Tags populaires:
Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Vulnérabilités critiques découvertes dans les coffres de gestion des secrets

2025-08-07
Vulnérabilités critiques découvertes dans les coffres de gestion des secrets

Des chercheurs ont découvert des failles logiques subtiles dans HashiCorp Vault et CyberArk Conjur, permettant aux attaquants de contourner l'authentification, d'échapper aux contrôles de politiques et d'usurper des comptes. Ces coffres, qui stockent les informations d'identification régissant l'accès aux systèmes et aux données, constituent la colonne vertébrale de l'infrastructure numérique. Une compromission signifie une perte complète de l'infrastructure. Les vulnérabilités, divulguées de manière responsable et désormais corrigées, soulignent la nécessité critique d'une gestion robuste des secrets et d'un contrôle d'accès.

Lire plus
(www.csoonline.com)
Technologie

Xbow signale près de 1 000 vulnérabilités, dont une faille zero-day dans le VPN de Palo Alto Networks

2025-07-06
Xbow signale près de 1 000 vulnérabilités, dont une faille zero-day dans le VPN de Palo Alto Networks

La société de recherche en sécurité Xbow a soumis près de 1 060 vulnérabilités à HackerOne au cours des 90 derniers jours, notamment des failles critiques telles que l'exécution de code à distance et la divulgation d'informations. Elle a également découvert et signalé une vulnérabilité inconnue jusqu'alors dans le VPN GlobalProtect de Palo Alto Networks, affectant plus de 2 000 hôtes. Bien que de nombreuses vulnérabilités aient été traitées (130 résolues, 303 triées), environ 45 % restent non corrigées, soulignant le volume et l'impact importants des vulnérabilités divulguées.

Lire plus
(www.csoonline.com)
Technologie

Microsoft nomme un nouveau CISO adjoint pour l'Europe pour faire face à des réglementations plus strictes en matière de cybersécurité

2025-05-03
Microsoft nomme un nouveau CISO adjoint pour l'Europe pour faire face à des réglementations plus strictes en matière de cybersécurité

Microsoft a nommé un nouveau Directeur de la sécurité de l'information adjoint (CISO) pour l'Europe, chargé de garantir le respect des réglementations de cybersécurité de plus en plus strictes de l'UE, telles que la loi sur la résilience opérationnelle numérique (DORA), la directive NIS2 et la loi sur la résilience cybernétique (CRA). Ce rôle est crucial pour la conformité de Microsoft en Europe et sa stratégie mondiale de cybersécurité, soulignant l'accent mis par l'entreprise sur la sécurité des données européennes et la résilience cybernétique. Bien que Microsoft n'ait pas révélé plus de détails, cette mesure montre que l'entreprise fait face de manière proactive à l'évolution du paysage mondial de la cybersécurité.

Lire plus
(www.csoonline.com)
Technologie Réglementations européennes

Risques de sécurité de Google Analytics : Un casse-tête pour le RSSI

2025-04-26
Risques de sécurité de Google Analytics : Un casse-tête pour le RSSI

Les RSSI doivent évaluer attentivement les risques liés au partage de données avec des tiers, notamment lors de l'utilisation de Google Analytics. L'article souligne que Google Analytics peut collecter involontairement des données sensibles, telles que des informations personnelles identifiables (PII) intégrées dans les URL (noms, e-mails, dates de naissance, etc.) ou les valeurs des champs de formulaire. Pour éviter cela, les RSSI doivent s'assurer que, lors de la configuration de Google Analytics, tous les paramètres de requête, les entrées de formulaire et les éléments de page dynamiques susceptibles de contenir des données sensibles sont filtrés. Sinon, ces données pourraient être suivies et collectées par Google Analytics, ce qui représente des risques de sécurité importants.

Lire plus
(www.csoonline.com)
Technologie RSSI

Le système de numérotation CVE au bord de l'effondrement : le DHS met fin à son contrat avec MITRE

2025-04-16
Le système de numérotation CVE au bord de l'effondrement : le DHS met fin à son contrat avec MITRE

Le Département de la sécurité intérieure des États-Unis (DHS) a mis fin à son contrat de 25 ans avec MITRE, laissant le système de numérotation des vulnérabilités CVE au bord de l'effondrement. Cela entraînera un énorme arriéré dans la base de données nationale des vulnérabilités (NVD), avec plus de 30 000 vulnérabilités en attente de traitement et plus de 80 000 autres « différées » (c'est-à-dire qu'elles ne seront pas entièrement analysées). Cette mesure aura de graves conséquences sur la gestion des vulnérabilités dans le monde entier, créant des défis importants pour les organisations qui dépendent des informations CVE/NVD. Les bases de données nationales des vulnérabilités, comme celles de la Chine et de la Russie, seront également affectées. La raison de la résiliation du contrat reste floue, mais elle est probablement liée aux mesures de réduction des coûts de l'administration Trump.

Lire plus
(www.csoonline.com)
Technologie