Une nouvelle vulnérabilité a été découverte par votre scanner de sécurité. Un ticket est automatiquement généré dans Jira, se voit attribuer une priorité « Élevée » et est déposé dans un arriéré massif et débordant. Et là, il reste. Et reste. Les jours se transforment en semaines. L’équipe de sécurité envoie un rappel. L’équipe d’ingénierie dit qu’elle s’en occupera. Le ticket est passé d’un développeur à un autre comme une patate chaude, chacun affirmant que ce n’est pas son code ou que ce n’est pas sa responsabilité. Finalement, le ticket devient obsolète, un fantôme oublié dans la machine, tandis que la vulnérabilité reste grande ouverte.

Ce scénario n’est pas un échec de la détection ; c’est un échec du processus. Le meilleur scanner de sécurité au monde est inutile si ses résultats sont ignorés. Le trou noir où les tickets de vulnérabilité vont mourir est l’un des plus grands défis de la sécurité des applications. La cause profonde est rarement un manque de compétence ou de volonté de corriger les problèmes. Au lieu de cela, c’est un système de propriété et d’acheminement défaillant. Pour garantir que les vulnérabilités sont réellement fermées, les organisations doivent aller au-delà de la simple création de tickets et construire des systèmes intelligents de propriété et d’affectation automatisée.

Le piège du ticket « sans propriétaire »

Le parcours d’un ticket de vulnérabilité se termine souvent avant même d’avoir commencé. Lorsqu’un ticket est créé sans propriétaire clair et immédiat, il entre dans un état d’incertitude. Cela se produit pour plusieurs raisons courantes.

Premièrement, de nombreux outils de sécurité ne sont pas intégrés au code de manière significative. Un scanner pourrait signaler une vulnérabilité dans une application de production mais n’avoir aucun contexte sur quelle équipe, ou même quel développeur spécifique, a écrit le code offensant. Le ticket est alors affecté à un arriéré d’« ingénierie » générique ou à un « champion de la sécurité » rotatif qui pourrait ne pas avoir le contexte nécessaire pour corriger le problème efficacement. Cela conduit à un processus de triage fastidieux où quelqu’un doit manuellement enquêter sur le code et retrouver la bonne personne.

Deuxièmement, sans un modèle de propriété prédéfini, les tickets sont souvent victimes de l’effet spectateur. Lorsqu’un ticket est affecté à toute une équipe, l’hypothèse est que quelqu’un d’autre s’en chargera. Aucune personne seule ne se sent responsable. Cela est particulièrement vrai dans les grandes organisations avec des architectures de microservices complexes, où plusieurs équipes pourraient contribuer à une seule application. En conséquence, le ticket languit jusqu’à ce qu’un analyste de sécurité intervienne manuellement, ce qui fait perdre un temps précieux et crée des frictions entre la sécurité et l’ingénierie. Le coût de cette inefficacité est significatif ; des études sur le développement de logiciels montrent que le coût de correction d’un bogue augmente de façon exponentielle plus il est trouvé tard dans le cycle de développement.

Enfin, les processus d’acheminement manuels sont lents et sujets aux erreurs. Un responsable de la sécurité transférant des e-mails ou taguant des personnes dans les commentaires Jira n’est pas une stratégie évolutive. À mesure que le volume des vulnérabilités augmente, cette approche manuelle s’effondre inévitablement, entraînant des tickets manqués et un risque accru.

Définir des modèles de propriété clairs

L’antidote au ticket sans propriétaire est un modèle de propriété clair et cohérent. Ce modèle doit être défini avant que les tickets ne commencent à circuler. Il existe plusieurs approches efficaces :

• Propriété basée sur le code : C’est le modèle le plus direct et le plus efficace. Le propriétaire du code est le propriétaire de la vulnérabilité. En tirant parti des métadonnées de votre système de contrôle de version (comme Git), vous pouvez identifier le développeur ou l’équipe qui a touché en dernier le fichier ou les lignes de code vulnérables. Cela crée une ligne de responsabilité directe. Si vous l’avez écrit, vous en êtes responsable.
• Propriété basée sur le service : Dans une architecture de micro services, il est logique d’attribuer la propriété au niveau du service. Chaque micro service doit avoir une équipe propriétaire désignée. Lorsqu’une vulnérabilité est trouvée dans un service particulier, le ticket est automatiquement acheminé vers l’arriéré de cette équipe. Cela fonctionne bien pour attribuer la responsabilité à la fois du code de l’application et de ses dépendances d’infrastructure sous-jacente
• Propriété basée sur l’application : Pour les applications monolithiques, la propriété peut être attribuée au niveau de l’application. Une équipe spécifique est responsable de la santé et de la sécurité globales de cette application. Bien que moins granulaire que la propriété basée sur le code, elle fournit un point de contact et une responsabilité clairs.

La clé est de choisir un modèle et de l’appliquer de manière cohérente. Cette information ne doit pas se trouver dans une feuille de calcul ; elle doit être intégrée directement à vos outils. L’objectif est que chaque ticket de vulnérabilité ait un propriétaire désigné dès l’instant où il est créé.

Le pouvoir des règles d’affectation automatisées

Une fois que vous avez un modèle de propriété clair, l’étape suivante consiste à automatiser le processus d’affectation. C’est là que les outils modernes d’automatisation de la sécurité deviennent transformateurs. Au lieu de trier et d’acheminer manuellement les tickets, vous pouvez créer un ensemble de règles qui gère ce travail pour vous.

Une plateforme d’automatisation efficace peut s’intégrer à votre scanner de sécurité, à votre système de contrôle de version et à votre outil de gestion de projet (comme Jira ou Azure DevOps). Avec ces intégrations en place, vous pouvez créer des flux de travail puissants de type « si ceci, alors cela ». Par exemple :

SI une vulnérabilité se trouve dans un fichier commité en dernier par developer@example.com, ALORS affecter le ticket directement à ce développeur.

SI une vulnérabilité est trouvée dans le dépôt payment-service, ALORS affecter le ticket à la « Fintech Squad » et publier une notification dans leur canal Slack.

SI une vulnérabilité est une injection SQL de gravité « Critique », ALORS définir la date d’échéance du ticket à 7 jours et taguer le chef d’équipe.

Ce niveau d’automatisation élimine le trou noir. Chaque ticket est livré directement à la personne ou à l’équipe la mieux équipée pour le corriger, avec tout le contexte nécessaire joint. Cela réduit considérablement le temps moyen de résolution (MTTR). En supprimant le goulot d’étranglement du triage manuel, vous libérez à la fois les équipes de sécurité et d’ingénierie pour se concentrer sur ce qu’elles font le mieux : sécuriser et construire des logiciels. Comme le préconisent des cadres tels que DevOps, la réduction de la friction et l’automatisation des transferts sont essentielles pour augmenter la vélocité et la qualité.

De la détection à la remédiation

Trouver des vulnérabilités n’est que la moitié de la bataille. La véritable mesure d’un programme de sécurité réussi est sa capacité à faire corriger ces vulnérabilités. En s’éloignant des processus chaotiques et manuels et en adoptant des modèles de propriété clairs avec des règles d’affectation automatisées, vous pouvez construire un flux de travail de gestion des vulnérabilités qui fonctionne réellement. Ce changement garantit que chaque ticket a un foyer, que chaque développeur a de la clarté et que chaque vulnérabilité a un chemin clair vers la remédiation. Il est temps d’arrêter de laisser les tickets mourir dans l’arriéré et de commencer à construire un système qui les ferme pour de bon.

Cet article original intitulé Acheminement des tickets qui ferment réellement les vulnérabilités : Modèles de propriété et règles d’affectation automatisées a été publié la première sur SysKB.

Alors que la saison des fêtes touche à sa fin, les cinéphiles continuent d’affluer dans les salles, défiant le traditionnel coup de mou post-Thanksgiving. Cette année, à la fois Five Nights at Freddy’s 2 et Zootopia 2 ont généré des recettes importantes, maintenant ainsi l’excitation cinématographique en vie. Selon un rapport du Hollywood Reporter, la […]

Le post Cinq nuits chez Freddy : succès au box-office après Thanksgiving est apparu en premier sur Moyens I/O.

La mise à jour du Ball d’Hiver a enfin touché Disney Dreamlight Valley, et avec elle vient l’opportunité magique de débloquer l’une des dernières princesses manquantes : Cendrillon. Cependant, le moyen de la recruter est différent de celui des autres villageois, rendant le processus un peu difficile à naviguer. Si vous êtes impatient d’amener Cendrillon […]

Le post Déverrouiller Cendrillon dans Disney Dreamlight Valley : Un guide étape par étape est apparu en premier sur Moyens I/O.

Une sonde en orbite autour de Mars ne donne plus de nouvelles. La Nasa n'arrive plus à renouer le contact avec la mission spatiale MAVEN, sans comprendre pourquoi.

Dernière mise à jour le 10 décembre 2025 Citéo vous propose de découvrir des ressources ludo-pédagogiques sur les 3R (Réduire, Réemployer, Recycler) pour les cycles 2, 3 et 4. Fiches enseignants, quiz, infographies, BD....

L’article Des ressources pédagogiques pour sensibiliser les jeunes aux eco-gestes est apparu en premier sur Les Outils Tice.

Une coalition d’acteurs majeurs de l’internet vient d’officialiser Really Simple Licensing (RSL) 1.0, le premier standard de licence conçu pour protéger le contenu à l’ère de l’IA, offrant un langage universel pour définir comment les contenus peuvent être utilisés.

Développé par le comité technique RSL en collaboration avec les éditeurs de contenus tels que Yahoo, Ziff Davis et O’Reilly Media, RSL 1.0 s’appuie sur la simplicité du format RSS pour créer des conditions de licence lisibles par les machines. Le standard dépasse les simples règles binaires du fichier robots.txt en établissant un cadre économique adapté à l’internet soumis au développement de l’IA.

Le président du comité technique RSL, Eckart Walther, considère que cette publication représente un point d’inflexion pour l’internet ouvert, car elle instaure clarté et transparence dans les droits sur le contenu, tout en permettant à l’innovation de s’exercer.

Des fonctionnalités avancées

RSL 1.0 introduit plusieurs innovations majeures :

Contrôle granulaire des usages IA : Le standard définit de nouvelles catégories d’utilisation du contenu avec les balises « ai-all », « ai-input » et « ai-index ». Ces options permettent aux éditeurs d’autoriser les moteurs de recherche à indexer leur contenu tout en refusant son utilisation dans des applications de recherche IA.

Protection des communs numériques : En partenariat avec Creative Commons, RSL 1.0 intègre un système de licence basé sur les contributions. Cette approche vise à soutenir l’écosystème non commercial qui alimente des milliards de pages web, de dépôts de code et d’ensembles de données constituant le « commons numérique » – ce patrimoine partagé de connaissances librement accessibles sur internet.

Un soutien de l’industrie

L’initiative a suscité un soutien de la part de l’écosystème numérique. Des organisations d’infrastructure comme Cloudflare, Akamai et l’IAB Tech Lab ont annoncé leur adhésion au standard. Du côté des médias, Associated Press, Vox Media, USA Today, le Boston Globe Media, BuzzFeed, Stack Overflow et The Guardian font partie des nouveaux venus, rejoignant des centaines d’autres marques médias.

Au total, plus de 1500 organisations médiatiques, marques et entreprises technologiques à travers le monde soutiennent désormais RSL, couvrant des milliards de pages web qui représentent la majorité du contenu internet professionnel utilisé pour entraîner les modèles d’IA.

Will Allen, vice-président produit chez Cloudflare, souligne que la licence lisible par les machines sera une caractéristique importante pour l’avenir du web. De son côté, la PDG de Creative Commons, Anna Tumadóttir, rappelle l’importance des options de partage équitable au-delà des licences commerciales pour maintenir l’accès aux connaissances à l’ère de l’IA.

Un modèle économique pour l’ère de l’IA

RSL 1.0 ne se contente pas de définir des règles techniques. Doug Leeds, co-PDG et cofondateur du RSL Collective – une organisation à but non lucratif pour les droits collectifs des créateurs numériques – affirme que pour quiconque tire ses revenus de la publication de contenu en ligne, RSL 1.0 est une évidence. C’est ce qui explique le large soutien provenant de tous les secteurs de l’écosystème internet, des grandes entreprises médiatiques aux organisations d’infrastructure qui définissent le fonctionnement du web.

Le standard arrive à un moment critique où les questions de droits d’auteur et d’utilisation du contenu par les systèmes d’IA font l’objet de nombreux débats juridiques. RSL 1.0 propose un cadre pragmatique pour résoudre ces tensions en offrant aux créateurs de contenu les outils pour définir précisément leurs conditions d’utilisation, tout en permettant aux développeurs d’IA d’accéder légalement aux ressources dont ils ont besoin.

L’arrivée de RSL 1.0 représente plus qu’une simple norme technique : c’est une tentative de rééquilibrer les relations de pouvoir dans l’économie numérique. En donnant aux éditeurs et créateurs les moyens de contrôler l’utilisation de leur travail par les systèmes d’IA, tout en préservant les principes d’ouverture et de partage qui ont fait la richesse d’internet, RSL 1.0 pourrait tracer la voie vers un modèle plus durable et équitable pour tous les acteurs de l’écosystème numérique.

La spécification complète est accessible sur le site rslstandard.org, où les développeurs et éditeurs peuvent découvrir comment implémenter ce nouveau standard dans leurs applications et sites web.

Selon nos observations, aucun éditeur français n’est engagé pour le lancement dans l’initiative RSL 1.0.

The post C’est quoi RSL 1.0, le standard qui veut protéger les éditeurs face à l’IA ? appeared first on Silicon.fr.

Bonne nouvelle pour les fans de Lara Croft : le casting de la série Tomb Raider, pilotée par Prime Video, continue de s'agrandir. Et une autre actrice iconique d'Hollywood pourrait désormais rejoindre Sophie Turner sur le projet : Sigourney Weaver.

Les processeurs mobiles Panther Lake commencent à fuiter. Le Core Ultra X9 388H dévoile ses performances sous Geekbench.

Cet article Le Core Ultra X9 388H dévoile des performances prometteuses a été publié en premier par GinjFo.

Une start-up a engagé l’une des démarches administratives les plus ambitieuses de l’histoire récente de la tech. Récupérer le nom, la marque et l’iconographie de l’ancien Twitter pour lancer un nouveau réseau social, assumé comme une alternative à X, désormais contrôlé par Elon Musk.

Dans un mouvement révolutionnaire, OpenAI, Anthropic et Block ont uni leurs forces pour établir la Fondation Agentic AI (AAIF), visant à standardiser le développement des agents IA. Cette initiative représente une avancée significative dans la création de technologies transparentes et interopérables qui peuvent améliorer l’expérience utilisateur. Opérée sous l’égide de la Linux Foundation, une organisation […]

Le post Initiative de normalisation des agents d’IA (OpenAI, Anthropic, Microsoft) est apparu en premier sur Moyens I/O.

Êtes-vous prêt à plonger dans un monde vaste de personnalisation dans SBL Reborn? Avec une variété de classes, d’armes et de mécaniques de jeu, avoir des ressources organisées peut rendre votre expérience beaucoup plus fluide. Heureusement, la communauté a mis en place un tableau Trello pratique qui sert de guide complet. Explorons les liens officiels […]

Le post SBL Renaissance : Accédez aux liens Trello et Discord ici ! est apparu en premier sur Moyens I/O.