Articles

Modélisation des menaces informatiques

Modélisation des menaces informatiques

,

La modélisation des menaces informatiques est une pratique essentielle pour protéger les systèmes informatiques contre les attaques. Elle permet d’identifier et de gérer les risques.

Designer des logiciels sécurisés offre une large gamme de bénéfices

Le codage sécurisé offre de nombreux avantages, allant de la réduction du nombre d’heures humaines passées à corriger les vulnérabilités de sécurité en production à la limitation des pertes financières et des pénalités réglementaires, ce qui permet d’obtenir un avantage concurrentiel et d’accroître la fidélité des clients.

Le modélisation des menaces est un élément essentiel des principes directeurs « Sécurité par conception ». Cette fiche de référence fournira les principes fondamentaux de la modélisation des menaces, les pratiques de base pour une mise en œuvre sécurisée et les éléments clés pour mener à bien des examens de modèles de menace réussis. En explorant l’importance des outils modernes pour automatiser et rationaliser les processus de modélisation des menaces, nous examinerons comment améliorer la précision des résultats et faciliter l’intégration et la collaboration entre les équipes de logiciels et de sécurité tout au long du cycle de développement logiciel.

Enfin, nous verrons comment le codage peut être utilisé pour améliorer la sécurité des logiciels. Les outils de codage peuvent être utilisés pour détecter et corriger les failles de sécurité dans le code source, ainsi que pour vérifier que le code est conforme aux normes de sécurité. Les outils peuvent également être utilisés pour surveiller les modifications apportées au code et identifier les vulnérabilités potentielles. De plus, ils peuvent être utilisés pour analyser le comportement du code et détecter les anomalies, ce qui permet aux développeurs de prendre des mesures pour corriger les problèmes avant qu’ils ne deviennent critiques.

Source de l’article sur DZONE

/par

STMS et CITEO réussissent l’adoption de Rise with SAP S/4HANA Cloud en 8 mois

, ,

Lors de son Move to Cloud, CITEO a décidé de moderniser son ERP SAP ECC, en optant pour l’offre RISE with SAP dans le Cloud. Un projet confié à STMS, lequel a su le mener à bien en moins de huit mois.

CITEO est une entreprise à mission agréée par l’Etat. Elle a été créée par les acteurs du secteur de la grande consommation et de la distribution pour réduire l’impact environnemental de leurs emballages ménagers et papiers graphiques via des solutions de réduction, de réemploi, de tri et de recyclage. CITEO détient une filiale, Adelphe, dédiée à la fin de vie des emballages issus des secteurs des vins & spiritueux et des médicaments.

Grace aux efforts de l’ensemble des acteurs, et des citoyens, 72% des emballages ménagers et 62% des papiers sont aujourd’hui recyclés en France.

CITEO et Adelphe regroupent 346 collaborateurs et le chiffre d’affaires du groupe, redistribué à 95% aux collectivités, s’est élevé en 2021 à 831,8 M€.

Pour accomplir sa mission, CITEO développe de nombreux outils afin d’une part de permettre les déclarations mais aussi d’apporter du conseil aux 35 000 clients et 34 500 collectivités avec les- quels elle travaille au quotidien.

Un virage vers le cloud… et SAP S/4HANA Cloud

CITEO est une entreprise qui doit gérer d’importants flux financiers, entrants et sortants. À ce titre, son ERP SAP ECC est une des briques centrales de son système d’information.

« En 2020, nous avons décidé de basculer vers le cloud Microsoft Azure, explique Nicolas Malaquin, Directeur des solutions digitales et systèmes d’information, CITEO. Nous avons dans un premier temps choisi de migrer notre ERP SAP ECC vers les infrastructures Microsoft Azure, avant de basculer sur une solution plus adaptée au monde du cloud, au travers d’une migration vers un ERP SAP S/4HANA en mode as a service. »

C’est donc dans ce contexte que CITEO a décidé d’opter pour l’offre RISE with SAP et d’adopter la solution SAP S/4HANA Cloud, avec à la clé quatre principaux bénéfices attendus :

  • une modernisation massive de l’ERP ;
  • une réduction des coûts globaux de fonctionnement, de l’ordre de 20% ;
  • une simplification administrative, l’ensemble étant géré via un unique contrat ;
  • l’accès à des fonctionnalités de disaster recovery, proposées en standard.

CITEO décide d’engager rapidement son projet de migration. « La fin de support de SAP ECC étant proche, nous voulions éviter de tomber dans le goulot d’étranglement formé par les migrations à venir au sein des grands groupes, commente la DSI CITEO. Il y a une vraie tension sur les ressources disponibles.

STMS est l’un des partenaires historiques de CITEO. C’est donc à lui qu’a été confiée le projet.

« Il est logique de confier ce projet à STMS, qui connaît bien notre métier et notre contexte. »

Une migration réussie en huit mois

L’ERP SAP ECC de CITEO se concentre sur les flux financiers (modules SD, MM er FICO). Un périmètre qui a été conservé lors du passage vers SAP S/4HANA. Tout comme la SAP GUI, ce qui a permis de limiter les changements du point de vue des utilisateurs. « Notre priorité était de mettre en place rapidement un socle technique solide, explique Julien Martin, Directeur de la Technologie et de la sécurité, CITEO. La ‘fiorisation’ de l’interface sera abordée dans un second temps. »

Les travaux de conception et de développement sont menés entre février et mai 2022, avec une première phase de recette s’étalant de mai à juillet, suivie de la recette métier en septembre, avant une mise en production en fin de mois. Le tout effectué sous le regard attentif des équipes de STMS, de l’intégrateur, mais également d’une équipe SAP dédiée. Après près de trois mois de fonctionnement, le bilan est positif : si quelques soucis restent à régler, le nouvel ERP n’a pas connu de défaillance majeure.

Afin d’accélérer les travaux, une phase de réduction des spécifiques a été initiée dès les prémices du projet. « Nous aimerions pouvoir aller au bout de ce travail, avec une revue plus approfondie de nos processus, poursuit Julien Martin. Ceci nous permettra de revenir au plus près des standards tout en tirant le meilleur parti des fonctionnalités de l’ERP SAP S/4HANA. » Certains processus non standards pourraient donc sortir de l’ERP, alors que d’autres – comme les relances client – y seraient réintégrés. « Notre objectif est de redonner à chacun de nos outils sa vraie place dans notre SI. »

CITEO et STMS ont organisé des ateliers avec les Responsables métiers de l’entreprise et utilisateurs de l’ERP, afin qu’ils puissent faire remonter leurs souhaits et remarques. Ces points seront priorisés, afin de créer une roadmap pour 2023, comprenant des éléments comme : des travaux visant à réduire les temps de rapprochement bancaire, la mise à disposition du reporting Fiori pour le contrôle de gestion, la mise en place de tuiles pour les KPI standards dédiés à la comptabilité, ou encore la mise en place d’un cockpit de clôture.

The post STMS et CITEO réussissent l’adoption de Rise with SAP S/4HANA Cloud en 8 mois appeared first on SAP France News.

Source de l’article sur sap.com

/par

CERTFR-2023-ALE-004 : Vulnérabilité dans les produits Fortinet (13 juin 2023)

, , ,

Le 12 juin 2023, Fortinet a publié un avis de sécurité concernant la vulnérabilité CVE-2023-27997. Celle-ci permet à un attaquant non authentifié d’exécuter du code arbitraire à distance sur des produits Fortinet qui proposent une fonctionnalité de VPN SSL.

Dans une …
Source de l’article sur CERT-FR

/par
L'avantage des conteneurs

L’avantage des conteneurs

,

Les conteneurs offrent une variété d’avantages pour les entreprises, notamment une meilleure efficacité, une plus grande flexibilité et une plus grande sécurité.

Rapport des tendances des conteneurs de DZone 2023 : Edge Computing et Conteneurs

Edge computing est une technologie qui permet aux données d’être traitées et analysées à la périphérie du réseau, plutôt que dans un centre de données centralisé. Cela permet aux utilisateurs de bénéficier d’une plus grande latence et d’une meilleure réactivité, car les données sont traitées plus rapidement et plus près de leur emplacement. De plus, cela permet aux entreprises d’accéder à des données plus précises et à jour, ce qui est essentiel pour prendre des décisions commerciales informées.

Les conteneurs sont une technologie qui permet aux développeurs de créer des applications qui peuvent être facilement déployées et exécutées sur un grand nombre de plates-formes. Les conteneurs offrent une portabilité, une isolation et une sécurité accrues, ce qui en fait un excellent outil pour le déploiement d’applications sur le cloud et l’edge computing. En combinant les avantages des conteneurs et de l’edge computing, les entreprises peuvent déployer des applications plus rapidement et plus efficacement, tout en réduisant les coûts et en améliorant la qualité des données.

Cependant, l’utilisation conjointe de l’edge computing et des conteneurs présente également des défis. Les données doivent être gérées de manière sûre et sécurisée, ce qui peut être difficile à garantir lorsque les données sont stockées sur des appareils distants. De plus, les développeurs doivent s’assurer que les applications qu’ils déploient sur l’edge computing fonctionnent correctement et sont optimisées pour les plates-formes cibles. Enfin, il est important de garantir que les données soient stockées et traitées conformément aux réglementations en vigueur.

Edge computing et conteneurs sont devenus très populaires ces derniers temps, offrant des solutions innovantes à divers défis liés au traitement des données dans notre vie quotidienne. Ces technologies ont maintenant pénétré une large gamme d’appareils, y compris nos voitures, nos téléphones et même nos réfrigérateurs, ouvrant de nouvelles possibilités pour les cas d’utilisation et nous permettant de résoudre plus efficacement les défis liés au traitement des données. Dans cet article, nous explorerons l’intersection entre l’edge computing et les conteneurs, leur importance et les défis associés. Les avantages de l’utilisation conjointe de l’edge computing et des conteneurs sont évidents, mais il est important de comprendre les défis associés à cette technologie pour pouvoir tirer le meilleur parti de cette technologie.

Source de l’article sur DZONE

/par
Gérer l'accès avec Azure Bastion et Azure PIM

Gérer l’accès avec Azure Bastion et Azure PIM

,

Gérer l’accès à vos ressources cloud de manière sécurisée et efficace avec Azure Bastion et Azure PIM : découvrez comment ces services peuvent vous aider !

Comment Faire Fonctionner le Gestionnaire d’Accès Privilégié (PAM) d’Azure pour une Application Cloud?

Azure PAM is a service that helps organizations protect their cloud applications from cyber risks by monitoring, detecting, and preventing unwanted privileged access. It works by providing users with a secure way to access their applications, and it also helps organizations maintain control over who has access to what.

Comment Azure PAM Fonctionne-t-il pour une Application Cloud?

Azure PAM est une solution qui peut être configurée pour s’adapter à votre application cloud. Il est conçu pour fournir un contrôle granulaire des accès privilégiés et des autorisations, ce qui permet aux organisations de mieux gérer leurs applications et de réduire le risque de compromission.

Le processus de configuration d’Azure PAM commence par la définition des rôles et des autorisations appropriés pour chaque utilisateur. Une fois que ces rôles et autorisations sont définis, Azure PAM peut être configuré pour surveiller et détecter tout accès non autorisé ou non désiré. Une fois que ces accès sont détectés, Azure PAM peut alors prendre des mesures pour les bloquer ou les limiter.

Une fois que la configuration est terminée, Azure PAM peut être testée pour s’assurer qu’elle fonctionne correctement et qu’elle offre la protection nécessaire. Les tests peuvent inclure la vérification des autorisations, le test de la détection des accès non autorisés et le test de la prise en charge des protocoles de sécurité. Ces tests peuvent être effectués manuellement ou automatiquement, selon les besoins de l’organisation.

Enfin, une fois que tous les tests sont terminés et que toutes les fonctionnalités sont validées, Azure PAM peut être mis en production et utilisé pour protéger l’application cloud. En plus de fournir une protection contre les risques informatiques, Azure PAM peut également aider les organisations à améliorer leurs processus de gestion des identités et à réduire leurs coûts liés à la sécurité.

Source de l’article sur DZONE

/par
Guide pratique de sécurité des conteneurs

Guide pratique de sécurité des conteneurs

,

Vous cherchez à mieux comprendre la sécurité des conteneurs ? Découvrez ce guide pratique qui vous aidera à protéger vos applications et vos données !

Lire le rapport : Rapport sur les tendances des conteneurs DZone 2023

Avec l’essor de l’architecture conteneurisée, les entreprises réalisent l’importance croissante de la sécurité des conteneurs. Bien que les conteneurs offrent indéniablement de profonds avantages, tels que la portabilité, la flexibilité et l’évolutivité, ils introduisent également des défis de sécurité sans précédent. Dans ce rapport, nous aborderons les principes fondamentaux et les stratégies de sécurité des conteneurs et nous nous pencherons sur deux méthodes spécifiques : la gestion des secrets et le patching. De plus, nous examinerons les outils et les techniques pour sécuriser les clés, les jetons et les mots de passe.

La gestion des secrets est une pratique essentielle pour assurer la sécurité des conteneurs. Les bases de données cryptographiques sont un moyen efficace de stocker et de gérer les secrets. Les bases de données cryptographiques peuvent être utilisées pour stocker des informations sensibles telles que les clés d’accès, les jetons d’authentification et les mots de passe. Les bases de données cryptographiques peuvent également être utilisées pour générer des clés et des jetons dynamiques, ce qui permet aux applications d’accéder aux données sensibles sans avoir à stocker les informations dans le conteneur.

Le patching est une autre pratique essentielle pour assurer la sécurité des conteneurs. Les outils de patching peuvent être utilisés pour mettre à jour le système d’exploitation et les applications logicielles installées dans le conteneur. Les outils de patching peuvent également être utilisés pour vérifier la présence de vulnérabilités et appliquer les correctifs appropriés. Les outils de patching peuvent également être utilisés pour surveiller l’activité du conteneur et détecter toute activité suspecte.

En conclusion, la sécurité des conteneurs est une préoccupation croissante pour les entreprises. La gestion des secrets et le patching sont des pratiques essentielles pour assurer la sécurité des conteneurs. Les bases de données cryptographiques peuvent être utilisées pour stocker et gérer les secrets, tandis que les outils de patching peuvent être utilisés pour mettre à jour le système d’exploitation et les applications logicielles installées dans le conteneur. De plus, les outils de patching peuvent également être utilisés pour surveiller l’activité du conteneur et détecter toute activité suspecte.

Source de l’article sur DZONE

/par
L'efficacité magique des composants en ingénierie

L’efficacité magique des composants en ingénierie

,

L’ingénierie est une science qui combine des composants magiques pour créer des solutions innovantes et efficaces. Découvrez l’efficacité magique des composants en ingénierie !

Comment les habitudes de vie peuvent être améliorées par l’ingénierie logicielle ?

By building a strong architecture, you can layer on additional features and capabilities that will make your software more efficient.

L’architecture est l’un des éléments clés pour créer des habitudes qui changent la vie. Cela est également vrai pour l’efficacité en ingénierie logicielle. En construisant une architecture solide, vous pouvez ajouter des fonctionnalités et des capacités supplémentaires qui rendront votre logiciel plus efficace.

L’architecture logicielle est un élément essentiel de tout projet de développement de logiciel. Il s’agit d’un cadre qui définit la structure et le comportement du système et fournit une base solide pour le développement et le déploiement de logiciels. Une bonne architecture permet à l’équipe de développement de concevoir et de développer un logiciel plus efficacement et plus rapidement.

Une bonne architecture permet également de réduire les coûts de développement et de maintenir un niveau élevé de qualité et de fiabilité du logiciel. Une architecture solide peut aider à réduire les risques et à améliorer la qualité du produit final. Elle peut également améliorer la scalabilité et la flexibilité du logiciel, ce qui permet aux développeurs de mettre en œuvre des fonctionnalités supplémentaires plus rapidement et plus facilement.

Enfin, une bonne architecture peut aider à améliorer la sécurité du logiciel. Une architecture bien conçue peut aider à réduire les vulnérabilités et à améliorer la résistance aux attaques. Cela permet aux développeurs de créer des applications plus sûres et plus fiables pour leurs utilisateurs.

En somme, l’architecture est un élément essentiel pour créer des logiciels efficaces. Une architecture solide peut aider à réduire les coûts de développement, à améliorer la qualité et la fiabilité du produit final, à améliorer la scalabilité et la flexibilité du logiciel et à améliorer la sécurité du logiciel. En adoptant une architecture efficace et en ajoutant des fonctionnalités supplémentaires, vous pouvez créer un logiciel plus efficace et plus robuste.

Source de l’article sur DZONE

/par
Testez votre code de contrat intelligent avec ChatGPT et Diligence Fuzzing

Testez votre code de contrat intelligent avec ChatGPT et Diligence Fuzzing

,

.

Découvrez comment ChatGPT et Diligence Fuzzing peuvent vous aider à tester votre code de contrat intelligent et à protéger votre entreprise contre les risques juridiques et technologiques.

ChatGPT : Un excellent point de départ pour votre voyage d’essais

ChatGPT est exceptionnel pour trouver des bogues sans nécessiter de contexte supplémentaire significatif en dehors du code source. Cela en fait un excellent point de départ pour votre voyage d’essai. L’une des premières choses que vous apprenez en tant que codeur de contrat intelligent est que les contrats sont extrêmement impitoyables en matière de vulnérabilités. Par défaut, les contrats sont immuables. En même temps, ils sont capables de gérer des montants extraordinaires d’argent. Cela rend la sécurité (et le test des contrats intelligents) probablement le plus grand souci pour toute équipe de développeurs web3.

Les données sont essentielles pour les contrats intelligents. Les tests sont la seule façon de s’assurer que les contrats fonctionnent comme prévu et qu’ils sont sûrs. ChatGPT est un outil qui peut aider à améliorer la qualité des contrats intelligents en trouvant des bugs et en fournissant des informations sur leurs performances. Il est basé sur l’intelligence artificielle et peut analyser le code source et le comportement des contrats intelligents pour trouver des bogues et des vulnérabilités. ChatGPT peut également fournir des informations sur la qualité du code et les performances des contrats intelligents.

ChatGPT est un outil très puissant qui peut aider à améliorer la qualité des contrats intelligents. Il peut analyser le code source et le comportement des contrats intelligents pour trouver des bogues et des vulnérabilités. Il peut également fournir des informations sur la qualité du code et les performances des contrats intelligents. Les données recueillies par ChatGPT peuvent être utilisées pour améliorer la qualité du code et réduire le risque de vulnérabilités. Enfin, ChatGPT peut être utilisé pour effectuer des tests unitaires et intégrés sur les contrats intelligents afin de s’assurer qu’ils fonctionnent comme prévu et qu’ils sont sûrs.

Source de l’article sur DZONE

/par
Ne Pas Utiliser de Credentiels dans une CI/CD Pipeline

Ne Pas Utiliser de Credentiels dans une CI/CD Pipeline

,

Les pipelines CI/CD sont des outils puissants, mais il est important de ne pas utiliser de credentiels sensibles pour éviter les risques de sécurité.

Comment Donner un Accès Sécurisé à des Services Tiers Sans Utiliser de Clés Secrètes

OpenID Connect (OIDC) is a protocol that allows users to authenticate themselves with an external identity provider, such as Auth0 or Okta. It works by exchanging an access token between the identity provider and the application. This token is cryptographically signed and contains a set of claims about the user, such as their name, email, and other attributes. The application can then use this token to authenticate the user and grant them access to resources.

En tant qu’utilisateur qui construit et maintient des infrastructures cloud, j’ai toujours été méfiant du point de vue de la sécurité lorsque je donne un accès à des services tiers, tels que les plateformes CI/CD. Tous les fournisseurs de services prétendent prendre des précautions strictes et mettre en œuvre des processus infaillibles, mais les vulnérabilités sont toujours exploitées et les erreurs arrivent. Par conséquent, ma préférence est d’utiliser des outils qui peuvent être hébergés en interne. Cependant, je ne peux pas toujours avoir le choix si l’organisation est déjà engagée auprès d’un partenaire externe, tel que Bitbucket Pipelines ou GitHub Actions. Dans ce cas, pour appliquer un IaC Terraform ou déployer un groupe d’échelle automatique, il n’y a pas d’autre choix que de fournir à l’outil externe une clé secrète API, n’est-ce pas ? Faux ! Avec la prolifération de OpenID Connect, il est possible de donner aux plates-formes tierces un accès basé sur des jetons qui n’exige pas de clés secrètes.

Le problème avec une clé secrète est qu’il y a toujours une chance qu’elle soit divulguée. Le risque augmente plus elle est partagée, ce qui se produit lorsque des employés quittent et que de nouveaux arrivent. L’un d’entre eux peut le divulguer intentionnellement ou ils peuvent être victimes d’une hameçonnage ou d’une violation. Lorsqu’une clé secrète est stockée dans un système externe, cela introduit un tout nouvel ensemble de vecteurs de fuite potentiels. Atténuer le risque implique de changer périodiquement les informations d’identification, ce qui est une tâche qui n’ajoute pas de valeur perceptible.

OpenID Connect (OIDC) est un protocole qui permet aux utilisateurs de s’authentifier auprès d’un fournisseur d’identité externe, tel qu’Auth0 ou Okta. Il fonctionne en échangeant un jeton d’accès entre le fournisseur d’identité et l’application. Ce jeton est signé de manière cryptographique et contient un ensemble de revendications sur l’utilisateur, telles que son nom, son adresse électronique et d’autres attributs. L’application peut ensuite utiliser ce jeton pour authentifier l’utilisateur et lui donner accès aux ressources.

Les jetons OIDC sont une alternative intéressante aux clés secrètes pour donner aux plates-formes tierces un accès limité aux ressources cloud. Les jetons sont générés par le fournisseur d’identité et peuvent être limités à une durée de vie spécifique et à un ensemble de revendications spécifiques. De plus, ils peuvent être révoqués à tout moment par le fournisseur d’identité si nécessaire. Les jetons OIDC sont donc une solution plus sûre et plus flexible pour donner aux plates-formes tierces un accè

Source de l’article sur DZONE

/par
Chaîner des requêtes API avec API Gateway

Chaîner des requêtes API avec API Gateway

,

Avec API Gateway, vous pouvez facilement chaîner des requêtes API pour créer des solutions plus complexes et plus riches.

Pourquoi avons-nous besoin d’une demande API enchaînée?

La demande API enchaînée (ou demande de pipeline, ou appels API séquentiels) est une technique utilisée dans le développement logiciel pour gérer la complexité des interactions API lorsque le logiciel nécessite plusieurs appels API pour accomplir une tâche. Il est similaire au traitement des demandes par lots, où vous regroupez plusieurs demandes API en une seule demande et les envoyez au serveur en tant que lot. Bien qu’ils puissent sembler similaires, une demande de pipeline implique l’envoi d’une seule demande au serveur qui déclenche une séquence d’appels API à exécuter dans un ordre défini. Chaque demande API dans la séquence peut modifier les données de demande et de réponse, et la réponse d’une demande API est transmise en entrée à la prochaine demande API dans la séquence. Les demandes de pipeline peuvent être utiles lorsqu’un client doit exécuter une séquence de demandes API dépendantes qui doivent être exécutées dans un ordre spécifique.

Comment Apache APISIX API Gateway peut-il nous aider?

Apache APISIX est un moteur de routage et de mise en cache open source pour les services Web modernes. Il fournit une solution complète pour gérer les demandes API enchaînées. En utilisant Apache APISIX, vous pouvez créer des plugins personnalisés pour gérer les demandes client qui doivent être appelées en séquence. Par exemple, vous pouvez créer un plugin qui envoie une requête à l’API de recherche de produits, puis une requête à l’API de détails de produits pour récupérer des informations supplémentaires sur les produits. Apache APISIX fournit également des outils pour surveiller et analyser les performances des API, ce qui permet aux développeurs de mieux comprendre le comportement des API et d’améliorer leurs performances. Enfin, Apache APISIX fournit des fonctionnalités de sécurité pour protéger les données et les services contre les attaques malveillantes.

En conclusion, l’utilisation d’une demande API enchaînée peut aider à gérer la complexité des interactions API et à améliorer la qualité des services Web. Apache APISIX offre une solution complète pour gérer les demandes API enchaînées, y compris des outils pour surveiller et analyser les performances des API, ainsi que des fonctionnalités de sécurité pour protéger les données et les services contre les attaques malveillantes.

Source de l’article sur DZONE

/par