Articles

Chaîner des requêtes API avec API Gateway

Chaîner des requêtes API avec API Gateway

,

Avec API Gateway, vous pouvez facilement chaîner des requêtes API pour créer des solutions plus complexes et plus riches.

Pourquoi avons-nous besoin d’une demande API enchaînée?

La demande API enchaînée (ou demande de pipeline, ou appels API séquentiels) est une technique utilisée dans le développement logiciel pour gérer la complexité des interactions API lorsque le logiciel nécessite plusieurs appels API pour accomplir une tâche. Il est similaire au traitement des demandes par lots, où vous regroupez plusieurs demandes API en une seule demande et les envoyez au serveur en tant que lot. Bien qu’ils puissent sembler similaires, une demande de pipeline implique l’envoi d’une seule demande au serveur qui déclenche une séquence d’appels API à exécuter dans un ordre défini. Chaque demande API dans la séquence peut modifier les données de demande et de réponse, et la réponse d’une demande API est transmise en entrée à la prochaine demande API dans la séquence. Les demandes de pipeline peuvent être utiles lorsqu’un client doit exécuter une séquence de demandes API dépendantes qui doivent être exécutées dans un ordre spécifique.

Comment Apache APISIX API Gateway peut-il nous aider?

Apache APISIX est un moteur de routage et de mise en cache open source pour les services Web modernes. Il fournit une solution complète pour gérer les demandes API enchaînées. En utilisant Apache APISIX, vous pouvez créer des plugins personnalisés pour gérer les demandes client qui doivent être appelées en séquence. Par exemple, vous pouvez créer un plugin qui envoie une requête à l’API de recherche de produits, puis une requête à l’API de détails de produits pour récupérer des informations supplémentaires sur les produits. Apache APISIX fournit également des outils pour surveiller et analyser les performances des API, ce qui permet aux développeurs de mieux comprendre le comportement des API et d’améliorer leurs performances. Enfin, Apache APISIX fournit des fonctionnalités de sécurité pour protéger les données et les services contre les attaques malveillantes.

En conclusion, l’utilisation d’une demande API enchaînée peut aider à gérer la complexité des interactions API et à améliorer la qualité des services Web. Apache APISIX offre une solution complète pour gérer les demandes API enchaînées, y compris des outils pour surveiller et analyser les performances des API, ainsi que des fonctionnalités de sécurité pour protéger les données et les services contre les attaques malveillantes.

Source de l’article sur DZONE

/par
Conversion chaîne en énumération - CVE-2020-36620 (50 Go)

Conversion chaîne en énumération – CVE-2020-36620 (50 Go)

,

Conversion chaîne en énumération – CVE-2020-36620 (50 Go): Découvrez comment convertir une chaîne en énumération avec 50 Go de données à l’aide de CVE-2020-36620.

## Discuter de la vulnérabilité CVE-2020-36620 et voir comment un package NuGet pour convertir une chaîne en énumération peut rendre une application C# vulnérable aux attaques DoS

En tant qu’informaticien enthousiaste, je vais discuter de la vulnérabilité CVE-2020-36620 et voir comment un package NuGet pour convertir une chaîne en énumération peut rendre une application C # vulnérable aux attaques DoS.

Imaginons une application serveur qui interagit avec un utilisateur. Dans l’un des scénarios, l’application reçoit des données de l’utilisateur sous forme de chaîne et les convertit en éléments d’énumération (chaîne -> énumération).

Le package NuGet en question est conçu pour faciliter ce processus de conversion. Cependant, le package ne vérifie pas si la chaîne reçue est valide et peut donc être exploité par un attaquant pour provoquer un déni de service. Lorsqu’un attaquant envoie une chaîne qui n’est pas valide, le package tente de convertir la chaîne en énumération et cela peut entraîner une exception et un plantage de l’application.

Pour résoudre ce problème, nous devons vérifier que la chaîne reçue est valide avant de l’utiliser. Nous pouvons le faire en utilisant le code C # pour vérifier si la chaîne est comprise dans l’énumération. Si ce n’est pas le cas, nous pouvons alors retourner une erreur à l’utilisateur et éviter ainsi tout plantage de l’application.

En résumé, le package NuGet pour convertir une chaîne en énumération peut être exploité par un attaquant pour provoquer un déni de service. Pour éviter cela, nous devons vérifier que la chaîne reçue est valide avant de l’utiliser. Nous pouvons le faire en codant une fonction qui vérifie si la chaîne est comprise dans l’énumération et retourne une erreur à l’utilisateur si ce n’est pas le cas. En appliquant cette méthode, nous pouvons éviter les attaques DoS et assurer la sécurité de notre application.

Source de l’article sur DZONE

/par
L'Intelligence Artificielle et la Modernisation des Applications Héritées.

L’Intelligence Artificielle et la Modernisation des Applications Héritées.

,

L’Intelligence Artificielle est en train de révolutionner la modernisation des applications héritées. Elle offre de nouvelles possibilités pour améliorer les performances et l’efficacité.

Comment l’intelligence artificielle (IA) peut-elle moderniser les applications héritées ?

En tant qu’informaticien enthousiaste, je sais que les entreprises sont constamment à la recherche de moyens pour rester compétitives et pertinentes sur le marché. L’un des principaux défis qu’elles doivent relever est de moderniser leurs applications héritées afin de répondre aux besoins des clients modernes.

La modernisation des applications héritées peut impliquer un investissement important en termes de temps, de ressources et d’argent. Cependant, avec les avancées technologiques en matière d’intelligence artificielle (IA), les entreprises peuvent désormais moderniser leurs applications héritées plus efficacement et plus efficacement que jamais. Dans ce blog, nous discuterons du rôle de l’IA dans la modernisation des applications héritées et des avantages qu’elle peut apporter.

L’IA est un outil puissant qui peut aider les entreprises à moderniser leurs applications héritées. Les technologies d’IA peuvent être utilisées pour analyser les données des applications héritées et identifier les zones qui nécessitent une modernisation. Les technologies d’IA peuvent également être utilisées pour générer des modèles qui peuvent être utilisés pour mettre à jour les applications héritées. De plus, l’IA peut être utilisée pour automatiser certaines tâches, ce qui permet aux entreprises de gagner du temps et de l’argent.

Les technologies d’IA peuvent également être utilisées pour améliorer la gestion des bases de données. Les technologies d’IA peuvent être utilisées pour analyser les données stockées dans la base de données et identifier les anomalies. Cela permet aux entreprises de mieux comprendre leurs données et de prendre des décisions plus éclairées. De plus, l’IA peut être utilisée pour améliorer la sécurité des bases de données en détectant et en corrigeant les erreurs et en empêchant les attaques malveillantes.

En résumé, l’IA est un outil puissant qui peut aider les entreprises à moderniser leurs applications héritées. Les technologies d’IA peuvent être utilisées pour analyser les données des applications héritées, générer des modèles pour mettre à jour ces applications et automatiser certaines tâches. De plus, l’IA peut être utilisée pour améliorer la gestion des bases de données et la sécurité des bases de données. Les entreprises qui investissent dans l’IA pour moderniser leurs applications héritées peuvent bénéficier d’une meilleure efficacité et d’une meilleure sécurité.

Source de l’article sur DZONE

/par
15 Meilleures Pratiques de Sécurité API pour Développeurs

15 Meilleures Pratiques de Sécurité API pour Développeurs

,

Les développeurs doivent connaître les 15 meilleures pratiques de sécurité API pour protéger leurs applications et leurs données. Apprenez-en plus sur ces pratiques essentielles !

Pourquoi les développeurs devraient-ils prioriser la sécurité des API ?

1. Utiliser une base de données sécurisée: Les bases de données sont un élément essentiel des API, et elles doivent être sécurisées pour éviter les attaques. Les développeurs doivent utiliser des bases de données sécurisées et configurer des contrôles d’accès pour limiter l’accès aux données sensibles.

2. Authentification forte: Les API doivent utiliser une authentification forte pour s’assurer que seuls les utilisateurs autorisés peuvent accéder aux données et aux fonctionnalités. Les développeurs doivent utiliser des méthodes d’authentification robustes, telles que l’authentification à deux facteurs, et mettre en place des contrôles d’accès pour limiter l’accès aux API.

3. Utiliser des mots de passe complexes: Les mots de passe complexes sont essentiels pour protéger les API contre les attaques par force brute. Les développeurs doivent exiger des mots de passe complexes et les renouveler régulièrement pour réduire le risque de compromission.

En tant qu’informaticien enthousiaste, je comprends l’importance de la sécurité des API et je m’efforce d’appliquer ces meilleures pratiques pour protéger mes applications et mes données. La sécurité des API est essentielle pour protéger les données sensibles et les ressources des organisations, et je suis convaincu que ces pratiques peuvent aider à réduire le risque de compromission.

Source de l’article sur DZONE

/par

Fraude au virement contre les entreprises, le nouveau fléau : SAP et Trustpair dévoilent une étude inédite avec OpinionWay

, ,

Paris, le 28 février 2023. SAP (SAP:SE) et Trustpair, deux experts en technologie et digitalisation des services financiers, ont mené une étude avec OpinionWay pour sonder la complexe situation des fraudes au virement contre les ETI et grands groupes en France, auprès de ceux qui la connaissent le mieux : les Directions Financières et les Responsables Trésorerie des grandes entreprises en France.

 

La moitié des entreprises en France a subi une attaque à la fraude bancaire en 2022, dont 50% ont abouti.

54% des entreprises ont constaté en 2022 une augmentation du nombre d’attaques par rapport à 2021, avec 23% des attaques ayant abouti.

Le nombre de tentatives de fraudes bancaires est en moyenne de 2,1 tentatives par entreprise, avec une légère tendance majoritaire pour les entreprises de plus de 5 000 employés : 2,4 en moyenne et 1,9 pour les autres.

Si 3% des victimes ont du mal à évaluer, à l’issue d’une attaque, la perte réelle, il n’en reste pas moins qu’en 2022, une tentative sur deux de piratage est fructueuse.

 

La fraude au virement en 2022, le cas d’école

Alors que 50% des entreprises témoignent d’une tentative de fraude au virement, 31% déclarent avoir subi plus d’une tentative de ce type en moins d’un an. Ce chiffre atteint même 40% pour les entreprises de plus de 5 000 salariés, preuve supplémentaire que – sur la fraude au virement – les grandes entreprises restent la cible favorite des escrocs, tandis que les plus petites structures souffriront d’attaques d’un autre genre.

 

De réels impacts financiers pour les victimes

71% des attaques concernent des sommes inférieures à 100K€ et représentent 85% des attaques à l’encontre des entreprises de moins de 5 000 employés.

La majorité des fraudes se concentre sur des sommes comprises entre 50K€ et 100K€ (26%) et cible tout particulièrement les entreprises de moins de 5 000 personnes, plus d’un tiers des menaces totales. Les structures de plus de 5 000 employées quant à elles, vont connaître 14% de fraudes dépassant les 300K€.

Si les interrogés nous rapportent que pour la majorité (91%), les sommes ont été récupérées, seul 26% indiquent avoir retrouvé la totalité des montants, engendrant un réel impact financier sur les petites et moyennes structures.

 

Des attaques, aux typologies variées, qui nécessitent une sensibilité plus exacerbée

La versatilité des tentatives de fraudes constitue l’un des leviers clés de réussite. Pour cette raison, les quatre typologies de fraudes les plus souvent évoquées sont :

  • La fraude aux faux clients (39 %)
  • La fraude à la fausse facture (37%)
  • La fraude au RIB (36%)
  • La fraude au Président (34%)

 

90% des interrogés sont d’accord ou particulièrement d’accord avec le fait que le risque global de fraude au virement augmente d’année en année, et 91% s’accordent sur le fait que la lutte contre ce type de fraude doit dorénavant représenter une priorité pour leur structure.

Patrice Vatin, Head of Customer Advisory Finance & Risks, SAP France indique: « Notre perception des risques grandit car les menaces sont tangibles et nous sommes de plus en plus témoins de leurs externalités. Néanmoins, il est nécessaire de ne pas négliger toutes les menaces qui restent invisibles. Les études démontrent que nous avons tendance à minimiser les risques, or nous devons nous appliquer à autant adresser ces enjeux dissimulés, que ceux qui sont d’ores et déjà en œuvre. Il faut mettre en place des outils de contrôle continu intégrés à l’ERP, mais aussi une gouvernance entre les différentes équipes pour gérer les risques. 50% des entreprises ont été victimes de fraudes en 2022, mais 100% peuvent être des cibles. »

Baptiste Collot, Président et co-fondateur de Trustpair témoigne : « Le risque de fraude ne s’est pas atténué ces dernières années, loin de là. En cause une asymétrie de moyens qui se creuse entre l’attaque et la défense. Pour autant, la sensibilité des entreprises à ces risques a évolué. Le lien entre fraude et cyber-attaque est bien mieux identifié, les corporates sont davantage éduqués et ont une meilleure idée de comment l’adresser. La réponse réside dans une complémentarité des ressources, où le digital vient en support de l’humain pour lui permettre de se focaliser sur le bon niveau de risque. »

 

Découvrez l’intégralité de l’étude ici  

 

Méthodologie :

Étude réalisée auprès d’un échantillon de 151 DAF et responsables de trésorerie d’entreprise de plus de 250 salariés :

  • 125 Responsable / Directeur Administratif et/ou Financier (DAF)
  • 26 Responsable / Directeur de la trésorerie

The post Fraude au virement contre les entreprises, le nouveau fléau : SAP et Trustpair dévoilent une étude inédite avec OpinionWay appeared first on SAP France News.

Source de l’article sur sap.com

/par
Réduire les incidents de sécurité: implémenter un scanner d'images Docker

Réduire les incidents de sécurité: implémenter un scanner d’images Docker

,

Implémenter un scanner d’images Docker peut aider à réduire les incidents de sécurité et à assurer une meilleure protection des données.

Est-ce que vous utilisez Docker pour déployer vos applications ? Si c’est le cas, vous n’êtes pas seul. L’utilisation de Docker a connu une croissance fulgurante ces dernières années. Bien qu’il offre de nombreux avantages, il introduit également de nouveaux risques de sécurité qui doivent être pris en compte.

Mais, pourquoi est-il si important de réduire les incidents de sécurité ? C’est simple : le coût d’une violation de sécurité peut être dévastateur. De la perte de confiance des clients aux pertes financières, les conséquences d’un incident de sécurité peuvent être graves. C’est pourquoi il est essentiel de prendre des mesures pour les empêcher de se produire en premier lieu.

Pourquoi est-il si important de réduire les incidents de sécurité ?

Avec l’essor de la technologie, le monde des applications informatiques a connu une croissance considérable. L’utilisation de Docker est devenue très populaire ces dernières années, et de nombreuses entreprises l’utilisent pour déployer leurs applications. Bien que cette technologie offre de nombreux avantages, elle introduit également de nouveaux risques de sécurité qui doivent être pris en compte.

La réduction des incidents de sécurité est très importante car les conséquences d’une violation peuvent être catastrophiques. En effet, une violation de sécurité peut entraîner une perte de confiance des clients, des pertes financières et d’autres conséquences négatives. C’est pourquoi il est essentiel de prendre des mesures pour prévenir ces incidents.

En tant que scientifique informatique enthousiaste, je recommande vivement l’utilisation de tests pour garantir la sécurité des applications Docker. Les tests peuvent être effectués à différents stades du développement logiciel, notamment lors de la conception, du codage et du déploiement. Les tests peuvent aider à détecter et à corriger les vulnérabilités potentielles avant qu’elles ne soient exploitées par des cybercriminels. Les tests peuvent également aider à vérifier que le code est conforme aux normes de sécurité et à identifier les failles de sécurité qui peuvent être corrigées avant le déploiement.

En outre, l’utilisation d’outils d’analyse de sécurité peut aider à détecter les vulnérabilités et à fournir des recommandations sur la façon de les corriger. Ces outils peuvent également aider à surveiller les activités des utilisateurs et à détecter les comportements suspects. Enfin, il est important de mettre en œuvre des stratégies de sécurité appropriées pour protéger les applications contre les attaques.

Pour résumer, il est essentiel de prendre des mesures pour réduire les incidents de sécurité liés à l’utilisation de Docker. L’utilisation de tests et d’outils d’analyse de sécurité peut aider à détecter et à corriger les vulnérabilités et à mettre en œuvre des stratégies de sécurité appropriées pour protéger les applications contre les attaques. En tant que scientifique informatique enthousiaste, je recommande vivement l’utilisation de tests pour garantir la sécurité des applications Docker.

Source de l’article sur DZONE

/par

CERTFR-2021-ALE-012 : Multiples vulnérabilités dans Microsoft Windows (09 juin 2021)

, , ,

A l’occasion de sa mise à jour mensuelle de juin 2021, Microsoft a publié des correctifs, entre autres, pour six vulnérabilités qui sont activement exploitées dans le cadre d’attaques ciblées.

Quatre de ces vulnérabilités (CVE-2021-31199, CVE-2021-31201, CVE-2021-31956 et …
Source de l’article sur CERT-FR

/par

CERTFR-2021-ALE-010 : Vulnérabilité dans Adobe Acrobat et Acrobat Reader (12 mai 2021)

, , ,

Une vulnérabilité a été découverte dans Adobe Acrobat et Acrobat Reader. Elle permet à un attaquant de provoquer une exécution de code arbitraire. L’éditeur indique que cette vulnérabilité aurait été exploitée dans des attaques ciblées visant des utilisateurs d’Acrobat Reader sur Windows.

Source de l’article sur CERT-FR

/par

CERTFR-2021-ALE-006 : Vulnérabilité dans F5 BIG-IP (20 mars 2021)

, , ,

Dans son bulletin d’actualité du 15 mars 2021, le CERT-FR soulignait la gravité de plusieurs vulnérabilités affectant les équipements BIG-IP de F5 Networks, et notamment la CVE-2021-22986.

Le 19 mars 2021, l’éditeur indique que des attaques massives sont en cours, …
Source de l’article sur CERT-FR

/par

L’Intelligence Artificielle pour accélérer vos processus financiers

, ,

De nombreuses études (1) estiment que les organisations financières dédient plus de 50% de leur charge de travail à la collecte et l’analyse de données. C’est pourquoi l’automatisation est un outil à fort potentiel.

Avec la plateforme SAP S/4HANA, l’ERP nouvelle génération, SAP introduit un ensemble de techniques  permettant à la machine d’imiter une forme d’intelligence réelle, l’Intelligence Artificielle.

Les domaines d’application sont nombreux et peuvent être mis au service de la transformation de la fonction finance.

Le Machine Learning  pour optimiser la réconciliation bancaire

La réconciliation bancaire est un exemple de processus qui implique de nombreuses actions manuelles, notamment pour les flux d’encaissements :

  • des volumes importants de paiements à réconcilier manuellement malgré des règles prédéfinis,
  • des paiements sans références factures, des données de base incomplètes, des paiements avec écarts qui complexifient les actions de réconciliation,
  • des règles spécifiques à mettre en place en fonction des pays, des formats, des modes de paiements.

SAP introduit dans la suite SAP S/4HANA, une solution innovante basée sur du Machine Learning et permettant d’atteindre des taux d’automatisation proche de 97%.

La solution apprend des données et actions historiques, c’est-à-dire des répétitions (patterns) dans un ou plusieurs flux de données (extraits de comptes électroniques, avis de paiements, banques partenaires/sociétés,…) et en tire des prédictions de réconciliation en se basant sur des statistiques.

Les critères de réconciliation sont ainsi continuellement affinés et  les nouveaux cas, les exceptions, traités en autonomie. Les taux d’automatisation considérablement améliorés contribuent à réduire les coûts de déploiements et coûts opérationnels.

L’analyse prédictive pour améliorer la prise de décision

L’évolution constante des modèles économiques  impose aux directions financières de gagner en efficacité et en agilité. Elles doivent anticiper les impacts sur les revenus, la profitabilité, l’affectation des ressources afin d’orienter la stratégie de l’entreprise.

La plateforme SAP S/4HANA embarque des scénarios d’analyses prédictives permettant d’établir des prévisions de chiffre d’affaires très fiables via des algorithmes se basant sur des données actuelles et historiques, internes et externes à l’organisation tel que le pipeline des ventes, les tendances du marché, l’évolution du PIB d’un pays, etc.

Ces prédictions effectuées en temps réel alimentent le processus de planification budgétaire et sont déclinées à tous les niveaux de l’organisation où des ajustements peuvent être effectués.

A cela s’ajoutent des outils de simulation permettant de visualiser l’impact des choix stratégiques tel que les changements d’organisation, le développement de nouveaux produits, etc.

Lutter contre la fraude et la cybercriminalité

La crise sanitaire et économique inédite que nous vivons ouvre aux fraudeurs de nouvelles failles pour parvenir à leurs fins. De nombreuses attaques n’étant jamais identifiées, il est impossible de déterminer avec précision les pertes pour les entreprises. En 2020, d’après l’ACFE Report to the Nations (2), la fraude et la cybercriminalité ont causées des pertes estimées à plus de 3 Milliards € dans 125 pays  (~5% du chiffre d’affaires des entreprises concernées, avec une moyenne de 415 K€ par attaque en Europe).

Avec SAP S/4HANA, SAP propose des solutions pour contrôler des volumes importants de transactions, identifier en temps réel les menaces et transactions frauduleuses et ainsi limiter les risques de pertes financières.

L’Intelligence Artificielle émet des recommandations permettant d’affiner continuellement les règles de contrôle et l’identification de nouveaux schémas de fraude sur la base de données historiques internes comme externes. Les taux d’efficacité dans la détection des anomalies et des fraudes se trouvent considérablement améliorés.

Au-delà des multiples scénarios disponibles en standard, SAP complète son offre SAP S/4HANA par une plateforme d’innovations dans le cloud (Business Technology Platform) qui permet de développer des applications et extensions autour du cœur SAP S/4HANA.

À travers la Business Technology Platform, les départements financiers ont accès aux technologies innovantes tel que le Machine Learning, l’analyse prédictive, les chatbots ou encore la Blockchain, à partir desquelles ils peuvent imaginer de nouveaux cas d’usages.

(1) A future that works: Automation, employment and productivity, Mckinsey&Company

(2) Report to the Nations, ACFE

The post L’Intelligence Artificielle pour accélérer vos processus financiers appeared first on SAP France News.

Source de l’article sur sap.com

/par