Recommandation De Sécurité

🌐 Contexte Publié le 1 mai 2026 sur le site de la CISA, ce document est une guidance conjointe co-rédigée par l’ASD/ACSC (Australie), la CISA et la NSA (États-Unis), le Centre canadien pour la cybersécurité, le NCSC-NZ (Nouvelle-Zélande) et le NCSC-UK (Royaume-Uni). Il s’adresse aux gouvernements, opérateurs d’infrastructures critiques et acteurs industriels qui conçoivent, développent, déploient ou opèrent des systèmes d’IA agentique basés sur des LLM. 🤖 Définition et périmètre Les systèmes d’IA agentique se distinguent de l’IA générative classique par leur capacité à agir de manière autonome, à planifier sur le long terme, à atteindre des objectifs sous-spécifiés et à créer des sous-agents. Ils intègrent des LLM, des outils externes, des sources de données, des mémoires et des workflows de planification. ...

🏛️ Contexte Publié le 1er mai 2026 sur le blog officiel du NCSC (National Cyber Security Centre, Royaume-Uni), ce billet est signé par Ollie Whitehouse, CTO du NCSC. Il s’inscrit dans une série de publications sur les capacités offensives de l’IA et la résilience cyber. ⚠️ Menace identifiée Le NCSC constate que l’intelligence artificielle, utilisée par des individus suffisamment qualifiés, est désormais capable d’exploiter la dette technique à grande échelle et à grande vitesse dans l’ensemble de l’écosystème technologique. Cette dette technique — accumulée dans les logiciels open source, commerciaux, propriétaires et SaaS — constitue une surface d’attaque latente massive. ...

🌐 Contexte Publié le 23 avril 2026 par le NCSC (National Cyber Security Centre) du Royaume-Uni lors de la conférence CYBERUK 2026, cet avis conjoint implique 15 agences partenaires issues de 9 pays (Australie, Canada, Allemagne, Japon, Pays-Bas, Nouvelle-Zélande, Espagne, Suède, États-Unis). 🎯 Menace identifiée L’avis porte sur l’utilisation à grande échelle de réseaux couverts (covert networks) par des acteurs liés à la Chine pour masquer l’origine de leurs cyberattaques. Ces réseaux sont constitués d’appareils connectés compromis (routeurs domestiques, objets connectés, équipements edge) formant des botnets. ...

🏛️ Contexte Publié le 23 avril 2026 par The Register, cet article rapporte une annonce officielle du National Cyber Security Centre (NCSC) britannique lors de sa conférence annuelle CYBERUK. Il s’agit de la première fois que l’agence recommande explicitement d’abandonner les mots de passe au profit des passkeys. 🔑 Contenu de la recommandation Le NCSC a publié un rapport technique concluant que les passkeys sont « au moins aussi sécurisés, et généralement plus sécurisés » qu’une combinaison mot de passe + vérification en deux étapes (2SV). La nouvelle guidance officielle stipule que les mots de passe ne doivent plus être utilisés là où les passkeys sont disponibles. ...

🌐 Contexte Publié le 13 avril 2026 par la Cloud Security Alliance (CSA), SANS Institute, [un]prompted et l’OWASP Gen AI Security Project, ce document de stratégie (version 0.4) analyse l’émergence de Claude Mythos (Preview) d’Anthropic comme point d’inflexion majeur dans la découverte automatisée de vulnérabilités et l’exploitation offensive par IA. ⚡ Événement déclencheur : Claude Mythos & Project Glasswing Anthropic a annoncé le 7 avril 2026 le modèle Claude Mythos Preview, accompagné du Project Glasswing, décrit comme le plus grand effort de coordination multi-parties de l’histoire pour la divulgation de vulnérabilités. Mythos se distingue par : ...

Selon ENISA (Agence de l’Union européenne pour la cybersécurité), ce document v1.1 publié en mars 2026 fournit un avis technique pour sécuriser la consommation de paquets dans les écosystèmes logiciels (npm, pip, Maven, etc.), en couvrant les risques, les menaces supply chain et des recommandations opérationnelles pour les développeurs. • Panorama des risques et du contexte Le guide distingue deux grandes familles de risques: vulnérabilités inhérentes aux paquets (mauvaises pratiques de codage, projets abandonnés) et attaques de la supply chain (insertion de paquets malveillants, compromission de paquets légitimes, typosquatting, namespace/dependency confusion). Il illustre l’ampleur potentielle via des exemples concrets (ex.: incident npm touchant des paquets à très fort volume de téléchargements; vulnérabilité critique React CVE-2025-55182) et rappelle l’effet de cascade sur des millions de projets. • Menaces supply chain mises en avant ⚠️ ...

Source: billet de blog de Filippo Valsorda (filippo.io), publié le 20 février 2026. Contexte: retour d’expérience sur la gestion des vulnérabilités et des mises à jour de dépendances dans l’écosystème Go, avec un cas concret lié à un correctif cryptographique. — • L’auteur affirme que Dependabot génère une forte charge d’alertes inutiles (faux positifs, scores CVSS fantaisistes, « compatibilité » alarmiste), en particulier pour Go. Exemple à l’appui: après un correctif de sécurité publié pour filippo.io/edwards25519 (méthode Point.MultiScalarMult), Dependabot a ouvert des milliers de PRs vers des dépôts non affectés, y compris un faux avertissement pour le dépôt Wycheproof qui n’importait que le sous-paquet non concerné (filippo.io/edwards25519/field). ...

Source et contexte: Commission européenne (DG CNECT) – Rapport de l’Expert Group « Submarine Cable Infrastructures » (janvier 2026), soutenu par Analysys Mason & Axiom, pour mettre en œuvre l’EU Action Plan on Cable Security (2025). • Le rapport finalise une « Cable Security Toolbox » composée de 10 mesures (6 stratégiques, 4 techniques) visant la prévention, la détection, la réponse & reprise, et la dissuasion des menaces sur les câbles sous‑marins télécom/énergie. Il s’appuie sur 7 scénarios de risque: sabotage physique de câbles, attaque/sabotage de sites d’atterrage (dont intrusion cyber), coupures d’alimentation, perturbation des capacités de maintenance, ruptures de chaîne d’approvisionnement, dommages accidentels, aléas naturels. ...

Source: cisa.gov — CISA publie, en réponse à l’Executive Order 14306, des listes régulièrement mises à jour de catégories de produits matériels et logiciels qui intègrent des standards de cryptographie post-quantique (PQC), afin d’orienter les plans d’acquisition vers des produits compatibles PQC lorsque ceux-ci sont « largement disponibles ». Standards NIST pris en compte: FIPS 203 (ML-KEM) pour l’établissement de clés, FIPS 204 (ML-DSA) et FIPS 205 (SLH-DSA) pour les signatures numériques, ainsi que la recommandation de schémas de signatures étatful (LMS, HSS, XMSS, XMSSMT – NIST SP 800-208). Le NIST IR 8547 cadre la transition vers ces standards. ...

Contexte: Cloud Security Alliance (CSA), article de Rich Mogull (01/09/2026). 🔍 Message central: l’auteur propose que la première question sécurité sur tout projet d’IA soit « Pourquoi ? Quel résultat métier visons-nous ? », immédiatement suivie de « Comment cela l’atteint-il ? ». Cette approche force une discussion concrète sur l’architecture, l’interaction humaine, l’accès aux données, la conformité et les risques, plutôt que de déployer l’IA par effet de mode. ...