Aller au contenu principal
Blog

Blog & Conseils Cybersécurité

Articles, bonnes pratiques et actualités pour protéger votre entreprise contre les cybermenaces.

Bonnes pratiques 4 min25 juin 2026

Vulnerability Management : le vrai défi n'est pas de trouver les failles, c'est de prioriser

Entre les scans quotidiens et les centaines de CVE hebdomadaires, le backlog devient vite ingérable. La plupart des équipes ne manquent pas d'informations — elles manquent de priorisation. Voici l'approche que j'applique pour concentrer les efforts là où ils réduisent réellement le risque : CISA KEV, EPSS, inventaire d'actifs et automatisation.

Vulnerability Management CISA KEV EPSS CVSS Patch Management
Lire l'article
Actualités 3 min25 juin 2026

Alerte CVE — CVE-2026-20230 : une faille Cisco Unified CM activement exploitée

Cisco confirme des tentatives d'exploitation de la CVE-2026-20230, une SSRF non authentifiée affectant Unified Communications Manager. Lorsque le service WebDialer est activé, elle peut conduire à l'écriture de fichiers puis à une élévation de privilèges jusqu'à root. Voici quoi vérifier et corriger en priorité.

CVE Cisco Threat Intel Patch Management Vulnerability Management
Lire l'article
Bonnes pratiques 4 min18 juin 2026

Le plus grand défi du RSSI n'est pas technique : convaincre son COMEX

Les équipes sécurité parlent CVE et CVSS ; les dirigeants raisonnent chiffre d'affaires, continuité et confiance client. Deux conversations qui ne se rencontrent pas. Voici comment traduire le risque cyber en langage business et enfin être entendu en comité de direction.

RSSI GRC Risk Management Gouvernance ISO 27001
Lire l'article
DevSecOps 5 min17 juin 2026

47 secondes : pourquoi le secret scanning manuel ne tiendra jamais le rythme

Un fondateur pousse une clé AWS sur GitHub. 47 secondes plus tard, un bot l'a détectée — pas nous. Le vrai problème du secret scanning manuel : on demande à des humains de surveiller quelque chose qui va plus vite qu'eux. Voici le dispositif que j'ai mis en place, sans ralentir les devs.

DevSecOps Secret Scanning Gitleaks Vault Cloud Security
Lire l'article
Actualités 5 min17 juin 2026

Cyber Weekly Recap #25 — Supply chain, IA offensive et cloud sous pression

La semaine 25 confirme une tendance de fond : les attaquants délaissent les vulnérabilités complexes au profit des chaînes d'approvisionnement logicielles, des identités et du cloud. Typosquatting PyPI/NPM, IA qui accélère l'exploitation, infrastructures critiques sous pression — et les actions à mener.

Supply Chain Threat Intel DevSecOps Cloud IA
Lire l'article
Bonnes pratiques 5 min17 juin 2026

Sortir du mode pompier : comment une équipe sécurité passe du réactif au proactif

Pourquoi tant d'équipes cybersécurité passent-elles leurs journées à éteindre des incendies ? Souvent, ce n'est pas un manque de ressources, mais un manque de temps proactif. Voici trois leviers concrets pour sortir du cercle vicieux.

SOC Gouvernance Maturité Automatisation Gestion des risques
Lire l'article
Sensibilisation 4 min17 juin 2026

OSINT : ce qu'un inconnu peut découvrir sur vous (et comment réduire votre exposition)

Quelques recherches ouvertes, quelques recoupements, parfois une simple adresse email : c'est le principe de l'OSINT. Et c'est aussi un excellent moyen d'évaluer votre propre exposition numérique. Voici comment faire votre audit OSINT et réduire votre empreinte.

OSINT Empreinte numérique Privacy Phishing Sensibilisation
Lire l'article
Bonnes pratiques 4 min17 juin 2026

5 outils que j'utilise vraiment au quotidien (sur 30+ testés)

J'ai testé plus de 30 outils ces deux dernières années. Aujourd'hui, j'en utilise réellement 5. Parce que la productivité ne consiste pas à empiler les outils, mais à éliminer les frictions. Voici ma stack — et pourquoi.

Productivité Outils GRC DevOps Knowledge Management
Lire l'article
Technique 4 min17 juin 2026

Cisco SD-WAN : gérer une faille activement exploitée sans correctif (CVE-2026-20245)

Que faire lorsqu'une vulnérabilité est activement exploitée mais qu'aucun correctif n'est disponible ? C'est la situation de la CVE-2026-20245 sur Cisco Catalyst SD-WAN Manager. Quand le patch n'existe pas encore, les mesures compensatoires deviennent votre première ligne de défense.

Cisco SD-WAN CVE Vulnérabilité Incident
Lire l'article
Conformité 4 min8 juin 2026

Amende CNIL de 5 M€ : la leçon IQVIA sur les données de santé

5 millions d'euros d'amende infligée par la CNIL à IQVIA pour des manquements dans la gestion de données de santé. Derrière ce chiffre, une leçon que toute organisation devrait retenir : avec les données sensibles, l'approximation n'existe pas.

RGPD CNIL Données de santé Privacy AIPD
Lire l'article
Conformité 4 min30 mars 2026

Weekly Regulatory Recap #13 — NIS2, RGPD, CRA : les 5 actualités de la semaine

NIS2 guides ANSSI, action coordonnée CEPD sur la transparence RGPD, panorama cybermenace +35%, Cyber Resilience Act et ENISA CVE Root Authority. Le tour d'horizon réglementaire de la semaine.

NIS2 RGPD ANSSI ENISA Cyber Resilience Act
Lire l'article
Sensibilisation 2 min27 avril 2026

Security Tip : 3 réflexes simples pour ne plus se faire piéger par le phishing

Le phishing ne cible pas vos systèmes. Il cible vos collaborateurs. Et 91% des violations commencent là. Voici les 3 réflexes à adopter immédiatement.

Phishing Sensibilisation Humain MFA Signalement
Lire l'article
Actualités 5 min27 avril 2026

Cyber Weekly Recap — Trivy, Cisco RCE, Commission européenne, LiteLLM, Hasbro

5 incidents majeurs cette semaine : compromission de Trivy en CI/CD, RCE Cisco exploitée activement, institution européenne touchée, LiteLLM dans la supply chain IA, et Hasbro offline.

Weekly Supply Chain CVE Ransomware ThreatIntel
Lire l'article
Bonnes pratiques 4 min27 avril 2026

J'ai failli me faire compromettre à cause de mes mots de passe. Voici ce que j'ai changé.

Complexité artificielle, rotation forcée, questions de sécurité… Une grande partie de ce qu'on nous a appris est dépassée. Ce que recommande vraiment le NIST aujourd'hui.

Mots de passe MFA NIST Sensibilisation Bitwarden
Lire l'article
Technique 4 min27 avril 2026

J'ai sécurisé mon SSH en moins de 10 minutes. Voici exactement ce que j'ai fait.

Root login activé, port 22 exposé, mot de passe sans fail2ban… Les erreurs SSH les plus courantes et la checklist en 7 étapes pour les corriger définitivement.

SSH Linux Hardening SysAdmin DevOps
Lire l'article
Actualités 4 min13 avril 2026

Threat Intel Weekly #15 — Les 3 menaces à surveiller (10–13 avril 2026)

RCE critique sur Marimo déjà exploitée, 4 000 équipements industriels exposés sur Internet, 20 000 victimes de fraude crypto. Le recap des menaces de la semaine.

Threat Intel RCE IoT/OT Crypto Weekly
Lire l'article
Conformité 3 min27 avril 2026

La GRC cybersécurité en 60 secondes : votre bouclier stratégique

Governance, Risk, Compliance — trois lettres que beaucoup assimilent à de la paperasse. En réalité, la GRC est le levier qui vous permet de mieux décider, d'anticiper les risques et de structurer votre sécurité.

GRC ISO 27001 RGPD NIS2 Gouvernance
Lire l'article
Bonnes pratiques 3 min27 avril 2026

Il a perdu 3 ans de photos en un instant. La règle 3-2-1 aurait tout sauvé.

Un disque dur qui clique, puis plus rien. 3 ans de souvenirs effacés. Une règle simple, qui prend 15 secondes à comprendre, aurait tout évité.

Backup Données PME Freelance Continuité
Lire l'article
Actualités 4 min27 avril 2026

Fuite de données à l'ANTS : une faille basique, des millions de citoyens exposés

Jusqu'à 19 millions de Français potentiellement exposés suite à une vulnérabilité IDOR sur la plateforme de l'Agence nationale des titres sécurisés. Retour sur une faille simple aux conséquences majeures.

Data Breach IDOR AppSec RGPD France
Lire l'article
DevSecOps 4 min27 avril 2026

J'ai commité un secret par erreur. Alors j'ai tout sécurisé en 45 minutes.

Plus de 50% des fichiers de code contiennent des données sensibles. Voici comment mettre en place détection, prévention et monitoring pour que ça n'arrive plus jamais.

DevSecOps Git Secrets DLP ShiftLeft
Lire l'article
Bonnes pratiques 5 min26 avril 2026

Cybersécurité PME : la checklist essentielle (à mettre en place dès aujourd'hui)

Diriger une PME sans cybersécurité, c'est comme laisser la porte ouverte. Découvrez les 10 mesures prioritaires pour réduire drastiquement vos risques — sans être expert.

PME Cybersécurité RGPD Bonnes pratiques
Lire l'article
Technique 4 min29 avril 2026

J'ai mis en place un début de PAM en 45 minutes. Voici comment — et pourquoi.

Une grande partie des attaques impliquent des comptes à privilèges. Quand un attaquant obtient un accès admin, il n'hacke plus… il opère légitimement. Voici comment structurer un PAM minimal en 45 minutes.

PAM IAM ZeroTrust AccessManagement KeePassXC
Lire l'article
Sensibilisation 3 min29 avril 2026

5 signes qui ne trompent pas : reconnaître un email de phishing en 30 secondes

Le phishing reste le vecteur d'attaque n°1. La bonne nouvelle : dans la majorité des cas, il est détectable en quelques secondes. Voici les 5 signaux d'alerte à connaître.

Phishing Email Sensibilisation SecurityAwareness InfoSec
Lire l'article
Bonnes pratiques 3 min29 avril 2026

Best Practice — Sécuriser ses mots de passe en 1 heure

81% des compromissions impliquent des identifiants faibles ou réutilisés. La bonne nouvelle : vous pouvez considérablement réduire ce risque en moins d'une heure.

PasswordManager MFA Bitwarden SecurityBestPractices InfoSec
Lire l'article
Technique 4 min29 avril 2026

Blue Team Use Case — Détection de Mimikatz

Mimikatz reste l'outil de référence pour le vol de credentials. 80% des compromissions impliquent du credential dumping. Voici comment le détecter avant l'exfiltration.

BlueTeam SOC Mimikatz Sigma ThreatDetection
Lire l'article
DevSecOps 4 min29 avril 2026

Best Practice — Prévenir les SQL Injection (SQLi)

Malgré 20 ans de sensibilisation, la SQL Injection reste une vulnérabilité majeure : 18% des compromissions web l'exploitent encore. 94% sont pourtant évitables avec des bonnes pratiques simples.

SQLInjection AppSec OWASP SecureCoding DevSecOps
Lire l'article
Technique 4 min29 avril 2026

Red Team — Tester la résilience des WAF face aux XSS

Les WAF modernes filtrent efficacement les payloads classiques. Mais ils ne sont pas infaillibles. Voici les axes de test essentiels pour évaluer leur robustesse en audit.

RedTeam XSS WAF Pentest BugBounty
Lire l'article
Technique 4 min31 mai 2026

L'invisible qui sauve tout — Shadow Work, Mai 2026

Un mois entier à polir l'invisible. Shadow Audit, automatisation GRC, robustesse by design. Ce que personne ne voit… jusqu'au jour où ça sauve tout.

BuildInPublic ShadowAudit GRC SaaSFactory Robustesse
Lire l'article
DevSecOps 5 min31 mai 2026

Cloud sécurisé par défaut ? Non. Voici comment passer du mode Espoir au mode Preuve.

Les meilleurs firewalls ne protègent rien si un bucket S3 devient public par erreur. Pendant 2 ans, j'ai vécu la tension de ne pas vraiment savoir. Voici les 3 piliers qui ont tout changé.

CloudSecurity AWS Azure DevSecOps Monitoring MultiCloud
Lire l'article
Technique 4 min31 mai 2026

Red Team Reality Check — Comprendre le radar plutôt que de l'éviter

Les EDR modernes voient presque tout. Les bons SOC ne reposent plus sur des signatures. Le Red Teaming moderne, ce n'est plus juste passer sous le radar — c'est comprendre comment il fonctionne.

RedTeam BlueTeam SOC ThreatHunting EDR InfoSec
Lire l'article
Technique 5 min31 mai 2026

Blue Team Use Case — Détection & Réponse aux Incidents : les 15 premières minutes

Votre SOC détecte une activité suspecte à 3h du matin. Ce qui se passe dans les 15 premières minutes peut faire toute la différence. Un cas concret Finance + les 5 pratiques qui changent tout.

BlueTeam SOC IncidentResponse DFIR ThreatDetection InfoSec
Lire l'article
Conformité 4 min3 juin 2026

PolicyForge : la documentation de conformité enfin accessible aux PME

La conformité ISO 27001, SOC 2 ou NIS2 commence toujours par la documentation. PolicyForge génère des politiques professionnelles et personnalisées pour répondre à ce défi sans y passer des semaines.

ISO 27001 Conformité GRC PME PolicyForge RGPD NIS2
Lire l'article

Recevez nos prochains articles

Bonnes pratiques, alertes menaces et cas concrets directement dans votre boîte mail.