PCI DSS 4.0.1 : ce qui change concrètement en 2026
Authentification multi-facteur étendue, gestion des scripts e-commerce, exigences de continuous compliance — un guide pratique pour les éditeurs qui traitent des paiements.
Ressources · Sécurité IA · DevSecOps · ISO 27001 · CRA · AI Act · NIS2
Analyses, retours terrain et points de vigilance.
Articles sur la sécurité IA, le DevSecOps, les certifications ISO 27001 et le réglementaire (CRA, AI Act, NIS2, DORA). Mise à jour continue, écrits depuis le terrain.
NIST AI RMF : un cadre opérationnel pour startups françaises
Comment utiliser le NIST AI Risk Management Framework comme colonne vertébrale d'une démarche IA responsable, sans alourdir vos équipes, et en s'articulant avec l'AI Act.
ByteDance et le sabotage interne de modèles : insider threat dans les équipes IA
Un stagiaire accusé d'avoir saboté un projet d'entraînement avec du malware. Comment se prémunir des menaces internes dans une chaîne ML, sans tomber dans la paranoïa.
SOC 2 Type II : ce que vos clients enterprise vont vraiment auditer
Au-delà du rapport, ce que les acheteurs grand compte demandent en 2026 : preuves de monitoring, gestion des accès IA, tests de résilience. Le SOC 2 a évolué.
ISO 27001 audit : ce que les auditeurs vérifient vraiment
Au-delà de la documentation, ce que les auditeurs creusent en stage 1 et stage 2 d'une certification ISO 27001. Pour préparer sereinement et éviter les NC évitables.
Mercedes-Benz et la fuite de token GitHub : leçons pour vos secrets
Un token oublié dans un repo public, accès aux systèmes internes. Comment scanner, faire tourner et compartimenter vos secrets pour qu'un oubli ne devienne pas une crise.
AI Act et fournisseurs en amont : obligations partielles
Vous fournissez un composant IA à un client qui en fait un système haut risque ? Vous avez des obligations partielles AI Act. Voici lesquelles, et comment les remplir sans se sur-conformer.
Agents autonomes : périmètre de privilèges, sandbox, kill-switch
Un agent qui agit dans le SI a besoin de garde-fous différents d'un chatbot. Architecture sécurisée pour agents tool-using en production.
Vulnerability disclosure CRA : monter un programme
Le CRA exige un canal de signalement de vulnérabilités opérationnel à partir de septembre 2026. Voici les exigences précises et l'architecture du programme — basique mais robuste.
RAG en production : sécuriser ingestion, embeddings et rétrieval
Les pipelines RAG accumulent des risques propres : poisoning d'index, fuite cross-tenant, prompt injection indirect. Les bons choix de design dès le départ.
ISO 42001 : la première norme de management de l'IA
Pourquoi ISO 42001 prend de la valeur en 2026, comment l'articuler avec ISO 27001 et l'AI Act, et ce que les auditeurs vont vraiment demander.
CRA : roadmap des jalons 09/2026 et 12/2027 pour éditeurs SaaS
Le Cyber Resilience Act se déploie en deux temps. Voici le séquencement réaliste pour ne pas se faire éjecter du marché européen, jalon par jalon.
SBOM CRA-compliant : générer et maintenir
Le CRA exige un SBOM tenu à jour pendant la durée de support du produit. Les exigences spécifiques, les gotchas, et l'architecture qui permet de tenir 5 ans.
ISO 27001 Annexe A 2022 : ce que les nouveaux contrôles changent
L'Annexe A 2022 a remplacé 114 contrôles par 93, dont 11 nouveaux. Threat intelligence, cloud security, secure coding : ce que ça change concrètement pour les certifiés.
AI Act : préparer l'application aux systèmes IA à haut risque (Annexe III)
Sept piliers à mettre en production avant le 2 août 2026. Décryptage des exigences techniques pour les éditeurs concernés, sans s'enliser dans le juridique pur.
Semgrep : écrire des règles SAST personnalisées pour votre stack
Les règles génériques d'un SAST sont du bruit pour vos vrais risques. Semgrep permet d'écrire en 30 minutes des règles qui détectent les patterns dangereux propres à votre entreprise.
Claude Mythos : 83% de zero-days reproduits — ce que ça change pour la défense
Le modèle d'Anthropic dévoilé en avril 2026 trouve des failles inédites dans tous les OS et navigateurs majeurs. Implications concrètes pour les équipes sécurité côté défense, sur les 12 prochains mois.
Secret rotation automatisée : Vault + Terraform + ArgoCD
Faire tourner les secrets à la main est faillible et lent. Architecture qui rotation automatiquement, sans toucher au code, en 4 semaines de mise en place.
Claude (Anthropic) en entreprise : sécuriser l'usage de l'API et des agents
Cloisonner les workspaces, gérer les clés, surveiller les agents tool-using, encadrer le MCP. Posture de sécurité de bout en bout pour une intégration enterprise de Claude.
Supply chain : auditer les GitHub Actions utilisées par votre CI
Chaque action GitHub utilisée dans votre CI est du code tiers exécuté avec accès à vos secrets. La plupart ne sont jamais auditées. Voici la méthode pour cartographier et durcir.
Project Glasswing : pourquoi Anthropic a réuni AWS, Google, Microsoft autour de la sécurité IA
Une coalition inédite (AWS, Apple, Cisco, CrowdStrike, Google, JPMorgan, Microsoft, NVIDIA, Palo Alto, Linux Foundation) autour de Mythos Preview pour sécuriser les logiciels critiques. Lecture stratégique pour éditeurs et RSSI.
Gérer un incident cyber en 7 étapes
Du déclenchement de l'alerte au debriefing post-incident. Le runbook pragmatique pour PME et scale-ups sans CSIRT interne, applicable dès la première heure.
DevSecOps en CI/CD : quality gates qui bloquent vraiment
SAST, DAST, SCA, IaC scanning, secret detection. Comment bâtir des portes de qualité qui arrêtent les releases vulnérables sans tuer la vélocité de l'équipe.
Voice deepfake en entreprise : contre-mesures pratiques
Cloner une voix prend désormais 30 secondes d'audio. Les arnaques au président par téléphone explosent. Voici les contre-mesures organisationnelles et techniques qui marchent vraiment.
Microsoft Copilot et oversharing : 7 règles
Pourquoi Copilot rend visibles des fichiers censés rester privés, et comment cadenasser SharePoint, Teams et OneDrive en moins d'une journée pour éviter les remontées explosives.
OWASP ASVS niveau 2 : ce que ça implique vraiment
ASVS L2 est devenu en 2026 le baseline attendu pour les SaaS B2B. Décryptage des 200+ contrôles, et roadmap pragmatique pour s'aligner sans noyer l'équipe.
Shadow AI : le cas Samsung × ChatGPT
Code source confidentiel collé dans un LLM grand public, comptes-rendus de réunions stratégiques en clair sur l'infra d'un tiers. Pourquoi le shadow AI est une priorité gouvernance, pas un sujet outil.
Watermarking des sorties IA : où en sont les standards en 2026
Tatouer cryptographiquement les contenus générés par IA pour permettre leur détection : SynthID, C2PA, watermarking text statistiques. État de l'art opérationnel et exigences AI Act.
Slack AI : disséquer une faille de prompt injection
Une instruction cachée dans un message public, et l'IA exfiltre des secrets de canaux privés. Anatomie de l'attaque, mécanique du bug, et les vraies parades à mettre en place dans vos propres intégrations.
RAG multi-tenant : patterns d'isolation cross-clients
Servir un RAG à plusieurs clients sur la même infrastructure exige des choix d'architecture stricts. Trois patterns d'isolation, leurs trade-offs réels, et le bon choix selon votre criticité.
Threat modeling LLM : prompt injection, jailbreak, hijack d'agent
Cinq familles de menaces propres aux LLM, leurs vecteurs concrets, et la grille de threat modeling à utiliser dès la conception d'un produit IA.
Sécurité PME : 7 priorités avant de recruter un RSSI
Recruter un RSSI quand les fondations ne sont pas posées, c'est payer un poste senior pour faire de la peinture sur du carton. Voici les sept chantiers à industrialiser avant ce recrutement.
Local LLM (Llama, Mistral self-hosted) : sécurité opérationnelle
Auto-héberger un LLM (Llama 3, Mistral, Qwen) répond aux exigences de souveraineté et de confidentialité. Mais ce n'est pas "plus sûr par défaut". Voici les vrais risques et la posture opérationnelle.
Audit d'un fournisseur LLM tiers : checklist de DDQ
Avant de connecter votre application à un fournisseur LLM (OpenAI, Anthropic, Mistral, Cohere) : la checklist DDQ qui détermine si c'est compatible avec vos engagements clients et réglementaires.
Multi-agent systems : risques de collusion et architectures défensives
Les systèmes multi-agents (LangGraph, AutoGen, CrewAI) deviennent l'archétype 2026. Leurs vulnérabilités spécifiques : collusion d'agents, propagation d'instructions malveillantes, perte de contrôle.
Constitutional AI vs guardrails par classifieur : avantages et limites
Deux approches dominent les guardrails LLM en 2026 : alignement par Constitutional AI (Anthropic) et classifieurs en sortie (Lakera, NeMo Guardrails). Comparaison opérationnelle pour faire le bon choix.
Red teaming automatisé d'un LLM en production
Tester en continu vos applications LLM contre les attaques connues : prompt injection, jailbreak, data leakage. La grille des outils 2026 et la méthode pour intégrer le red teaming dans le pipeline.
ISO 27001 pour SaaS B2B : roadmap 12 mois
Une certification ISO 27001 ouvre des portes commerciales et conforme à NIS2/DORA/AI Act partiellement. Voici la roadmap honnête sur 12 mois pour une scale-up de 30-150 personnes.
NIS2 : transposition française, qui est concerné
La directive NIS2 a été transposée en droit français mi-2025. Quelles entreprises sont désormais soumises, à quelles obligations, et comment se mettre en conformité sans alourdir excessivement.
Phishing résistant : passer toute l'org sur passkeys en 90 jours
Le MFA classique (SMS, TOTP, push) est contourné par les kits AiTM modernes. Les passkeys et FIDO2 sont la seule défense résistante au phishing. Comment migrer une PME sans casser la productivité.
DORA : ce que les éditeurs SaaS financiers doivent préparer
DORA s'applique depuis le 17 janvier 2025 aux entités financières et à leurs prestataires TIC critiques. Les éditeurs qui vendent à des banques, assurances, fintechs sont concernés. Voici la roadmap.
Sigstore et la signature de containers : démarrage minimal
Sigstore est devenu le standard 2024-2026 pour signer images, binaires et artefacts logiciels sans gérer de clés long-terme. Comment démarrer en 30 minutes sur votre pipeline.
OSINT préventif : auditer votre exposition externe en 1 journée
Avant qu'un attaquant ne le fasse, cartographier votre surface d'attaque externe : sous-domaines oubliés, secrets exposés, employés ciblables, technologies devinables. La méthode opérationnelle.
Cyber-assurance : ce que les assureurs vérifient en 2026
Avant de signer une cyber-assurance ou de la renouveler, les assureurs auditent désormais une checklist précise. Voici ce qui passe ou bloque, et comment se préparer pour des primes raisonnables.
SBOM en 2026 : générer, signer, distribuer (SPDX vs CycloneDX)
Le SBOM (Software Bill of Materials) devient une exigence concrète sous CRA et NIS2. Comment le produire automatiquement, le signer, le maintenir vivant, et choisir entre SPDX et CycloneDX.
Un sujet vous concerne ? 20 minutes pour en parler.
Aucune offre commerciale envoyée à froid. On regarde ensemble si la mission a du sens.
Réserver un échange Calendly