WeeSec — Sécurité IA, DevSecOps, certifications

WeeSec — Sécurité IA, DevSecOps, certifications Articles WeeSec sur la sécurité IA, DevSecOps, certifications ISO 27001, conformité CRA, AI Act, NIS2, DORA. Par Aroua Biri. https://www.weesec.com/ 2026-05-21T19:14:12Z WeeSec build_atom.py © 2026 WeeSec — Aroua Biri. CC BY-NC 4.0. Aroua Biri https://www.weesec.com/about/aroua-biri.html https://www.weesec.com/blog/checkmarx-vs-semgrep-sonarqube-snyk-fortify-comparatif-sast-2026.html Checkmarx vs Semgrep vs SonarQube vs Snyk vs Fortify : comparatif SAST 2026 2026-05-21T09:00:00Z 2026-05-21T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Comparatif détaillé des 5 outils SAST dominants en 2026 : Checkmarx, Semgrep, SonarQube, Snyk Code, Fortify. Couverture langages, faux positifs, intégration CI/CD, ASVS, ISO 27001, prix.

https://www.weesec.com/blog/mistral-ai-reponse-incident-rancon-25k.html Mistral, TeamPCP et la rançon à 25 000 $ : décortiquer la décision 2026-05-21T09:00:00Z 2026-05-21T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

25 000 $ pour 5 Go de code interne d'un licorne IA. Le prix est volontairement bas. Décrypter la mécanique de l'extorsion et la grille de décision côté victime.

https://www.weesec.com/blog/mistral-ai-souverainete-eu-leak-mai-2026.html Mistral AI piraté : ce que ça dit de la souveraineté IA européenne 2026-05-21T09:00:00Z 2026-05-21T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Le fleuron français a fuité par une dépendance JS américaine. La souveraineté du modèle ne suffit pas si la chaîne d'outils ne l'est pas.

https://www.weesec.com/blog/mistral-ai-supply-chain-tanstack-2026.html Mistral AI et la compromission TanStack : anatomie d'une supply chain JS 2026-05-21T09:00:00Z 2026-05-21T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

450 dépôts privés, 5 Go de code interne sortis par une bibliothèque front contaminée. Ce que l'incident Mistral dit de votre propre chaîne de dépendances.

https://www.weesec.com/blog/mistral-ai-vendor-risk-clients-dpa.html Vous êtes client Mistral après le leak : la checklist à activer cette semaine 2026-05-21T09:00:00Z 2026-05-21T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

5 Go de code interne Mistral dans la nature, dont le module billing et le customer management. Si vous avez signé un DPA avec Mistral, voici ce que vous devez faire maintenant.

https://www.weesec.com/blog/threat-model-agents-ia-7-surfaces.html Threat model d'un agent IA autonome : 7 surfaces d'attaque à cartographier 2026-05-21T09:00:00Z 2026-05-21T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Un agent qui agit dans le SI a une surface d'attaque qu'aucun outil de pentest classique ne couvre. Voici les 7 surfaces à cartographier avant la mise en prod.

https://www.weesec.com/blog/prompt-injection-indirecte-tool-output.html Prompt injection indirecte via tool output : le vecteur sous-estimé 2026-05-20T09:00:00Z 2026-05-20T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

La sortie d'un outil que l'agent appelle peut contenir des instructions malicieuses. Le risque dépasse les documents RAG. Anatomie et défenses.

https://www.weesec.com/blog/shai-hulud-worm-npm-314-packages.html Shai-Hulud : le worm qui a infecté 314 packages npm en 12 jours 2026-05-20T09:00:00Z 2026-05-20T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Le worm Shai-Hulud a contaminé plus de 300 packages npm et 2 PyPI entre le 29 avril et le 11 mai 2026. Anatomie technique et ce que ça change pour vos pipelines.

https://www.weesec.com/blog/agent-confinement-sandbox-capabilities-kill-switch.html Confinement d'un agent IA : sandbox, capabilities, kill-switch 2026-05-19T09:00:00Z 2026-05-19T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Trois couches de défense techniques pour limiter ce qu'un agent peut faire quand il dérape. Architecture concrète, pas théorique.

https://www.weesec.com/blog/ci-cd-cache-poisoning-github-actions.html Cache poisoning des GitHub Actions : le vecteur Shai-Hulud à ajouter à votre threat model 2026-05-19T09:00:00Z 2026-05-19T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Le worm Shai-Hulud a empoisonné le cache GitHub Actions pour injecter du code malicieux dans des builds CI/CD légitimes. Mécanique et défense.

https://www.weesec.com/blog/github-actions-pull-request-target-vuln.html pull_request_target : la vuln GitHub Actions que 60% des repos publics ont encore 2026-05-18T09:00:00Z 2026-05-18T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Le déclencheur pull_request_target donne des secrets de prod à du code venant d'un fork. La majorité des repos ne se rendent pas compte qu'ils sont exposés.

https://www.weesec.com/blog/multi-agent-collusion-defenses-architecture.html Multi-agent collusion : quand vos agents se coordonnent contre vous 2026-05-18T09:00:00Z 2026-05-18T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Les systèmes multi-agents introduisent un risque absent du single-agent : la propagation d'une instruction malicieuse entre agents. Architecture défensive.

https://www.weesec.com/blog/agent-code-git-permissions-scope.html Agent qui code et qui pousse : scoper les permissions Git/CI avant le go-live 2026-05-17T09:00:00Z 2026-05-17T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Claude Code, Cursor agents, Devin et leurs cousins ont accès à votre repo, votre CI, vos tokens. Voici comment scoper avant qu'un agent fasse un push catastrophique.

https://www.weesec.com/blog/github-fine-grained-pat-migration-30-min.html Migrer vers les fine-grained PAT GitHub : 30 minutes, 80% de blast radius en moins 2026-05-17T09:00:00Z 2026-05-17T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Le PAT classique GitHub donne accès à tous vos dépôts privés. Le fine-grained restreint au dépôt près. Migration concrète en 30 minutes par token.

https://www.weesec.com/blog/mcp-model-context-protocol-audit-securite.html MCP : auditer la sécurité de vos serveurs Model Context Protocol 2026-05-16T09:00:00Z 2026-05-16T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Le MCP est devenu en 2026 le standard de fait pour connecter des outils aux LLM. Chaque serveur MCP est du code étranger dans votre chaîne. Audit pratique.

https://www.weesec.com/blog/agent-outils-tiers-matrice-risque.html Outils tiers exposés à un agent : la matrice de risque à remplir 2026-05-15T09:00:00Z 2026-05-15T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Donner à un agent l'accès à 12 outils, c'est créer 12 vecteurs d'erreur. Voici la matrice qui sépare les outils acceptables des outils à interdire.

https://www.weesec.com/blog/agent-secrets-injection-runtime.html Agent IA et secrets : injection runtime, pas stockage 2026-05-14T09:00:00Z 2026-05-14T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Un agent qui a accès à un fichier de secrets en clair est un secret en plus dans la nature. La bonne posture : injection runtime via broker, pas stockage.

https://www.weesec.com/blog/daybreak-cicd-threat-model-patch-validation.html Daybreak en pratique : ce que ça change dans votre CI/CD 2026-05-13T09:00:00Z 2026-05-13T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Threat model auto-généré depuis votre repo, patch validé en environnement isolé : ce que Daybreak change concrètement dans votre pipeline — et ce qu'il ne change pas.

https://www.weesec.com/blog/daybreak-mythos-matrice-decision-maturite.html Daybreak, Mythos : matrice de décision selon votre maturité 2026-05-13T09:00:00Z 2026-05-13T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

PME, scale-up, grand groupe — la bonne réponse dépend de votre taille, votre maturité sécurité et votre budget. Matrice concrète sans bullshit.

https://www.weesec.com/blog/daybreak-partenaires-lancement-decryptage.html Les 10 partenaires de lancement de Daybreak : décryptage stratégique 2026-05-13T09:00:00Z 2026-05-13T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

OpenAI a lancé Daybreak le 11 mai avec 10 partenaires associés. La liste — Cloudflare, Cisco, CrowdStrike, Palo Alto, Oracle, Akamai, Fortinet, SentinelOne.

https://www.weesec.com/blog/gpt-5-5-cyber-red-team-encadrement-dsi.html GPT-5.5-Cyber : ce que votre DSI doit cadrer avant qu'un dev s'en serve 2026-05-13T09:00:00Z 2026-05-13T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

OpenAI propose un tier 'red team autorisé' avec GPT-5.5-Cyber. Sans cadrage interne, un dev curieux peut faire des bêtises. Ce que votre DSI doit écrire cette semaine.

https://www.weesec.com/blog/iso-27001-soc-2-justifier-daybreak-mythos.html ISO 27001 / SOC 2 : justifier Daybreak ou Mythos devant l'auditeur 2026-05-13T09:00:00Z 2026-05-13T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Votre auditeur va vous demander : pourquoi cet outil, quels contrôles, quelles preuves. Voici comment monter le dossier avant qu'il vous le demande.

https://www.weesec.com/blog/memory-poisoning-agent-long-terme.html Memory poisoning : empoisonner la mémoire long-terme d'un agent IA 2026-05-13T09:00:00Z 2026-05-13T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

La mémoire persistante d'un agent est lue à chaque session. La compromettre une fois, c'est compromettre toutes les conversations futures. Mécanique et défenses.

https://www.weesec.com/blog/mythos-vs-daybreak-attaque-defense-ia.html Mythos vs Daybreak : l'IA qui attaque face à l'IA qui défend 2026-05-13T09:00:00Z 2026-05-13T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Anthropic Mythos trouve les zero-days, OpenAI Daybreak les corrige. Deux philosophies, deux camps, les mêmes acheteurs. Pourquoi vous allez probablement avoir besoin des deux.

https://www.weesec.com/blog/agent-audit-log-incident-reproductible.html Audit log d'un agent IA : ce qu'il faut tracer pour qu'un incident soit reproductible 2026-05-12T09:00:00Z 2026-05-12T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Sans audit log structuré, un incident agent est impossible à investiguer. Voici les 12 champs à tracer par tool call, et le format qui marche en pratique.

https://www.weesec.com/blog/ai-act-daybreak-mythos-haut-risque-aout-2026.html AI Act 02/08/2026 : Daybreak et Mythos sont-ils haut risque ? 2026-05-12T09:00:00Z 2026-05-12T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Au 2 août 2026, les obligations AI Act sur les systèmes haut risque s'appliquent. Daybreak et Mythos rentrent-ils dans le scope ? Réponse par cas d'usage.

https://www.weesec.com/blog/daybreak-mythos-souverainete-ue-code-source.html Daybreak, Mythos et souveraineté UE : ce qui part aux US 2026-05-12T09:00:00Z 2026-05-12T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Envoyer votre code source à OpenAI ou Anthropic, c'est un transfert vers les US avec tout ce que ça implique côté Cloud Act, DPA, secret des affaires.

https://www.weesec.com/blog/daybreak-vs-snyk-semgrep-sast.html Daybreak vs Snyk/Semgrep : la fin du SAST classique ? 2026-05-12T09:00:00Z 2026-05-12T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Le SAST classique (Snyk, Semgrep, SonarQube) reste-t-il pertinent face à Daybreak ? Matrice de coexistence avec ce que chacun fait mieux.

https://www.weesec.com/blog/mythos-vs-bug-bounty-hackerone.html Mythos vs bug bounty : qui paie encore HackerOne ? 2026-05-11T09:00:00Z 2026-05-11T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Si Anthropic trouve des milliers de zero-days dans Chrome, Windows et iOS, à quoi sert encore votre programme HackerOne à 150 K€/an ? Réponse honnête en chiffres.

https://www.weesec.com/blog/red-team-agent-5-scenarios-pratiques.html Red teamer un agent IA : 5 scénarios pratiques à exécuter avant la mise en prod 2026-05-11T09:00:00Z 2026-05-11T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Un agent qui n'a pas été testé en adversarial avant prod sera testé par un attaquant après. Voici 5 scénarios concrets pour cadrer un red team agent en interne.

https://www.weesec.com/blog/agent-autonome-ai-act-iso-42001-conformite.html Agent IA autonome et conformité : AI Act, ISO 42001, NIS2 — ce qu'il faut documenter 2026-05-10T09:00:00Z 2026-05-10T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Un agent autonome qui agit sur le SI peut tomber sous AI Act (haut risque), ISO 42001 et NIS2. Voici ce qu'il faut documenter dès aujourd'hui pour ne pas découvrir en audit.

https://www.weesec.com/blog/mythos-bleu-team-defense-zero-days.html Mythos en pratique : ce que votre bleu team fait des 83% de zero-days 2026-05-10T09:00:00Z 2026-05-10T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Mythos trouve des milliers de zero-days côté offensif. Vous côté défense, vous faites quoi concrètement ? Posture bleu team sur les 12 prochains mois.

https://www.weesec.com/blog/pytorch-lightning-pypi-supply-chain.html PyTorch Lightning compromis sur PyPI : les pipelines ML sont la prochaine cible 2026-05-10T09:00:00Z 2026-05-10T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Le package PyTorch Lightning a été infecté sur PyPI en avril 2026 dans une attaque de credential harvesting. Anatomie et leçons pour les pipelines d'entraînement.

https://www.weesec.com/blog/agent-hallucination-action-impact-securite.html Agent et hallucination : quand le faux devient une action irréversible 2026-05-09T09:00:00Z 2026-05-09T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Une hallucination dans un chatbot est gênante. Une hallucination dans un agent qui agit est un incident. Comment réduire l'impact sans tuer l'utilité.

https://www.weesec.com/blog/agent-delegation-architecture-defensive.html Délégation entre agents IA : architecture défensive et patterns à connaître 2026-05-08T09:00:00Z 2026-05-08T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Un agent qui en orchestre d'autres multiplie les chemins d'attaque. Voici les 4 patterns de délégation et leurs propriétés défensives.

https://www.weesec.com/blog/ai-act-et-rgpd-articulation-pratique-2026.html AI Act et RGPD : articulation pratique en 2026 2026-05-08T09:00:00Z 2026-05-08T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

AI Act et RGPD se cumulent quand un système IA traite des données personnelles. AIPD vs AI Impact Assessment, base légale, transparence, droits

https://www.weesec.com/blog/audit-active-directory-checklist-7-etapes.html Auditer son Active Directory en 2026 : checklist en 7 étapes 2026-05-08T09:00:00Z 2026-05-08T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

L'AD reste la cible n°1 dans 80% des incidents post-intrusion. Voici la checklist d'audit en 7 étapes alignée ANSSI ADS et tier model Microsoft.

https://www.weesec.com/blog/dora-vs-nis2-articulation-secteur-financier.html DORA vs NIS2 : articulation pour le secteur financier européen 2026-05-08T09:00:00Z 2026-05-08T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

DORA et NIS2 se chevauchent sur le secteur financier européen depuis 2025. Lex specialis, double conformité, articulation pratique pour les fintech et SaaS financiers.

https://www.weesec.com/blog/iso-27001-vs-pci-dss-articulation-paiement.html ISO 27001 vs PCI DSS : articulation pour SaaS de paiement 2026-05-08T09:00:00Z 2026-05-08T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

ISO 27001 et PCI DSS s'articulent sur les SaaS qui traitent ou facilitent le paiement carte. Voici les recouvrements, les zones spécifiques PCI DSS.

https://www.weesec.com/blog/iso-42001-vs-iso-27001-differences-articulation.html ISO 42001 vs ISO 27001 : différences, articulation, plan d'attaque 2026-05-08T09:00:00Z 2026-05-08T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

ISO 42001 est-elle un substitut, un complément ou un doublon d'ISO 27001 ? Réponse pratique pour les organisations qui doivent décider en 2026 où investir.

https://www.weesec.com/blog/nis2-vs-iso-27001-articulation-conformite.html NIS2 vs ISO 27001 : articulation et conformité conjointe 2026-05-08T09:00:00Z 2026-05-08T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

NIS2 (octobre 2026) et ISO 27001 partagent 70% de leurs exigences. Voici comment articuler les deux pour optimiser l'investissement, et ce que NIS2 ajoute spécifiquement.

https://www.weesec.com/blog/rgpd-vs-iso-27001-articulation-pratique.html RGPD vs ISO 27001 : articulation pratique pour SaaS B2B 2026-05-08T09:00:00Z 2026-05-08T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

RGPD et ISO 27001 sont souvent confondus dans les DDQ enterprise. L'un protège les données personnelles.

https://www.weesec.com/blog/agent-browser-sandbox-permissions-web.html Agent IA qui contrôle un browser : sandbox et permissions web à imposer 2026-05-07T09:00:00Z 2026-05-07T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Les agents qui pilotent un navigateur (Claude Computer Use, OpenAI Operator, browser-use) ouvrent une surface d'attaque très large. Posture défensive concrète.

https://www.weesec.com/blog/nist-ai-rmf-cadre-startups-francaises.html NIST AI RMF : un cadre opérationnel pour startups françaises 2026-05-07T09:00:00Z 2026-05-07T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Comment utiliser le NIST AI Risk Management Framework comme colonne vertébrale d'une démarche IA responsable, sans alourdir vos équipes, et en s'articulant avec l'AI Act.

https://www.weesec.com/blog/pci-dss-4-1-changements-2026.html PCI DSS 4.0.1 : ce qui change concrètement en 2026 2026-05-07T09:00:00Z 2026-05-07T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Authentification multi-facteur étendue, gestion des scripts e-commerce, exigences de continuous compliance — un guide pratique pour les éditeurs qui traitent des paiements.

https://www.weesec.com/blog/agent-appelle-llm-jailbreak-transitif.html Quand un agent IA appelle un autre LLM : le risque de jailbreak transitif 2026-05-06T09:00:00Z 2026-05-06T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Un agent qui en appelle un autre hérite des vulnérabilités de jailbreak du second. Mécanique et patterns d'isolation entre LLM.

https://www.weesec.com/blog/bytedance-sabotage-modeles-insider-threat.html ByteDance, sabotage de modèles : insider threat dans l'IA 2026-05-06T09:00:00Z 2026-05-06T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Un stagiaire accusé d'avoir saboté un projet d'entraînement avec du malware. Comment se prémunir des menaces internes dans une chaîne ML, sans tomber dans la paranoïa.

https://www.weesec.com/blog/iso-27001-audit-controles-attendus.html ISO 27001 audit : ce que les auditeurs vérifient vraiment 2026-05-06T09:00:00Z 2026-05-06T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Au-delà de la documentation, ce que les auditeurs creusent en stage 1 et stage 2 d'une certification ISO 27001. Pour préparer sereinement et éviter les NC évitables.

https://www.weesec.com/blog/soc2-type2-audit-clients-enterprise.html SOC 2 Type II : ce que vos clients enterprise vont vraiment auditer 2026-05-06T09:00:00Z 2026-05-06T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Au-delà du rapport, ce que les acheteurs grand compte demandent en 2026 : preuves de monitoring, gestion des accès IA, tests de résilience. Le SOC 2 a évolué.

https://www.weesec.com/blog/agent-cost-runaway-limits-budget.html Cost runaway : limiter un agent IA qui dérape financièrement 2026-05-05T09:00:00Z 2026-05-05T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Un agent qui boucle, qui hallucine un besoin de retry, ou qui est manipulé peut consommer 1000 fois plus que prévu. Mécanique du runaway et garde-fous.

https://www.weesec.com/blog/ai-act-fournisseurs-amont-obligations-partielles.html AI Act et fournisseurs en amont : obligations partielles 2026-05-05T09:00:00Z 2026-05-05T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Vous fournissez un composant IA à un client qui en fait un système haut risque ? Vous avez des obligations partielles AI Act.

https://www.weesec.com/blog/mercedes-fuite-token-github-secrets.html Mercedes-Benz et la fuite de token GitHub : leçons pour vos secrets 2026-05-05T09:00:00Z 2026-05-05T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Un token oublié dans un repo public, accès aux systèmes internes. Comment scanner, faire tourner et compartimenter vos secrets pour qu'un oubli ne devienne pas une crise.

https://www.weesec.com/blog/agent-fine-tune-backdoor-supply-chain.html Backdoor dans un sous-agent fine-tuné : supply chain des modèles IA 2026-05-04T09:00:00Z 2026-05-04T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Un fine-tuning sur dataset compromis peut introduire un trigger backdoor invisible au testing classique. Mécanique et défenses pour les agents qui s'appuient sur des modèles maison.

https://www.weesec.com/blog/agents-autonomes-privileges-sandbox.html Agents autonomes : périmètre de privilèges, sandbox, kill-switch 2026-05-04T09:00:00Z 2026-05-04T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Un agent qui agit dans le SI a besoin de garde-fous différents d'un chatbot. Architecture sécurisée pour agents tool-using en production.

https://www.weesec.com/blog/vulnerability-disclosure-cra-programme.html Vulnerability disclosure CRA : monter un programme 2026-05-04T09:00:00Z 2026-05-04T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Le CRA exige un canal de signalement de vulnérabilités opérationnel à partir de septembre 2026. Voici les exigences précises et l'architecture du programme — basique mais robuste.

https://www.weesec.com/blog/agent-cloud-functions-iam-minimale.html Agent IA + cloud functions : la posture IAM minimale à imposer 2026-05-03T09:00:00Z 2026-05-03T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Un agent qui invoque des Lambda, des Cloud Run, des Azure Functions hérite des permissions IAM associées. Voici le scoping minimal à appliquer.

https://www.weesec.com/blog/rag-production-securisation-ingestion.html RAG en production : sécuriser ingestion, embeddings et rétrieval 2026-05-03T09:00:00Z 2026-05-03T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Les pipelines RAG accumulent des risques propres : poisoning d'index, fuite cross-tenant, prompt injection indirect. Les bons choix de design dès le départ.

https://www.weesec.com/blog/agent-compromis-runbook-incident-72h.html Agent IA compromis : runbook 0-72h pour la réponse à incident 2026-05-02T09:00:00Z 2026-05-02T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Quand un agent dérape — prompt injection réussie, action non voulue, fuite de contexte — la réponse 0-72h détermine l'impact final. Voici le runbook concret.

https://www.weesec.com/blog/iso-42001-norme-management-ia.html ISO 42001 : la première norme de management de l'IA 2026-05-02T09:00:00Z 2026-05-02T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Pourquoi ISO 42001 prend de la valeur en 2026, comment l'articuler avec ISO 27001 et l'AI Act, et ce que les auditeurs vont vraiment demander.

https://www.weesec.com/blog/cra-roadmap-jalons-2026-2027.html CRA : roadmap des jalons 09/2026 et 12/2027 pour éditeurs SaaS 2026-05-01T09:00:00Z 2026-05-01T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Le Cyber Resilience Act se déploie en deux temps. Voici le séquencement réaliste pour ne pas se faire éjecter du marché européen, jalon par jalon.

https://www.weesec.com/blog/sbom-cra-compliant-generer-maintenir.html SBOM CRA-compliant : générer et maintenir 2026-04-30T09:00:00Z 2026-04-30T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Le CRA exige un SBOM tenu à jour pendant la durée de support du produit. Les exigences spécifiques, les gotchas, et l'architecture qui permet de tenir 5 ans.

https://www.weesec.com/blog/iso-27001-annexe-a-2022-nouveaux-controles.html ISO 27001 Annexe A 2022 : ce que les nouveaux contrôles changent 2026-04-29T09:00:00Z 2026-04-29T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

L'Annexe A 2022 a remplacé 114 contrôles par 93, dont 11 nouveaux. Threat intelligence, cloud security, secure coding : ce que ça change concrètement pour les certifiés.

https://www.weesec.com/blog/ai-act-systemes-haut-risque-aout-2026.html AI Act : préparer les systèmes IA haut risque (Annexe III) 2026-04-25T09:00:00Z 2026-04-25T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Sept piliers à mettre en production avant le 2 août 2026. Décryptage des exigences techniques pour les éditeurs concernés, sans s'enliser dans le juridique pur.

https://www.weesec.com/blog/semgrep-regles-entreprise-personnalisees.html Semgrep : écrire des règles SAST personnalisées pour votre stack 2026-04-22T09:00:00Z 2026-04-22T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Les règles génériques d'un SAST sont du bruit pour vos vrais risques. Semgrep permet d'écrire en 30 minutes des règles qui détectent les patterns dangereux.

https://www.weesec.com/blog/claude-mythos-zero-days-defense.html Claude Mythos : 83% de zero-days reproduits — la défense bouge 2026-04-18T09:00:00Z 2026-04-18T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Le modèle d'Anthropic dévoilé en avril 2026 trouve des failles inédites dans tous les OS et navigateurs majeurs.

https://www.weesec.com/blog/secret-rotation-vault-terraform-argocd.html Secret rotation automatisée : Vault + Terraform + ArgoCD 2026-04-15T09:00:00Z 2026-04-15T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Faire tourner les secrets à la main est faillible et lent. Architecture qui rotation automatiquement, sans toucher au code, en 4 semaines de mise en place.

https://www.weesec.com/blog/claude-anthropic-securiser-api-agents.html Claude Anthropic en entreprise : sécuriser API et agents 2026-04-11T09:00:00Z 2026-04-11T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Cloisonner les workspaces, gérer les clés, surveiller les agents tool-using, encadrer le MCP. Posture de sécurité de bout en bout pour une intégration enterprise de Claude.

https://www.weesec.com/blog/supply-chain-github-actions-audit.html Supply chain : auditer les GitHub Actions utilisées par votre CI 2026-04-08T09:00:00Z 2026-04-08T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Chaque action GitHub utilisée dans votre CI est du code tiers exécuté avec accès à vos secrets. La plupart ne sont jamais auditées. Voici la méthode pour cartographier et durcir.

https://www.weesec.com/blog/project-glasswing-anthropic-coalition.html Project Glasswing : la coalition Anthropic-AWS-Google-Microsoft 2026-04-04T09:00:00Z 2026-04-04T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Une coalition inédite (AWS, Apple, Cisco, CrowdStrike, Google, JPMorgan, Microsoft, NVIDIA, Palo Alto.

https://www.weesec.com/blog/gerer-incident-cyber-7-etapes.html Gérer un incident cyber en 7 étapes 2026-03-28T09:00:00Z 2026-03-28T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Du déclenchement de l'alerte au debriefing post-incident. Le runbook pragmatique pour PME et scale-ups sans CSIRT interne, applicable dès la première heure.

https://www.weesec.com/blog/devsecops-cicd-quality-gates.html DevSecOps en CI/CD : quality gates qui bloquent vraiment 2026-03-21T09:00:00Z 2026-03-21T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

SAST, DAST, SCA, IaC scanning, secret detection. Comment bâtir des portes de qualité qui arrêtent les releases vulnérables sans tuer la vélocité de l'équipe.

https://www.weesec.com/blog/voice-deepfake-entreprise-contremesures.html Voice deepfake en entreprise : contre-mesures pratiques 2026-03-18T09:00:00Z 2026-03-18T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Cloner une voix prend désormais 30 secondes d'audio. Les arnaques au président par téléphone explosent.

https://www.weesec.com/blog/microsoft-copilot-oversharing-7-regles.html Microsoft Copilot et oversharing : 7 règles 2026-03-14T09:00:00Z 2026-03-14T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Pourquoi Copilot rend visibles des fichiers censés rester privés, et comment cadenasser SharePoint, Teams et OneDrive en moins d'une journée pour éviter les remontées explosives.

https://www.weesec.com/blog/owasp-asvs-niveau-2-implications.html OWASP ASVS niveau 2 : ce que ça implique vraiment 2026-03-11T09:00:00Z 2026-03-11T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

ASVS L2 est devenu en 2026 le baseline attendu pour les SaaS B2B. Décryptage des 200+ contrôles, et roadmap pragmatique pour s'aligner sans noyer l'équipe.

https://www.weesec.com/blog/shadow-ai-cas-samsung-chatgpt.html Shadow AI : le cas Samsung × ChatGPT 2026-03-07T09:00:00Z 2026-03-07T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Code source confidentiel collé dans un LLM grand public, comptes-rendus de réunions stratégiques en clair sur l'infra d'un tiers.

https://www.weesec.com/blog/watermarking-sorties-ia-standards-2026.html Watermarking des sorties IA : où en sont les standards en 2026 2026-03-04T09:00:00Z 2026-03-04T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Tatouer cryptographiquement les contenus générés par IA pour permettre leur détection : SynthID, C2PA, watermarking text statistiques.

https://www.weesec.com/blog/slack-ai-faille-prompt-injection.html Slack AI : disséquer une faille de prompt injection 2026-02-28T09:00:00Z 2026-02-28T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Une instruction cachée dans un message public, et l'IA exfiltre des secrets de canaux privés. Anatomie de l'attaque, mécanique du bug.

https://www.weesec.com/blog/rag-multi-tenant-isolation-patterns.html RAG multi-tenant : patterns d'isolation cross-clients 2026-02-25T09:00:00Z 2026-02-25T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Servir un RAG à plusieurs clients sur la même infrastructure exige des choix d'architecture stricts.

https://www.weesec.com/blog/threat-modeling-llm-prompt-injection-jailbreak.html Threat modeling LLM : prompt injection, jailbreak, hijack d'agent 2026-02-21T09:00:00Z 2026-02-21T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Cinq familles de menaces propres aux LLM, leurs vecteurs concrets, et la grille de threat modeling à utiliser dès la conception d'un produit IA.

https://www.weesec.com/blog/securite-pme-7-priorites-avant-rssi.html Sécurité PME : 7 priorités avant de recruter un RSSI 2026-02-14T09:00:00Z 2026-02-14T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Recruter un RSSI quand les fondations ne sont pas posées, c'est payer un poste senior pour faire de la peinture sur du carton.

https://www.weesec.com/blog/local-llm-self-hosted-securite-operationnelle.html Local LLM (Llama, Mistral self-hosted) : sécurité opérationnelle 2026-02-07T09:00:00Z 2026-02-07T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Auto-héberger un LLM (Llama 3, Mistral, Qwen) répond aux exigences de souveraineté et de confidentialité. Mais ce n'est pas

https://www.weesec.com/blog/audit-fournisseur-llm-tiers-ddq.html Audit d'un fournisseur LLM tiers : checklist de DDQ 2026-02-02T09:00:00Z 2026-02-02T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Avant de connecter votre application à un fournisseur LLM (OpenAI, Anthropic, Mistral, Cohere) : la checklist DDQ qui détermine si c'est compatible avec vos.

https://www.weesec.com/blog/multi-agent-systems-collusion-defenses.html Multi-agent systems : risques de collusion et architectures défensives 2026-01-19T09:00:00Z 2026-01-19T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Les systèmes multi-agents (LangGraph, AutoGen, CrewAI) deviennent l'archétype 2026. Leurs vulnérabilités spécifiques : collusion d'agents.

https://www.weesec.com/blog/constitutional-ai-vs-guardrails-classifieur.html Constitutional AI vs guardrails par classifieur : avantages et limites 2026-01-12T09:00:00Z 2026-01-12T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Deux approches dominent les guardrails LLM en 2026 : alignement par Constitutional AI (Anthropic) et classifieurs en sortie (Lakera, NeMo Guardrails).

https://www.weesec.com/blog/red-teaming-automatise-llm-production.html Red teaming automatisé d'un LLM en production 2026-01-05T09:00:00Z 2026-01-05T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Tester en continu vos applications LLM contre les attaques connues : prompt injection, jailbreak, data leakage.

https://www.weesec.com/blog/iso-27001-saas-b2b-roadmap-12-mois.html ISO 27001 pour SaaS B2B : roadmap 12 mois 2025-12-22T09:00:00Z 2025-12-22T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Une certification ISO 27001 ouvre des portes commerciales et conforme à NIS2/DORA/AI Act partiellement. Voici la roadmap honnête sur 12 mois pour une scale-up de 30-150 personnes.

https://www.weesec.com/blog/nis2-transposition-france-concernes.html NIS2 : transposition française, qui est concerné 2025-12-08T09:00:00Z 2025-12-08T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

La directive NIS2 a été transposée en droit français mi-2025. Quelles entreprises sont désormais soumises, à quelles obligations.

https://www.weesec.com/blog/phishing-resistant-passkeys-90-jours.html Phishing résistant : passer toute l'org sur passkeys en 90 jours 2025-11-24T09:00:00Z 2025-11-24T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Le MFA classique (SMS, TOTP, push) est contourné par les kits AiTM modernes. Les passkeys et FIDO2 sont la seule défense résistante au phishing.

https://www.weesec.com/blog/dora-saas-financiers-roadmap-2026.html DORA : ce que les éditeurs SaaS financiers doivent préparer 2025-11-10T09:00:00Z 2025-11-10T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

DORA s'applique depuis le 17 janvier 2025 aux entités financières et à leurs prestataires TIC critiques.

https://www.weesec.com/blog/sigstore-signature-containers-demarrage.html Sigstore et la signature de containers : démarrage minimal 2025-10-27T09:00:00Z 2025-10-27T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Sigstore est devenu le standard 2024-2026 pour signer images, binaires et artefacts logiciels sans gérer de clés long-terme. Comment démarrer en 30 minutes sur votre pipeline.

https://www.weesec.com/blog/osint-preventif-exposition-externe-1-jour.html OSINT préventif : auditer votre exposition externe en 1 journée 2025-10-13T09:00:00Z 2025-10-13T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Avant qu'un attaquant ne le fasse, cartographier votre surface d'attaque externe : sous-domaines oubliés, secrets exposés, employés ciblables.

https://www.weesec.com/blog/cyber-assurance-2026-controles-assureurs.html Cyber-assurance : ce que les assureurs vérifient en 2026 2025-09-29T09:00:00Z 2025-09-29T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Avant de signer une cyber-assurance ou de la renouveler, les assureurs auditent désormais une checklist précise.

https://www.weesec.com/blog/sbom-2026-spdx-cyclonedx-pratique.html SBOM en 2026 : générer, signer, distribuer (SPDX vs CycloneDX) 2025-09-15T09:00:00Z 2025-09-15T09:00:00Z Aroua Biri https://www.weesec.com/about/aroua-biri.html contact@weesec.com

Le SBOM (Software Bill of Materials) devient une exigence concrète sous CRA et NIS2. Comment le produire automatiquement, le signer, le maintenir vivant.