Recommandation De Sécurité

🏛️ Contexte Publiée le 14 mai 2026 par le Government Digital Service (GDS) et le Department for Science, Innovation and Technology (DSIT), cette guidance s’adresse aux responsables technologiques du secteur public britannique. Elle répond à la question de savoir si l’accélération de la découverte de vulnérabilités par l’IA justifie d’abandonner la politique de publication du code source « en open » par défaut. 🔍 Constat principal La guidance affirme que le principal facteur de risque d’exploitation reste la présence de faiblesses dans les systèmes (vulnérabilités non corrigées, implémentation non sécurisée, configuration défaillante) et l’incapacité à les corriger rapidement. La publication du code source ne crée pas ces faiblesses, mais peut réduire modestement l’incertitude des attaquants et accélérer l’analyse, un effet susceptible de croître avec l’assistance de l’IA. ...

🧭 Contexte Publié le 12 mai 2026 par Ross McKerchar (CSO de Sophos), cet article de recherche traite des risques de sécurité liés au déploiement d’agents IA en entreprise, en particulier face à la menace d’injection de prompt indirecte (indirect prompt injection). L’article s’appuie sur des travaux de recherche récents, notamment une étude Google d’avril 2026 sur le dépôt Common Crawl. ⚠️ La menace : la « trifecta létale » Les agents IA opèrent souvent au centre de ce que Simon Wilson nomme la « lethal trifecta » : ils accèdent à des données privées, traitent du contenu non fiable, et communiquent vers l’extérieur. Cette combinaison les rend vulnérables à l’injection de prompt indirecte, où un attaquant plante des instructions dans du contenu lu par l’agent (email, page web, document), qui les exécute avec les privilèges de l’utilisateur légitime. ...

🌐 Contexte Publié le 1 mai 2026 sur le site de la CISA, ce document est une guidance conjointe co-rédigée par l’ASD/ACSC (Australie), la CISA et la NSA (États-Unis), le Centre canadien pour la cybersécurité, le NCSC-NZ (Nouvelle-Zélande) et le NCSC-UK (Royaume-Uni). Il s’adresse aux gouvernements, opérateurs d’infrastructures critiques et acteurs industriels qui conçoivent, développent, déploient ou opèrent des systèmes d’IA agentique basés sur des LLM. 🤖 Définition et périmètre Les systèmes d’IA agentique se distinguent de l’IA générative classique par leur capacité à agir de manière autonome, à planifier sur le long terme, à atteindre des objectifs sous-spécifiés et à créer des sous-agents. Ils intègrent des LLM, des outils externes, des sources de données, des mémoires et des workflows de planification. ...

🏛️ Contexte Publié le 1er mai 2026 sur le blog officiel du NCSC (National Cyber Security Centre, Royaume-Uni), ce billet est signé par Ollie Whitehouse, CTO du NCSC. Il s’inscrit dans une série de publications sur les capacités offensives de l’IA et la résilience cyber. ⚠️ Menace identifiée Le NCSC constate que l’intelligence artificielle, utilisée par des individus suffisamment qualifiés, est désormais capable d’exploiter la dette technique à grande échelle et à grande vitesse dans l’ensemble de l’écosystème technologique. Cette dette technique — accumulée dans les logiciels open source, commerciaux, propriétaires et SaaS — constitue une surface d’attaque latente massive. ...

🌐 Contexte Publié le 23 avril 2026 par le NCSC (National Cyber Security Centre) du Royaume-Uni lors de la conférence CYBERUK 2026, cet avis conjoint implique 15 agences partenaires issues de 9 pays (Australie, Canada, Allemagne, Japon, Pays-Bas, Nouvelle-Zélande, Espagne, Suède, États-Unis). 🎯 Menace identifiée L’avis porte sur l’utilisation à grande échelle de réseaux couverts (covert networks) par des acteurs liés à la Chine pour masquer l’origine de leurs cyberattaques. Ces réseaux sont constitués d’appareils connectés compromis (routeurs domestiques, objets connectés, équipements edge) formant des botnets. ...

🏛️ Contexte Publié le 23 avril 2026 par The Register, cet article rapporte une annonce officielle du National Cyber Security Centre (NCSC) britannique lors de sa conférence annuelle CYBERUK. Il s’agit de la première fois que l’agence recommande explicitement d’abandonner les mots de passe au profit des passkeys. 🔑 Contenu de la recommandation Le NCSC a publié un rapport technique concluant que les passkeys sont « au moins aussi sécurisés, et généralement plus sécurisés » qu’une combinaison mot de passe + vérification en deux étapes (2SV). La nouvelle guidance officielle stipule que les mots de passe ne doivent plus être utilisés là où les passkeys sont disponibles. ...

🌐 Contexte Publié le 13 avril 2026 par la Cloud Security Alliance (CSA), SANS Institute, [un]prompted et l’OWASP Gen AI Security Project, ce document de stratégie (version 0.4) analyse l’émergence de Claude Mythos (Preview) d’Anthropic comme point d’inflexion majeur dans la découverte automatisée de vulnérabilités et l’exploitation offensive par IA. ⚡ Événement déclencheur : Claude Mythos & Project Glasswing Anthropic a annoncé le 7 avril 2026 le modèle Claude Mythos Preview, accompagné du Project Glasswing, décrit comme le plus grand effort de coordination multi-parties de l’histoire pour la divulgation de vulnérabilités. Mythos se distingue par : ...

Selon ENISA (Agence de l’Union européenne pour la cybersécurité), ce document v1.1 publié en mars 2026 fournit un avis technique pour sécuriser la consommation de paquets dans les écosystèmes logiciels (npm, pip, Maven, etc.), en couvrant les risques, les menaces supply chain et des recommandations opérationnelles pour les développeurs. • Panorama des risques et du contexte Le guide distingue deux grandes familles de risques: vulnérabilités inhérentes aux paquets (mauvaises pratiques de codage, projets abandonnés) et attaques de la supply chain (insertion de paquets malveillants, compromission de paquets légitimes, typosquatting, namespace/dependency confusion). Il illustre l’ampleur potentielle via des exemples concrets (ex.: incident npm touchant des paquets à très fort volume de téléchargements; vulnérabilité critique React CVE-2025-55182) et rappelle l’effet de cascade sur des millions de projets. • Menaces supply chain mises en avant ⚠️ ...

Source: billet de blog de Filippo Valsorda (filippo.io), publié le 20 février 2026. Contexte: retour d’expérience sur la gestion des vulnérabilités et des mises à jour de dépendances dans l’écosystème Go, avec un cas concret lié à un correctif cryptographique. — • L’auteur affirme que Dependabot génère une forte charge d’alertes inutiles (faux positifs, scores CVSS fantaisistes, « compatibilité » alarmiste), en particulier pour Go. Exemple à l’appui: après un correctif de sécurité publié pour filippo.io/edwards25519 (méthode Point.MultiScalarMult), Dependabot a ouvert des milliers de PRs vers des dépôts non affectés, y compris un faux avertissement pour le dépôt Wycheproof qui n’importait que le sous-paquet non concerné (filippo.io/edwards25519/field). ...

Source et contexte: Commission européenne (DG CNECT) – Rapport de l’Expert Group « Submarine Cable Infrastructures » (janvier 2026), soutenu par Analysys Mason & Axiom, pour mettre en œuvre l’EU Action Plan on Cable Security (2025). • Le rapport finalise une « Cable Security Toolbox » composée de 10 mesures (6 stratégiques, 4 techniques) visant la prévention, la détection, la réponse & reprise, et la dissuasion des menaces sur les câbles sous‑marins télécom/énergie. Il s’appuie sur 7 scénarios de risque: sabotage physique de câbles, attaque/sabotage de sites d’atterrage (dont intrusion cyber), coupures d’alimentation, perturbation des capacités de maintenance, ruptures de chaîne d’approvisionnement, dommages accidentels, aléas naturels. ...