Archives des Sécurité

Machine Learning delivery : intégrer au plus tôt la sécurité

Posté le 20/09/2022 par Emmanuel Lin TOULEMONDE

Cet article fait partie de la série “Accélérer le Delivery de projets de Machine Learning”, traitant de l’application d’Accelerate dans un contexte incluant du Machine Learning. Si vous n’êtes pas familier avec Accelerate, ou si vous souhaitez avoir plus de détails sur le contexte de cet article, nous vous invitons à commencer par lire l’article introduisant cette série. Vous y trouverez également le lien vers le reste des articles pour aller plus loin. Considérer la sécurité en Machine Learning Élément clef en logiciel, la sécurité…

Bonne pratique

Apprendre la normalité ou détecter l’anormalité ? – Compte-rendu du talk de Reynald Rivière à La Duck Conf 2022

Posté le 11/05/2022 par Guillaume ROLLAND

Reynald est Senior Manager en Data Science chez OCTO et intervient sur des missions de création de services et produits basés sur l’IA et la data. Ayant travaillé sur la Data Science dans plusieurs secteurs d'activité, il nous présente aujourd’hui l’IA appliquée au domaine de la cybersécurité, en tentant de répondre à la question : Apprendre la normalité ou détecter l’anormalité avec l’IA ? 1. Un peu d'humilité pour démarrer cette session “Tous nos modèles sont faux… mais certains utiles” Georges Box, statisticien du siècle…

Blockchain

Etude de cas d’utilisation de Zero Knowledge Proof (ZKP)

Posté le 07/12/2021 par Aymeric NOËL

INTRODUCTION Depuis 1976, date de l'implémentation de la cryptographie asymétrique par Whitfield Diffie et Martin Hellman, la cryptographie ne cesse d'évoluer et de se réinventer pour être toujours plus performante et impressionnante. Il faut dire que le fait de chiffrer une donnée avec une clé publique pour que seule la personne en possession de la clé privée associée puisse la déchiffrer, était une révolution par rapport à tous les moyens de chiffrement de l'époque. C'est dans ce contexte qu'en 1985 le Zero Knowledge Proof…

Sécurité

Efficace et pas cher, c’est le SAST que je préfère !

Posté le 22/11/2021 par Simon PRUNEAU

Dans le domaine des outils de sécurité applicative, notamment depuis l’arrivée du "shift security left" et du DevOps, plusieurs acronymes reviennent régulièrement : SAST (Static Application Security Testing) ; DAST (Dynamic Application Security Testing) ; RASP (Run-time Application Security Protection) ; ou encore SCA (Software Composition Analysis). Parmi ces outils, certains s’exécutent directement sur le code source (SAST, SCA), tandis que d’autres nécessitent qu'il soit exécuté (DAST) ou même de s’intégrer au code de l’application (RASP). Nous allons nous intéresser tout particulièrement au SAST. Si…

Archi & techno

Zero Trust Architecture : vers un SI où le périmètre n’importe plus

Posté le 13/07/2021 par Fabien LEITE

Depuis quelques années, un couple de mots ressort de plus en plus dans le monde de la sécurité. Cette combinaison de termes, c’est "Zero Trust". C’est un couple qui revient beaucoup, mais le concept est encore méconnu, mal compris et parfois déformé par un excès de marketing. Alors, c’est quoi Zero Trust ? Qu’est-ce que ça change à nos SI ? Au-delà du concept, comment peut-on le décliner ?

Android

Détectez les pisteurs sur Android avec exodus-standalone

Posté le 02/04/2021 par Simon PRUNEAU

Des bibliothèques tierces appelées pisteurs sont souvent présentes dans les applications mobiles, parfois au dépit des législations en vigueur, de la sécurité de ces applications ou des droits des personnes les utilisant. Voyons ensemble ces problématiques plus en détails et comment s’en prémunir, en particulier sur Android. Qu’est-ce qu’un pisteur et quels problèmes posent-ils ? “Pisteur”, “traceur”, “traqueur”, plusieurs termes peuvent être utilisés pour parler de la même chose. Commençons par définir ce que nous allons appeler un pisteur dans le reste de cet article.…

Sécurité

Passbolt, une solution pour gérer les secrets au sein de votre équipe

Posté le 17/02/2020 par Simon Pruneau, Simon PRUNEAU, Tanguy Patte

La question des mots de passe est un sujet sensible. Pour les mots de passe personnels, l’utilisation d’un gestionnaire de mots de passe est largement recommandée. En revanche, il est parfois nécessaire de partager certains secrets et mots de passe (clés d’API, comptes génériques, etc.) au sein d’une même équipe (qu'elle soit réduite ou non). La gestion de ces mots de passe en est souvent rendue plus compliquée. Cet article a pour objectif de présenter notre recherche d’un outil de gestion de mots de passe…

Sécurité

Comment conserver les mots de passe de ses utilisateurs en 2019 ?

Posté le 02/10/2019 par Fabien Leite

Lorsque vous concevez une application, vous vous posez forcément la question de l’authentification et du contrôle d’accès. Pour ça, plusieurs méthodes sont disponibles et la première qui vient généralement à l’esprit est l’utilisation d’un couple identifiant / mot de passe. Dans la mesure du possible, on préfèrera utiliser une solution dédiée à l’authentification et au contrôle d’accès : en bref, utiliser une solution d’IAM pour gérer ces aspects à votre place. C’est généralement plus simple à maintenir et c’est surtout souvent meilleur pour l’expérience utilisateur. …

api

Sécuriser une API REST : tout ce qu’il faut savoir

Posté le 02/09/2019 par Renaud Dahl, Florent JABY

Exposer votre métier via des API, que ce soit pour le reste de votre entreprise ou pour le monde entier, est une belle idée. Vous avez passé du temps à en concevoir le design pour les rendre facile d’utilisation par les développeurs, et vous avez repensé l'architecture de votre SI pour leur offrir la place qu'elles méritent… Et vous vous heurtez à la crainte de vos collègues et de vos supérieurs : “Mais si j’expose mes applications sur le web, mes données ne seront pas…

Évènement

Retour sur le FOSDEM 2019

Posté le 22/02/2019 par Mathieu Garstecki, , Fabien Arcellier, Thomas Wickham

Nouvelle année, nouvelle édition du FOSDEM (Free and Open Source Developers’ European Meeting). Après une édition 2018 bien fournie le cru 2019 s'est également révélé de bonne qualité. Impossible de lister tout ce que nous avons pu voir sur ces deux jours... Comme l'an dernier nous reviendrons donc sur certaines tendances qui nous ont marqué.