« Nous venons de réunir 5,9 millions de dollars pour continuer à faire ce que j’aime le plus : casser des choses avant que les méchants ne le fassent ».
C’est sur son compte LinkedIn que Roni Carta a annoncé le montant du tour de pré-amorçage de Lupin & Holmes, start-up spécialisée dans la cybersécurité offensive qu’il a co-fondé avec son frère ( voir son interview sur Silicon).
L’opération est co-dirigée par 20VC et Seedcamp avec la participation de Purple Fund , de Kima Ventures et le soutien des fondateurs de Wiz, Hugging Face et GitGuardian.
Le créneau de Lupin & Holmes : sécuriser la Software Supply Chain (la chaîne d’approvisionnement logicielle) et l’utilisation de composants préconstruits dans les systèmes d’information.
« Nous avons identifié et divulgué via les programmes Bug Bounty des vulnérabilités sur Google, Amazon, Netflix et PayPal. J’ai été nommé Hacker le plus utile lors de deux événements de piratage en direct de Google. Et chaque fois que je trouvais un moyen d’entrer, j’avais l’impression de résoudre le meilleur puzzle du monde.» explique Roni Carta.
Pour adresser ces failles de sécurité qui vont être activement exploitées dans tous les écosystèmes et dans les différentes industries, Lupin & Holmes a lancé Depi, une plateforme en mode SaaS.
« Pour comprendre ce qu’est Depi, il faut comprendre toute la complexité de la Software Supply Chain. Notre définition, c’est l’entièreté des processus qui permettent de construire et de déployer des applications dans les systèmes d’information. En gros, quand on utilise des composants préconstruits, on crée une chaîne d’approvisionnement logicielle. Ce faisant, il y a beaucoup de failles de sécurité différentes qui peuvent survenir. Le but de Depi, c’est de montrer de manière proactive tous les points d’entrée qu’un attaquant peut prendre dans la Supply Chain logicielle de nos clients..» indiquait Roni Carta à Silicon en mai dernier.
Agé de 23 ans, Roni Carta est un profil singulier dans l’écosystème des start-ups cyber. Autodidacte sans diplôme, hacker éthique reconnu à l’international, il a glané plus de 800 000 $ de primes pour avoir dévoilées les pires failles lors d’évènements Bug Bounty.
« Nous pensons comme des hackers parce que nous sommes des hackers. Et honnêtement ? On passe le meilleur moment de notre vie.» s’amuse-t-il.
Il sera la semaine prochaine à la RSA Conference « pour montrer ses muscles, pirater quelques trucs et conclure de gros contrats.» dixit un de ses investisseurs.
Illustration : © DR
The post Cybersécurité offensive : Lupin & Holmes lève 5,9 millions $ appeared first on Silicon.fr.
Le Japon devient le premier pays à autoriser des traitements basés sur les cellules souches pluripotentes induites, des cellules révolutionnaires capables de régénérer les tissus dégradés. Encore en phase d'évaluation, ces thérapies ouvrent de nouvelles perspectives contre des maladies comme Parkinson ou l’insuffisance cardiaque.
Mozilla va lancer un VPN gratuit directement intégré à son navigateur. Prévu pour le 24 mars 2026 avec la mise à jour Firefox 149, ce nouvel outil promet de protéger votre navigation avec une enveloppe de 50 Go par mois.
Maîtrise des données, indépendance technologique, autonomie stratégique : trois dimensions pour évaluer la souveraineté numérique.
En septembre 2025, Bechtle avait annoncé développer une méthodologie ainsi structurée. Il entendait la mettre en œuvre dans le cadre de son activité de conseil, à l’appui d’un « logiciel propriétaire ». Il était question d’un déploiement au premier trimestre 2026.
La semaine dernière, le distributeur informatique a donné des nouvelles de cet « index de souveraineté » : le voilà en pilote dans trois pays (Allemagne, Autriche, Suisse). Pour ce qui est du contenu, il n’en dit mot.
SUSE, au contraire, a joué l’ouverture. Il a publié, fin janvier, un outil d’autoévaluation aligné sur le Cloud Sovereignty Framework. Ce document, édité à l’initiative de la Commission européenne, doit servir de référence pour la commande publique de services cloud au niveau de l’UE. Il formule 8 objectifs et liste les enjeux qui les sous-tendent. Pour chaque objectif, on détermine un niveau d’assurance, sur 5 échelons. En complément, on calcule un « score de souveraineté », avec une pondération par objectif.
SUSE reprend la structure du Cloud Sovereignty Framework et en tire 32 questions. Nous en reprenons ici les grandes lignes, en conservant tant que possible la formulation qui en est faite.
| Objectif | Points évalués |
| Souveraineté stratégique | – Autorité décisionnaire ultime localisée dans l’UE – Protections en cas de passage d’un fournisseur sous contrôle non européen – Transparence des fournisseurs sur les investissements dans l’UE et la feuille de route associée – Capacité à poursuivre l’exploitation si une entité étrangère exige la suspension d’un service |
| Souveraineté juridique | – Support opérationnel par du personnel localisé dans l’UE et dont le contrat est soumis à une juridiction de l’UE – Exposition des fournisseurs à des lois étrangères à portée extraterritoriale pouvant entraîner la divulgation de données – Existence de canaux juridiques ou techniques permettant à des autorités hors UE d’accéder à des données – Contrats désignant explicitement un tribunal de l’UE comme juridiction exclusive |
| Souveraineté data/IA | – Capacité à vérifier indépendamment qu’on contrôle seul les clés de chiffrement – Stockages et traitements localisés dans l’UE – Visibilité sur les accès aux données et aux métadonnées – Modèles IA et pipelines data développés, entraînés et exploités par des entités de l’UE, sur de l’infrastructure localisée dans l’UE |
| Souveraineté opérationnelle | – Capacité à migrer ses workloads vers des solutions européennes alternatives sans lock-in – Accès au code source et à la documentation – Capacité à gérer et à patcher la stack sans implication de fournisseurs hors UE – Garanties contractuelles de support sous juridiction UE et basé sur place |
| Souveraineté de la supply chain | – Capacité à obtenir un SBOM complet de l’environnement cloud – Degré de dépendance à des technos propriétaires non européennes sur les « chemins critiques » – Capacité à vérifier à quelle(s) juridiction(s) sont soumis firmware et code embarqué – Activités de développement, packaging et distribution de logiciels placées sous juridiction UE – Droit contractuel d’effectuer des audits indépendants de la supply chain, dont sous-traitants ultérieurs |
| Souveraineté technologique | – Cœur logiciel open source avec droits d’audit, modification et redistribution – Utilisation d’API non propriétaires et de standards à gouvernance publique (SUSE cite CNCF et OCI) – Visibilité sur l’architecture, les flux de données et les dépendances – Contribution active des fournisseurs à la gouvernance de communautés open source |
| Souveraineté en sécurité/conformité | – SOC et équipes de réponse aux incidents opérant sous juridiction UE – Détention de certifications de sécurité par les fournisseurs – Capacités, pour des entités de l’UE, à effectuer des audits de sécurité indépendants – Capacité à appliquer des correctifs de sécurité indépendamment des calendriers de fournisseurs hors UE |
| Soutenabilité environnementale | – Publication de cibles environnementales (PUE, carbone, eau) par les fournisseurs – Pratiques d’économie circulaire – Optimisation énergétique de la pile logicielle |
L’utilisateur est censé estimer son niveau d’assurance en suivant les 5 échelons du Cloud Sovereignty Framework. Ceux-ci sont évidemment contextualisés pour chaque question. Cela donne par exemple, pour la toute première (localisation des prises de décisions) :
| Niveau 0 | Toutes les décisions opérationnelles (réponse aux incidents, changements d’architecture, gestion des données, provisionnement d’infra) sont prises par du personnel localisé hors de l’UE. |
| Niveau 1 | Les opérations du quotidien sont gérées par du personnel basé dans l’UE. Mais les escalades et les décisions stratégiques nécessitent l’accord de personnes localisées hors de l’UE. |
| Niveau 2 | L’autorité opérationnelle appartient à une filiale basée dans l’UE et des protections contractuelles sont en place. Mais la maison mère garde un droit de veto sur les décisions majeures. |
| Niveau 3 | Il existe une entité basée dans l’UE et autonome pour prendre des décisions sur la plupart des opérations. Des entités hors UE s’implique, mais sont limitées à un rôle de conseil ou à une représentation minoritaire au conseil d’administration. |
| Niveau 4 | Toute l’autorité décisionnelle (C-level, board, opérationnel) est dans les mains de personnel basé dans l’UE, avec une gouvernance établie sur place. |
Red Hat a également son service d’autoévaluation, qu’il a mis en ligne mi-février, sur la base des travaux d’un de ses ingénieurs.
Moins « flexible » que celui de SUSE (on ne peut pas sauter des questions pour y revenir ensuite), cet outil est aussi structuré différemment. En l’occurrence, en 7 domaines. Avec, pour chacun, 3 questions, auxquelles on doit répondre « oui », « non » ou « je ne sais pas ». Il en résulte, en plus du score global, un niveau de maturité pour chaque domaine, sur 4 échelons dépendant du nombre de « oui ». En voici les grandes lignes :
| Objectifs | Points évalués |
| Souveraineté des données | – Respect des exigences locales et sectorielles en matière de résidence des données – Contrôle exclusif des clés de chiffrement – Capacité à empêcher que les données sensibles traversent des limites géographiques spécifiques |
| Souveraineté technique | – Capacité à atténuer les risques de lock-in – Priorisation des standards open source par rapport aux API propriétaires – Capacité à migrer les applications critiques vers d’autres clouds |
| Souveraineté opérationnelle | – Capacité à poursuivre l’exploitation des systèmes critiques en cas d’indisponibilité de services cloud externes – Expertise interne pour gérer l’infrastructure souveraine – Intégration de l’aspect géopolitiques dans les stratégies de récupération après sinistre |
| « Assurance » de souveraineté | – Capacité à vérifier indépendamment la sécurité, l’intégrité et la fiabilité des systèmes, données et infras – Contrôle du lieu de stockage des journaux de sécurité et des pistes d’audit – Connaissance des standards de souveraineté applicables au niveau national |
| Open source | – Politique formelle favorisant les logiciels open source – Capacité à maintenir des logiciels indépendamment d’un fournisseur tiers – Contribution active à des projets open source importants pour l’activité de l’entreprise |
| Supervision exécutive | – Sponsoring exécutif ou comité de pilotage pour les initiatives de souveraineté numérique – Intégration explicite de la souveraineté numérique dans la stratégie corporate ou IT – Budget dédié aux initiatives de souveraineté |
| Services managés | – Capacité à restreindre les déploiements cloud à des régions ou datacenters spécifiques – Contrôle et suivi des accès administratifs des cloud providers – Test ou validation de la capacité à migrer des workloads vers d’autres clouds |
L’ingénieur à l’origine de l’outil de Red Hat en a aussi développé un « spécial UE ». Il s’inspire assez nettement du Cloud Sovereignty Framework, en reprenant ses 8 objectifs… mais en les déclinant assez différemment de ce qu’a fait SUSE. En voici le récapitulatif. Les éléments spécifiques sont grands caractères. Les ajouts significatifs, en gras.
| Objectif | Points évalués |
| Souveraineté stratégique | – Fournisseurs établis dans l’UE et siège social localisé sur place – Protections en cas de passage d’un fournisseur sous contrôle non européen – Fournisseurs financés principalement par des investisseurs ou des institutions basés dans l’UE |
| Souveraineté juridique | – Contrat placé explicitement sous juridiction UE – Fournisseurs non soumis à des lois étrangères à portée extraterritoriale pouvant entraîner la divulgation de données – Désignation explicite de lieux dans l’UE pour la résolution des litiges |
| Souveraineté data/IA | – Contrôle exclusif sur les clés de chiffrement – Stockages et traitements dans l’UE – Garanties contractuelles interdisant l’utilisation sans consentement des données et des modèles d’IA à des fins d’entraînement ou de profilage |
| Souveraineté opérationnelle | – Documentation et test de stratégies de migration – Capacité à opérer et restaurer des systèmes critiques sans dépendre de tierces parties hors UE – Équipes administratives et de support technique localisées dans l’UE |
| Souveraineté de la supply chain | – Visibilité sur la supply chain des composants critiques – Composants logiciels critiques essentiellement sourcés de fournisseurs européens ou open source – Stratégie de diversification des fournisseurs |
| Souveraineté technologique | – Usage de standards ouverts et de technologies interopérables – Capacité à migrer les workloads critiques sans modification significative – Exploitation de technologies open source et contribution à des projets soutenus par l’UE |
| Souveraineté en sécurité/conformité | – SOC localisé(s) exclusivement dans l’UE – Droit contractuel d’effectuer des audits et des évaluations de sécurité inopinés du fournisseur – Stockage des journaux de sécurité, des pistes d’audit et des preuves de conformité sous juridiction UE |
| Soutenabilité environnementale | – Fournisseurs utilisant des énergies issues de sources renouvelables basées dans l’UE – Évaluation de l’impact environnemental des services cloud et stratégie de réduction carbone – Alignement sur les réglementations environnementales et les cadres de développement durable de l’UE |
Illustration générée par IA
The post Souveraineté numérique : les outils d’évaluation pleuvent appeared first on Silicon.fr.
Les démonstrations de robots sportifs font souvent sourire… jusqu’au moment où les performances deviennent crédibles. En Chine, la société Galbot affirme avoir franchi un cap avec son humanoïde G1, un robot capable d’enchaîner de vrais échanges au tennis face à des joueurs humains. La prouesse est autant matérielle …
Aimez KultureGeek sur Facebook, et suivez-nous sur Twitter
N'oubliez pas de télécharger notre Application gratuite iAddict pour iPhone et iPad (lien App Store)
L’article Ce robot humanoïde sait jouer au Tennis… enfin presque… est apparu en premier sur KultureGeek.
L'affaire avait déjà fait du bruit ces derniers jours, et AMD vient désormais de réagir officiellement. Le constructeur a publié un communiqué en Chine concernant le scandale autour de certains PC portables CHUWI, vendus avec un processeur différent de celui annoncé. Pour rappel, comme nous l'expliquions déjà dans notre précédente actualité, plusieurs modèles CoreBook étaient présentés avec un Ryzen 5 7430U. Un processeur Zen 3 relativement récent, adapté à des machines polyvalentes. Sauf que dans les faits, les performances observées ont rapidement mis la puce à l'oreille. Un Ryzen 5 5500U à la place du 7430U En creusant, les testeurs de Notebookcheck ont découvert que les machines embarquaient en réalité un Ryzen 5 5500U, basé sur une architecture Zen 2, donc plus ancienne. La confirmation est passée notamment par le numéro OPN du processeur, ainsi que par des différences techniques visibles, comme le cache et les performances globales. Plus problématique encore, le BIOS des machines aurait été modifié, ou a même envie de dire trafiqué afin d'afficher un Ryzen 5 7430U. Résultat : les outils logiciels indiquaient le bon modèle sur le papier uniquement. […]
Lire la suiteAprès plus d’un an et demi en accès anticipé, Lucky Tower Ultimate s’apprête à franchir une étape décisive. Le dungeon crawler en 2D développé par Studio Seufz et édité par AMC Games annonce sa sortie en version complète pour le 16 avril prochain — simultanément sur PC et, pour la première fois, sur Nintendo Switch. ... Lire plus
L'article Lucky Tower Ultimate quitte l’accès anticipé le 16 avril prochain sur PC et Nintendo Switch est apparu en premier sur Fredzone.
Connexion