Panne des Porsche en Russie: enquête sur le VTS et les risques cyber des systèmes d'immobilisation de voitures connectées....

Une Ukrainienne est inculpée pour son rôle au sein des groupes pro-Russie CARR et NoName, accusés d’attaques contre des infrastructures critiques mondiales....

L’Inde renonce à imposer l’app Sanchar Saathi sur tous les smartphones, révélant les tensions entre cybersécurité d’État, vie privée et puissance des géants du numérique....

Projet de loi américain pour alourdir les peines contre les fraudes et usurpations d’identité commises à l’aide d’outils d’intelligence artificielle....

Retour sur la vague d’attaques Clop sur Oracle EBS : universités, médias et industriels piégés par une même chaîne d’extorsion....

Comment expliquer que Noël tombe si souvent le 25 décembre ? Pour le politologue Damien Poussard, il y a clairement « un manque d’inventivité des politiques » qui reflète « une vision sclérosée de la gouvernance et un pays engoncé dans ses traditions ». Certains travaux de spécialistes avancent d’autres raisons plus triviales comme la proximité avec le Black Friday ou la présence de vacances à cette période de l’année, ce qui rendrait l’organisation des fêtes plus pratique et les gueules de bois plus supportables. De nombreux Français militent pourtant pour un changement de date, comme Jérôme, de Lens : « Ça fait dix ans que je suis malade cette semaine-là, j’ai l’impression que le gouvernement le fait exprès. » Quant à Nadine, de Bordeaux, elle déplore surtout la météo en cette saison : « Noël tombe tout le temps en plein hiver alors que ce serait tellement mieux si on pouvait le fêter à la plage dans notre maison secondaire à Arcachon. Mais les gens ne pensent qu’à eux, ils sont d’un égoïsme ! »

Un président peu concerné ?

Interrogé à ce sujet, le chef de l’État a d’abord rappelé que Noël était un mot « un peu connoté » et qu’il préférait parler de « fête païenne du solstice et du soleil dans un esprit harmonieux de vivre-ensemble. » En revanche, en ce qui concerne la date, il n’a pas envisagé de changement pour le moment : « Ce n’est pas ma priorité, je vous rappelle que nous sommes en guerre ! ». Noël devrait donc, selon toute vraisemblance, avoir de nouveau lieu le 25 décembre cette année, alors même que la plupart des historiens sont incapables d’expliquer le choix de cette date. Pour le médiéviste et professeur d’université Vincent Guglielmo, « rien n’est clair, on ne sait même pas vraiment ce qu’on fête : le sapin, les cadeaux, la dinde, les discours gênants des oncles, la gastro ? Cela reste un mystère. » 

Pour les adeptes du changement, il ne reste donc plus qu’à espérer que le Nouvel an ne tombe pas le soir du 31 décembre.  

L’article Fact-check – Noël aura-t-il lieu le 25 décembre cette année ? est apparu en premier sur Le Gorafi.fr Gorafi News Network.

Un Germano-Polonais est accusé d’avoir géré sur le darknet une plateforme d’assassinats politiques financés en cryptomonnaies, visant des responsables politiques....

Akira : près de 250 millions de dollars de rançons, un héritage Conti et une offensive coordonnée FBI–CISA–Europol contre ses attaques via VPN et accès à distance....

Washington et ses alliés sanctionnent Media Land et Aeza, hébergeurs russes pro-ransomware, et publient un guide pour contrer l’hébergement inviolable....

Deux jeunes Britanniques liés à Scattered Spider nient toute implication dans l’attaque contre TfL, sur fond de coopérations NCA–FBI et de charges passibles de la perpétuité....

Fuite géante chez Coupang : 33,7 millions de comptes exposés et le modèle sud-coréen de protection des données sous pression....

Cryptomixer démantelé : Europol, la Suisse et l’Allemagne frappent un mixeur bitcoin clé du blanchiment crypto et saisissent plus de 25 millions d'euros....

Le Justice stoppe un faux site TickMill birman et cible les réseaux d’arnaque crypto liés aux centres d’escroquerie régionaux....

Ce 9 décembre 2025, Microsoft a publié la mise à jour KB5071546, exclusivement à destination des ordinateurs sous Windows 10 qui sont inscrits au programme Extended Security Updates (ESU). Pour rappel, depuis la fin du support officiel de Windows 10, seules les machines inscrites à ce programme reçoivent encore les mises à jour de sécurité … Lire la suite

Source

Ce 9 décembre 2025, dans le cadre du « Patch Tuesday » (la mise à jour mensuelle de Microsoft à destination de Windows), Microsoft a déployé la mise à jour KB5072033 à destination de tous les ordinateurs sous Windows 11 version 25H2 et Windows 11 version 24H2. Cette mise à jour mensuelle obligatoire inclut d’abord plusieurs correctifs de sécurité (57 … Lire la suite

Source

Rançongiciel chez Poltronesofà : fuite de données anciennes, risques de fraude et interrogations sur la conservation des informations clients à l’ère du RGPD....

Depuis 2021, Apple prévient certaines cibles d’opérations de surveillance sophistiquées. Le CERT-FR vient de lancer une recherche auprés de français impactés....

Découvrez Plaud Note Pro, dictaphone IA nouvelle génération pour pros : audio haute qualité, transcriptions avancées, mais abonnement et cloud à bien peser.

— Permalink

La plupart des organisations ont découvert la GenAI ces dernières années. Dès lors, elles ont avancé vite, très vite. Les usages ont rapidement fleuri et les projets se sont empilés, mais un constat a fini par s’imposer dans les discussions entre équipes techniques : impossible d’ignorer plus longtemps les risques spécifiques liés aux grands modèles de langage.

Car c’est peu de dire que la sécurité des LLM a, dans un premier temps, été reléguée au second plan. L’arrivée de l’OWASP LLM Top 10 change cet état de fait en apportant un cadre clair pour identifier les vulnérabilités critiques observées dans les applications et comprendre comment les atténuer.

L’OWASP, pour Open Web Application Security Project, est une organisation internationale dédiée à la sécurité des logiciels. Le référentiel LLM top 10, recense les 10 principaux risques de sécurité liés spécifiquement aux modèles de langage (LLM) et aux applications qui les utilisent. Il donne enfin un vocabulaire commun aux développeurs, aux architectes et aux équipes sécurité. Sa vocation est simple : rendre les charges de travail IA plus sûres, en offrant des repères que les entreprises n’avaient pas jusqu’ici.

L’initiative a d’ailleurs pris de l’ampleur et s’inscrit désormais dans le GenAI Security Project, un effort mondial qui dépasse la seule liste des dix risques initiaux et fédère plusieurs travaux autour de la sécurité de l’IA générative.

Ce mouvement répond à une réalité vécue sur le terrain. Beaucoup d’équipes peinent encore à s’aligner au moment de déployer des technologies GenAI : responsabilités dispersées, rythmes différents et une question récurrente sur la manière d’aborder ce sujet émergent. L’OWASP arrive justement pour apporter cette cohérence, avec des contrôles compréhensibles et applicables dans des environnements où tout s’accélère.

Sa singularité tient aussi à sa place dans l’écosystème. Là où des cadres de classification des menaces comme MITRE ATT&CK et MITRE ATLAS décrivent surtout les tactiques et techniques d’attaque, l’OWASP LLM top 10 se concentre sur les risques spécifiques aux modèles génératifs. Il offre ainsi une grille de lecture complémentaire et nécessaire pour mieux structurer les priorités.

GenAI, Kubernetes et l’élargissement de la surface d’attaque

Si l’OWASP LLM Top 10 arrive à point nommé, c’est aussi parce que les environnements techniques qui portent la GenAI ont profondément changé.

Les organisations ne se contentent plus d’utiliser des services grand public. Elles déploient désormais leurs propres modèles, souvent au sein de plateformes cloud native pensées pour absorber des volumes variables et des charges de calcul élevées.

L’écosystème s’est transformé à grande vitesse, avec l’adoption de solutions comme Llama 2, Midjourney, ElevenLabs, ChatGPT ou encore Sysdig Sage dans des environnements Kubernetes taillés pour la scalabilité et l’orchestration.

Cette transition a un effet immédiat car elle élargit la surface d’attaque. Un modèle d’IA déployé dans un cluster Kubernetes n’a rien à voir avec une application traditionnelle exécutée on-premises. Les risques ne sont plus seulement liés aux données ou au comportement du modèle, mais à toute la chaîne qui l’entoure. Un conteneur mal configuré, un composant obsolète ou un accès mal maîtrisé peuvent suffire à exposer l’ensemble de l’infrastructure.

La complexité de ces environnements accentue un phénomène déjà bien visible : l’absence de repères communs pour comprendre ce qui relève d’un risque LLM, d’une mauvaise configuration Kubernetes ou d’un problème de chaîne d’approvisionnement logicielle.

Dans un tel contexte, la seule intuition ne suffit plus. Les équipes doivent composer avec des technologies qui évoluent plus vite que les pratiques internes, tout en tenant compte d’un paysage réglementaire qui se densifie, notamment avec l’entrée en vigueur de l’AI Act en Europe en 2025.

C’est précisément cette convergence, qui englobe nouveaux usages, infrastructures distribuées et pression réglementaire, qui rend indispensable une approche structurée de la sécurité GenAI. Et c’est là que l’OWASP pose les premières briques d’une méthodologie enfin partagée.

Poser les fondations d’une sécurité opérationnelle et efficace !

Face à ces environnements qui se complexifient, l’adage à retenir est que l’on ne protège correctement que ce qu’on voit réellement. Or, la majorité des organisations manquent encore d’un inventaire fiable de leurs actifs IA, qu’il s’agisse de modèles internes ou de solutions tierces intégrées rapidement. L’OWASP rappelle d’ailleurs que cette visibilité constitue la première étape d’une sécurité GenAI solide.

C’est là que certaines approches prennent tout leur sens, comme l’identification automatique des endroits où les paquets IA s’exécutent, en reliant ces informations aux événements d’exécution (runtime), aux vulnérabilités et aux mauvaises configurations. L’objectif est simple : faire émerger les risques réels, là où ils apparaissent.

La visibilité passe aussi par la SBOM (Software Bill of Materials). En y intégrant les composants d’IA, les équipes disposent d’une liste complète de tous les éléments qui composent leurs charges de travail GenAI. Ce recensement permet ensuite de prioriser les charges de travail selon leur niveau de risque.

Enfin, pour structurer cette démarche, les organisations peuvent s’appuyer sur des rapports OWASP Top 10 préconfigurés et sur l’alignement avec MITRE ATLAS, qui éclaire la manière dont les modèles peuvent être ciblés selon des tactiques d’attaque documentées.

En réunissant ces briques (inventaire, SBOM et visibilité sur l’exécution au runtime) les équipes disposent non seulement d’informations, mais d’une lecture hiérarchisée et exploitable de leurs risques GenAI. C’est cette capacité à voir, comprendre et prioriser qui transforme enfin la sécurité de l’IA en pratique opérationnelle.

Philippe Darley est expert sécurité du Cloud chez Sysdig

The post { Tribune Expert } – Sécuriser la GenAI commence par un inventaire clair et une visibilité réelle sur ses composants appeared first on Silicon.fr.