Sécurité

Cet article fait partie de la série “Accélérer le Delivery de projets de Machine Learning”, traitant de l’application d’Accelerate dans un contexte incluant du Machine Learning. Si vous n’êtes pas familier avec Accelerate, ou si vous souhaitez avoir plus de détails sur le contexte de cet article, nous vous invitons à commencer par lire l’article introduisant cette série. Vous y trouverez également le lien vers le reste des articles pour aller plus loin. Considérer la sécurité en Machine Learning Élément clef en logiciel, la sécurité…

Dans le domaine des outils de sécurité applicative, notamment depuis l’arrivée du "shift security left" et du DevOps, plusieurs acronymes reviennent régulièrement : SAST (Static Application Security Testing) ; DAST (Dynamic Application Security Testing) ; RASP (Run-time Application Security Protection) ; ou encore SCA (Software Composition Analysis). Parmi ces outils, certains s’exécutent directement sur le code source (SAST, SCA), tandis que d’autres nécessitent qu'il soit exécuté (DAST) ou même de s’intégrer au code de l’application (RASP). Nous allons nous intéresser tout particulièrement au SAST. Si…

Depuis quelques années, un couple de mots ressort de plus en plus dans le monde de la sécurité. Cette combinaison de termes, c’est "Zero Trust". C’est un couple qui revient beaucoup, mais le concept est encore méconnu, mal compris et parfois déformé par un excès de marketing. Alors, c’est quoi Zero Trust ? Qu’est-ce que ça change à nos SI ? Au-delà du concept, comment peut-on le décliner ?

Des bibliothèques tierces appelées pisteurs sont souvent présentes dans les applications mobiles, parfois au dépit des législations en vigueur, de la sécurité de ces applications ou des droits des personnes les utilisant. Voyons ensemble ces problématiques plus en détails et comment s’en prémunir, en particulier sur Android. Qu’est-ce qu’un pisteur et quels problèmes posent-ils ? “Pisteur”, “traceur”, “traqueur”, plusieurs termes peuvent être utilisés pour parler de la même chose. Commençons par définir ce que nous allons appeler un pisteur dans le reste de cet article.…

Hello ! Lorsque l'on parle de sécurité et de briques d'infrastructure, il est impensable de ne pas parler de Proxy et de Reverse Proxy. Ces termes vous sont peut-être familiers. Malgré les points communs qu'ils peuvent avoir avec d'autres composants - notamment le VPN et le Firewall - ils restent néanmoins assez différents dans leur fonctionnement et leur utilisation.   Pour aller plus loin : Comprendre le Proxy et le Reverse Proxy en 5 minutes Être anonyme sur Internet Qu’est-ce qu’un proxy ? Quand utiliser…

Hashicorp a annoncé en Juin dernier le lancement de sa plateforme Hashicorp Cloud Platform. Ces derniers jours, ils ont annoncé que Vault serait disponible sur cette plateforme. Encore en bêta, il manque de nombreuses fonctionnalités d'automatisation pour approcher d’une solution viable en production : impossible de piloter les snapshots par API, d’accéder aux logs sans passer par l’interface, pas encore de réplication... Mais les principes de base sont là et sont très facilement accessibles ! C’est donc, à date, une très bonne idée pour se…

Hello ! Afin de rester dans le thème de l'authentification (et de nous rapprocher un peu du thème de Noël !), nous allons aborder le sujet des cookies. Vous avez tous probablement vu passer les innombrables bannières vous informant des cookies présents sur un site, et vous demandant si vous souhaitez les acceptez ou non. Mais que sont les cookies ? A quoi servent-ils ? Alliés ou ennemis... Pouvons-nous vraiment leur faire confiance... ?   Pour aller plus loin : Concrètement, c'est quoi un cookie…

Les conteneurs sont devenus la nouvelle norme quant au packaging d’application logicielle. Il existe deux façons complémentaires de minimiser les risques de sécurité d’une image : par la revue du Dockerfile qui définit cette image, afin de vérifier que l’on n’introduit pas de faille de sécurité lors de la conception de l’image. Cela se traduit généralement par une analyse syntaxique qui va permettre de vérifier que la définition de l'image respecte certains principes (l'image ne tourne pas en user root par exemple). Dans la littérature,…

Hello ! Nous avons déjà abordé quelques sujets liés à la sécurité, mais nous n'avons pas encore évoqué un sujet essentiel, et qui nous concerne tous : l'authentification. Nous nous en servons tous les jours, pour nous connecter à notre ordinateur, notre boîte mail, ou à diverses applications du quotidien comme notre compte Netflix par exemple. Cependant, bien que nous nous connections quotidiennement à divers sites web, beaucoup de personnes ne réalisent pas l'importance de sécuriser correctement leurs accès et leurs mots de passe. Quels…

Hello ! Vous avez tous sûrement déjà entendu parler des Firewalls. Ce sont des composants essentiels lorsque l'on souhaite sécuriser un réseau. Mais comment fonctionnent-ils, et saviez-vous qu'il existe plusieurs types de firewall ? Pour aller plus loin : Firewall : comprendre l'essentiel en 7 minutes - https://www.youtube.com/watch?v=6Swt51w3EjY&t=127s Pare-feu (informatique) - https://fr.wikipedia.org/wiki/Pare-feu_(informatique) List of router and firewall distributions - https://en.wikipedia.org/wiki/List_of_router_and_firewall_distributions Qu'est-ce qu'un WAF ? - https://www.cloudflare.com/fr-fr/learning/ddos/glossary/web-application-firewall-waf/ Firewalls applicatifs : quelques conseils pour bien les utiliser - https://www.advens.fr/fr/ressources/blog/firewalls-applicatifs-quelques-conseils-pour-bien-utiliser La DMZ expliquée en dessins - https://www.youtube.com/watch?v=mY-TvNXFHl0