Pour que la gestion des accès ne soit pas aussi pénible qu'un "jour sans fin". La gestion des accès (IAM) contrôle qui peut accéder à quoi dans les systèmes d'information via l'identification, l'autorisation et la traçabilité, sachant que 80% des violations de données impliquent des identifiants compromis ou mal gérés. Les principes essentiels sont le moindre privilège, la séparation des tâches, la révocation immédiate des accès, l'authentification multifacteur et l'audit régulier, mis en œuvre via des outils comme Active Directory, le Single Sign-On et les solutions PAM pour comptes privilégiés. C'est un processus d'amélioration continue nécessitant automatisation, formation des utilisateurs et équilibre entre sécurité robuste et expérience utilisateur fluide. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

Cet épisode établit un parallèle entre l'approche minimaliste de Piet Mondrian et le "hardening" en cybersécurité. Les systèmes arrivent avec des configurations dangereuses (admin/admin, FTP, Telnet activés) qu'il faut sécuriser en appliquant le principe du moindre privilège. Ce n'est pas une opération ponctuelle mais un processus continu nécessitant des contrôles automatisés, car les mises à jour et modifications peuvent annuler les règles de sécurité. L'objectif est de ne garder que le strict nécessaire pour rendre le système plus robuste et plus facile à défendre. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

Cet épisode s’ouvre sur une comparaison entre les fortifications de Vauban et la protection des systèmes informatiques : comme les châteaux d’autrefois, les entreprises doivent aujourd’hui bâtir des défenses en profondeur plutôt que de compter sur un simple mur périmétrique. Le narrateur montre comment l’évolution technologique — explosion de la connectivité, complexité des architectures et sophistication des attaques — a rendu obsolète la sécurité « ajoutée après coup ». On parle aussi de la Security by Design, où la sécurité est intégrée dès la conception, afin d’éviter les vulnérabilités coûteuses et renforcer la résilience. L’épisode explore ensuite les grands principes d’une architecture sécurisée moderne et illustre comment la cybersécurité repose autant sur la technique que sur la culture et la collaboration entre équipes. En conclusion, il invite à considérer la sécurité non comme un produit ou une contrainte, mais comme une qualité intrinsèque des systèmes. Rapport de l'ENISA : https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025 Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

Cet épisode du podcast reçoit Gilles Favier, spécialiste de la gestion des risques liés aux fournisseurs (Third Party Risk Management). Dans le contexte des nouvelles réglementations comme DORA, la discussion explore les différentes approches d'évaluation de la sécurité des fournisseurs : questionnaires personnalisés versus standards de marché (ISO 27001, SOC 2, PCI DSS). L'échange aborde la classification des fournisseurs selon trois critères clés (criticité métier, niveau d'adhérence au SI, gestion des données), les limites du déclaratif face aux contrôles techniques tangibles, et l'intérêt des évaluations automatisées (solutions de rating). Gilles Favier plaide pour des questionnaires courts mais pertinents, complétés par des preuves concrètes comme les tests d'intrusion, et évoque le potentiel de l'IA pour optimiser ces processus tout en soulignant la nécessité d'un consensus du marché pour éviter la multiplication des référentiels. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

Cet épisode explore la protection contre les fuites de données (DLP) à travers le prisme de la série « Severance », où les employés de Lumon Industries ont leur mémoire effacée pour éviter toute divulgation d'information. L'épisode distingue les fuites involontaires (comme l'affaire Strava qui a révélé des bases militaires via des trackers de jogging, ou l'usage de traducteurs en ligne pour des documents confidentiels) des fuites intentionnelles (exfiltration délibérée par email, cloud, clés USB ou même photos d'écran). Différentes solutions sont présentées : agents DLP sur les postes, surveillance réseau, chiffrement, CASB pour le cloud, analyse comportementale (UEBA) - chacune avec ses avantages mais aussi ses limites importantes (faux positifs, impact sur la productivité, problèmes éthiques). La conclusion est sans appel : il n'existe pas de solution miracle au DLP. L'équilibre entre sécurité et confiance reste le défi majeur, car même avec une surveillance extrême, le facteur humain demeure imprévisible. L'ironie ultime ? La production de Severance elle-même a été victime de fuites sur ses dates de tournage, prouvant qu'empêcher totalement les fuites est quasi impossible, même pour Apple. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

Cet épisode établit un parallèle entre la révolution artistique de Picasso avec "Les Demoiselles d'Avignon" et l'évolution moderne de la cybersécurité. Tout comme l'artiste espagnol a combiné différentes influences et techniques pour bouleverser l'art traditionnel, les professionnels de la sécurité doivent aujourd'hui orchestrer intelligemment plusieurs approches complémentaires. Les méthodes classiques que sont les scans automatisés, les tests d'intrusion et les programmes de bug bounty trouvent désormais leur place aux côtés de solutions innovantes comme l'EASM, le Pentest-as-a-Service et l'intelligence artificielle. Cette hybridation transforme la cybersécurité d'une discipline réactive en une approche prédictive capable d'anticiper et de neutraliser les menaces en temps réel. L'objectif est de créer une "symphonie sécuritaire" où chaque technique apporte sa valeur unique dans un ensemble coordonné et efficace. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

À travers l’analogie du film Inception, cette épisode explique la sécurité en profondeur, une stratégie essentielle en cybersécurité qui consiste à multiplier les barrières de protection, comme dans un château fort. En cas de faille, cette approche évite qu’un incident ne tourne à la catastrophe. Le modèle du fromage suisse de James Reason illustre ce principe : les failles (trous) dans les défenses ne causent d’accident que lorsqu’elles s’alignent. L’épisode démonte aussi plusieurs idées reçues sur ce modèle, en soulignant son actualité et sa pertinence. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

Le CRA impose des exigences de cybersécurité aux produits numériques (logiciels et matériels) vendus dans l’UE. Il prévoit 13 obligations de sécurité (ex. : pas de vulnérabilités connues, chiffrement, surveillance des accès, mises à jour possibles) et 8 obligations de gestion des vulnérabilités (ex. : documentation, communication, correctifs gratuits). Les fabricants doivent fournir une documentation technique complète, incluant la liste des composants logiciels (SBOM) et les rapports de tests. Trois niveaux de produits sont définis : importants classe 1, importants classe 2, et critiques, avec des exigences croissantes. La conformité passe par des modules de certification (A, B, C, H) et parfois un tiers certificateur. L’ENISA jouera un rôle central. Le texte est évolutif via des actes délégués de la Commission européenne. En résumé, le CRA vise à professionnaliser la cybersécurité des produits numériques et à protéger le marché européen. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

Line vers la présentation de Marc-Antoine LEDIEU : https://technique-et-droit-du-numerique.fr/podcast-le-cra-explique-a-ma-grand-mere-episode-1-2-quoi-qui-quand-sanctions-ledieu-avocats/ Description de cet épisode : Première partie pour comprendre le nouveau règlement européen qui impose des règles de cybersécurité à tous les produits numériques connectés, depuis les objets IoT jusqu’aux services SaaS. Adopté le 23 octobre 2024, il s’appliquera pleinement le 11  décembre 2027, avec des notifications obligatoires de vulnérabilités dès septembre 2026. Le texte prévoit 13 exigences techniques et 8 exigences de gestion des vulnérabilités : SBOM obligatoire, correctifs rapides pour les failles activement exploitées, documentation et reporting stricts. Responsabilité partagée entre fabricant, importateur et distributeur ; tout distributeur qui modifie le produit devient lui‑même fabricant. Sanctions possibles : amendes jusqu’à 2,5 % du chiffre d’affaires mondial, retrait ou rappel des produits, et actions collectives des utilisateurs pour obtenir réparation. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

Pour tout comprendre sur le LOL (Living Off the Land). Comment utiliser des commandes légitimes pour attaquer le système d'information. Quelques exemples sous Windows et Linux https://gtfobins.github.io https://lolbas-project.github.io   Analsye d'une attaque "Fileless" https://www.trendmicro.com/en_us/research/17/h/look-js_powmet-completely-fileless-malware.html Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.