients sur la même infrastructure exige des choix d'architecture stricts. Trois patterns d'isolation, leurs trade-offs réels, et le bon choix selon votre criticité.
Cinq familles de menaces propres aux LLM, leurs vecteurs concrets, et la grille de threat modeling à utiliser dès la conception d'un produit IA.
Recruter un RSSI quand les fondations ne sont pas posées, c'est payer un poste senior pour faire de la peinture sur du carton. Voici les sept chantiers à industrialiser avant ce recrutement.
Auto-héberger un LLM (Llama 3, Mistral, Qwen) répond aux exigences de souveraineté et de confidentialité. Mais ce n'est pas "plus sûr par défaut". Voici les vrais risques et la posture opérationnelle.
Avant de connecter votre application à un fournisseur LLM (OpenAI, Anthropic, Mistral, Cohere) : la checklist DDQ qui détermine si c'est compatible avec vos engagements clients et réglementaires.
Les systèmes multi-agents (LangGraph, AutoGen, CrewAI) deviennent l'archétype 2026. Leurs vulnérabilités spécifiques : collusion d'agents, propagation d'instructions malveillantes, perte de contrôle.
Deux approches dominent les guardrails LLM en 2026 : alignement par Constitutional AI (Anthropic) et classifieurs en sortie (Lakera, NeMo Guardrails). Comparaison opérationnelle pour faire le bon choix.
Tester en continu vos applications LLM contre les attaques connues : prompt injection, jailbreak, data leakage. La grille des outils 2026 et la méthode pour intégrer le red teaming dans le pipeline.
Une certification ISO 27001 ouvre des portes commerciales et conforme à NIS2/DORA/AI Act partiellement. Voici la roadmap honnête sur 12 mois pour une scale-up de 30-150 personnes.
La directive NIS2 a été transposée en droit français mi-2025. Quelles entreprises sont désormais soumises, à quelles obligations, et comment se mettre en conformité sans alourdir excessivement.
Le MFA classique (SMS, TOTP, push) est contourné par les kits AiTM modernes. Les passkeys et FIDO2 sont la seule défense résistante au phishing. Comment migrer une PME sans casser la productivité.
DORA s'applique depuis le 17 janvier 2025 aux entités financières et à leurs prestataires TIC critiques. Les éditeurs qui vendent à des banques, assurances, fintechs sont concernés. Voici la roadmap.
Sigstore est devenu le standard 2024-2026 pour signer images, binaires et artefacts logiciels sans gérer de clés long-terme. Comment démarrer en 30 minutes sur votre pipeline.
Avant qu'un attaquant ne le fasse, cartographier votre surface d'attaque externe : sous-domaines oubliés, secrets exposés, employés ciblables, technologies devinables. La méthode opérationnelle.
Avant de signer une cyber-assurance ou de la renouveler, les assureurs auditent désormais une checklist précise. Voici ce qui passe ou bloque, et comment se préparer pour des primes raisonnables.
Le SBOM (Software Bill of Materials) devient une exigence concrète sous CRA et NIS2. Comment le produire automatiquement, le signer, le maintenir vivant, et choisir entre SPDX et CycloneDX.
Aucune offre commerciale envoyée à froid. On regarde ensemble si la mission a du sens.
Réserver un échange Calendly