SRE
Le meetup OWASP Paris a eu lieu le jeudi 27 juin chez Theodo. Le principe reste le même: un forum ouvert permettant aux personnes venues au meetup d’échanger et de partager leurs connaissances relatives à la sécurité informatique. Ce meetup se déroule en 2 parties: lightning talk puis workshop.Lightning talkLes lightning talks sont de courtes prése...
La seconde édition du meetup OWASP Paris a eu lieu le mercredi 22 mai chez OCTO Technology. Ce meetup permet de réunir toutes personnes souhaitant concevoir et maintenir des logiciels plus sûrs. C'est un événement organisé par le Chapter France de l'OWASP. Il s’agit d’un meetup en mode "forum ouvert" découpé en 2 parties: lightning talk puis worksh...
Il y a un an, nous recevions tous une avalanche de mise à jour de nos CGV ou CGU.Il y a un an, le règlement général sur la protection des données (RGPD) entrait en vigueur et faisait la une.Il y a un an aussi, plusieurs d’entre nous découvraient ce qu’était une donnée personnelle :“Est-ce que je dois effacer de mon agenda tous les rendez-vous passé...
Tout au long du développement d'une application, l'équipe sera confrontée à de nombreuses problématiques de sécurité. Elle devra mettre en place les mesures de sécurité sans réellement avoir les connaissances nécessaires. Et dans le pire des cas, l’équipe n’aura même pas conscience des vulnérabilités de son application.La présence d’une équipe sécu...
Les mots de passe sont négligés par les utilisateurs qui adoptent des comportements laxistes : même mot de passe sur tous les sites, faible entropie, mot de passe enregistré dans le navigateur …Du côté applicatif de nombreuses failles de sécurité exposent les mots de passe aux attaquants.Bref, il fallait trouver une alternative pour faciliter l'aut...
We have already presented Hashicorp Vault on this blog, how it is working in PKI mode (FR), its integration with AWS (FR) and with Kubernetes (FR).This time we will focus on another Vault goodness: how to use Vault to manage your SSH accesses in your infrastructure.To do that, we are going to use in the article the SSH Secret Engine provided by Vau...
Dans cet article, nous allons tenter d’alimenter une discussion que nous entendons régulièrement et qui commence comme ceci : «Et du coup, on peut baser les secrets Kubernetes sur du Hashicorp Vault ?Heu, non, pas vraiment, soit on utilise les secrets Kubernetes pour mettre ses données sensibles, soit on s’appuie sur Vault pour ça.Ah, d’accord, du ...
Compte-rendu de la Matinale “DevSecOps League : sortez la sécurité de l’obscurantisme” 4 octobre 2018. Par Didier BernaudeauDans un contexte de plus en plus agile, la sécurité traditionnelle n’est plus efficace.En effet, lorsque la sécurité est traitée sous un aspect conformité, cela se résume à une liste interminable d’exigences de sécurité. Elles...
Le bastion SSH est un élément courant d’architecture. Souvent présenté comme améliorant la sécurité de votre infrastructure, cela n’est pas la seule raison pour laquelle vous pourriez avoir besoin d’un bastion, sans le savoir.Principes de basePour se connecter au serveur, il est ici indispensable de passer d’abord par le bastion.Un bastion SSH est ...
De nos jours, le grand public est de plus en plus sensibilisé à la sécurité sur Iinternet. On ne compte plus le nombre de fois où la question de la confidentialité de nos échanges sur internet a fait les gros titres. L’événement le plus mémorable de ces dernières années reste, assurément, l’affaire Snowden, qui avait révélé au grand jour la surveil...