Une Ukrainienne est inculpée pour son rôle au sein des groupes pro-Russie CARR et NoName, accusés d’attaques contre des infrastructures critiques mondiales....

Une nouvelle vulnérabilité a été découverte par votre scanner de sécurité. Un ticket est automatiquement généré dans Jira, se voit attribuer une priorité « Élevée » et est déposé dans un arriéré massif et débordant. Et là, il reste. Et reste. Les jours se transforment en semaines. L’équipe de sécurité envoie un rappel. L’équipe d’ingénierie dit qu’elle s’en occupera. Le ticket est passé d’un développeur à un autre comme une patate chaude, chacun affirmant que ce n’est pas son code ou que ce n’est pas sa responsabilité. Finalement, le ticket devient obsolète, un fantôme oublié dans la machine, tandis que la vulnérabilité reste grande ouverte.

Ce scénario n’est pas un échec de la détection ; c’est un échec du processus. Le meilleur scanner de sécurité au monde est inutile si ses résultats sont ignorés. Le trou noir où les tickets de vulnérabilité vont mourir est l’un des plus grands défis de la sécurité des applications. La cause profonde est rarement un manque de compétence ou de volonté de corriger les problèmes. Au lieu de cela, c’est un système de propriété et d’acheminement défaillant. Pour garantir que les vulnérabilités sont réellement fermées, les organisations doivent aller au-delà de la simple création de tickets et construire des systèmes intelligents de propriété et d’affectation automatisée.

Le piège du ticket « sans propriétaire »

Le parcours d’un ticket de vulnérabilité se termine souvent avant même d’avoir commencé. Lorsqu’un ticket est créé sans propriétaire clair et immédiat, il entre dans un état d’incertitude. Cela se produit pour plusieurs raisons courantes.

Premièrement, de nombreux outils de sécurité ne sont pas intégrés au code de manière significative. Un scanner pourrait signaler une vulnérabilité dans une application de production mais n’avoir aucun contexte sur quelle équipe, ou même quel développeur spécifique, a écrit le code offensant. Le ticket est alors affecté à un arriéré d’« ingénierie » générique ou à un « champion de la sécurité » rotatif qui pourrait ne pas avoir le contexte nécessaire pour corriger le problème efficacement. Cela conduit à un processus de triage fastidieux où quelqu’un doit manuellement enquêter sur le code et retrouver la bonne personne.

Deuxièmement, sans un modèle de propriété prédéfini, les tickets sont souvent victimes de l’effet spectateur. Lorsqu’un ticket est affecté à toute une équipe, l’hypothèse est que quelqu’un d’autre s’en chargera. Aucune personne seule ne se sent responsable. Cela est particulièrement vrai dans les grandes organisations avec des architectures de microservices complexes, où plusieurs équipes pourraient contribuer à une seule application. En conséquence, le ticket languit jusqu’à ce qu’un analyste de sécurité intervienne manuellement, ce qui fait perdre un temps précieux et crée des frictions entre la sécurité et l’ingénierie. Le coût de cette inefficacité est significatif ; des études sur le développement de logiciels montrent que le coût de correction d’un bogue augmente de façon exponentielle plus il est trouvé tard dans le cycle de développement.

Enfin, les processus d’acheminement manuels sont lents et sujets aux erreurs. Un responsable de la sécurité transférant des e-mails ou taguant des personnes dans les commentaires Jira n’est pas une stratégie évolutive. À mesure que le volume des vulnérabilités augmente, cette approche manuelle s’effondre inévitablement, entraînant des tickets manqués et un risque accru.

Définir des modèles de propriété clairs

L’antidote au ticket sans propriétaire est un modèle de propriété clair et cohérent. Ce modèle doit être défini avant que les tickets ne commencent à circuler. Il existe plusieurs approches efficaces :

• Propriété basée sur le code : C’est le modèle le plus direct et le plus efficace. Le propriétaire du code est le propriétaire de la vulnérabilité. En tirant parti des métadonnées de votre système de contrôle de version (comme Git), vous pouvez identifier le développeur ou l’équipe qui a touché en dernier le fichier ou les lignes de code vulnérables. Cela crée une ligne de responsabilité directe. Si vous l’avez écrit, vous en êtes responsable.
• Propriété basée sur le service : Dans une architecture de micro services, il est logique d’attribuer la propriété au niveau du service. Chaque micro service doit avoir une équipe propriétaire désignée. Lorsqu’une vulnérabilité est trouvée dans un service particulier, le ticket est automatiquement acheminé vers l’arriéré de cette équipe. Cela fonctionne bien pour attribuer la responsabilité à la fois du code de l’application et de ses dépendances d’infrastructure sous-jacente
• Propriété basée sur l’application : Pour les applications monolithiques, la propriété peut être attribuée au niveau de l’application. Une équipe spécifique est responsable de la santé et de la sécurité globales de cette application. Bien que moins granulaire que la propriété basée sur le code, elle fournit un point de contact et une responsabilité clairs.

La clé est de choisir un modèle et de l’appliquer de manière cohérente. Cette information ne doit pas se trouver dans une feuille de calcul ; elle doit être intégrée directement à vos outils. L’objectif est que chaque ticket de vulnérabilité ait un propriétaire désigné dès l’instant où il est créé.

Le pouvoir des règles d’affectation automatisées

Une fois que vous avez un modèle de propriété clair, l’étape suivante consiste à automatiser le processus d’affectation. C’est là que les outils modernes d’automatisation de la sécurité deviennent transformateurs. Au lieu de trier et d’acheminer manuellement les tickets, vous pouvez créer un ensemble de règles qui gère ce travail pour vous.

Une plateforme d’automatisation efficace peut s’intégrer à votre scanner de sécurité, à votre système de contrôle de version et à votre outil de gestion de projet (comme Jira ou Azure DevOps). Avec ces intégrations en place, vous pouvez créer des flux de travail puissants de type « si ceci, alors cela ». Par exemple :

SI une vulnérabilité se trouve dans un fichier commité en dernier par developer@example.com, ALORS affecter le ticket directement à ce développeur.

SI une vulnérabilité est trouvée dans le dépôt payment-service, ALORS affecter le ticket à la « Fintech Squad » et publier une notification dans leur canal Slack.

SI une vulnérabilité est une injection SQL de gravité « Critique », ALORS définir la date d’échéance du ticket à 7 jours et taguer le chef d’équipe.

Ce niveau d’automatisation élimine le trou noir. Chaque ticket est livré directement à la personne ou à l’équipe la mieux équipée pour le corriger, avec tout le contexte nécessaire joint. Cela réduit considérablement le temps moyen de résolution (MTTR). En supprimant le goulot d’étranglement du triage manuel, vous libérez à la fois les équipes de sécurité et d’ingénierie pour se concentrer sur ce qu’elles font le mieux : sécuriser et construire des logiciels. Comme le préconisent des cadres tels que DevOps, la réduction de la friction et l’automatisation des transferts sont essentielles pour augmenter la vélocité et la qualité.

De la détection à la remédiation

Trouver des vulnérabilités n’est que la moitié de la bataille. La véritable mesure d’un programme de sécurité réussi est sa capacité à faire corriger ces vulnérabilités. En s’éloignant des processus chaotiques et manuels et en adoptant des modèles de propriété clairs avec des règles d’affectation automatisées, vous pouvez construire un flux de travail de gestion des vulnérabilités qui fonctionne réellement. Ce changement garantit que chaque ticket a un foyer, que chaque développeur a de la clarté et que chaque vulnérabilité a un chemin clair vers la remédiation. Il est temps d’arrêter de laisser les tickets mourir dans l’arriéré et de commencer à construire un système qui les ferme pour de bon.

Cet article original intitulé Acheminement des tickets qui ferment réellement les vulnérabilités : Modèles de propriété et règles d’affectation automatisées a été publié la première sur SysKB.

Dernière mise à jour le 10 décembre 2025 Citéo vous propose de découvrir des ressources ludo-pédagogiques sur les 3R (Réduire, Réemployer, Recycler) pour les cycles 2, 3 et 4. Fiches enseignants, quiz, infographies, BD....

L’article Des ressources pédagogiques pour sensibiliser les jeunes aux eco-gestes est apparu en premier sur Les Outils Tice.

Le projet, imaginé pour moderniser l’image de la Haute Assemblée, propose notamment de retrouver Gérard Larcher en “Dieu du mois de janvier”, installé en slip kangourou, moufles aux mains, sur son fauteuil à 34 000 euros, tentant de soulever une pile de dossiers non sans mal. Quelques pages plus loin, on découvre Roger Karoutchi en “dieu du printemps”, vêtu uniquement d’une petite pâquerette en guise de cache-sexe.

« Je n’ai jamais vu Gérard et Roger se lâcher comme ça, c’est génial », confie une sénatrice encore émue par la séance photo. De son côté, le service communication du Sénat assure que ce calendrier est « une expérimentation artistique destinée à montrer le corps législatif sans rien cacher aux Français ou presque ».

Pourtant, malgré un casting prestigieux, les ventes restent pour l’instant proches de zéro. Un marchand de journaux parisien témoigne : « Les gens regardent la couverture… Puis la reposent avec une certaine gêne et se dirigent naturellement vers la version originale des Dieux du Stade. »

Selon nos informations, un nouveau projet pourrait déjà voir le jour : « Les Dieux du Conseil constitutionnel », un calendrier en noir et blanc où l’on devrait retrouver Alain Juppé et Laurent Fabius comme jamais personne ne les a vus. Les précommandes, elles aussi, peinent à démarrer.

Crédits : Picture Alliance via GettyImages

L’article Après les Dieux du Stade, le calendrier « Les Dieux du Sénat » peine à trouver son public est apparu en premier sur Le Gorafi.fr Gorafi News Network.

Deux jeunes Britanniques liés à Scattered Spider nient toute implication dans l’attaque contre TfL, sur fond de coopérations NCA–FBI et de charges passibles de la perpétuité....

Un texte intéressant sur la stratégie de Rachida Dati dans la course à la mairie de Paris. C'est une populiste, une démagogue, qui n'hésite pas à se mettre en scène "à la Trump". Partager ses vidéos et dire du mal d'elle, c'est encore parler d'elle : elle a bien retenu les leçons de son mentor Sarkozy.

C'est la deuxième partie du texte qui a attiré mon attention : il y est question de la nécessité d'un "populisme modéré", ou comment les non-populistes, les modérés, j'ai presque envie de dire les démocrates, devraient utiliser au moins en partie les méthodes de leurs adversaires trumpistes, orbanniens... pour, eux aussi, occuper le terrain.

Parce que, vraiment, publier un texte sur son site de campagne et sus X pour dire "c'est pas bien", ça ne marche pas.

> Il existe pourtant des exemples de « populisme modéré ». Le gouverneur démocrate de la très libérale Californie, Gavin Newsom, s’est mis à communiquer « à la Trump », avec un certain succès. Sans aller jusque-là, il y a aussi un peu de ça chez Zohran Mamdani, avec un succès certain. Emmanuel Macron aussi a usé d’un peu de populisme.
(Permalink)

Un texte intéressant sur la stratégie de Rachida Dati dans la course à la mairie de Paris. C'est une populiste, une démagogue, qui n'hésite pas à se mettre en scène "à la Trump". Partager ses vidéos et dire du mal d'elle, c'est encore parler d'elle : elle a bien retenu les leçons de son mentor Sarkozy.

C'est la deuxième partie du texte qui a attiré mon attention : il y est question de la nécessité d'un "populisme modéré", ou comment les non-populistes, les modérés, j'ai presque envie de dire les démocrates, devraient utiliser au moins en partie les méthodes de leurs adversaires trumpistes, orbanniens... pour, eux aussi, occuper le terrain.

Parce que, vraiment, publier un texte sur son site de campagne et sus X pour dire "c'est pas bien", ça ne marche pas.

> Il existe pourtant des exemples de « populisme modéré ». Le gouverneur démocrate de la très libérale Californie, Gavin Newsom, s’est mis à communiquer « à la Trump », avec un certain succès. Sans aller jusque-là, il y a aussi un peu de ça chez Zohran Mamdani, avec un succès certain. Emmanuel Macron aussi a usé d’un peu de populisme.
(Permalink)

— Permalink

C’est un nouveau chamboulement dans le monde de l’auto-hébergement et de la sécurité web. Let’s Encrypt, l’autorité de certification gratuite qui sécurise une grande partie du web (et probablement votre accès à Home Assistant), vient d’annoncer un nouveau changement majeur. Après nous avoir annoncé il y a quelques mois l’arrêt de la notification mail, c’est […]

Lire l'article complet: Let’s Encrypt : Vers des certificats de 45 jours, êtes-vous prêt pour votre domotique ? sur le magazine de la maison connectée Domo-blog.fr.

Après la diffusion d’une vidéo dans laquelle Brigitte Macron qualifie, dans les loges du spectacle d’Ary Abittan, des féministes de « sales connes », la première dame de France a enfoncé le clou en affirmant sur X que « cette année, les pièces jaunes serviront à payer les frais d’avocats d’Ary Abittan ! Tant pis pour les petits handicapés mais maintenant on rembourse entièrement les fauteuils. Même la soi-disant victime d’Ary, si maintenant elle doit se déplacer en fauteuil, eh bien l’État le lui a payé. Et elle ose encore se plaindre ? »

La Première dame de France a tenu à avoir un mot pour les militantes féministes venues perturber le spectacle d’Ary Abittan : « J’ai été dure avec elles, mais au fond, je les comprends. Ça arrive les sautes d’humeur quand on a ses règles, qu’on a plus de 30 ans et qu’on a pas d’enfant »

Compte tenu de la polémique, Brigitte Macron a ajouté qu’elle ferait des excuses publiques, dès ce soir, sur scène, en première partie du spectacle de son “ami” Seb Mellia. 

Photo Pexels

L’article Brigitte Macron annonce que les pièces jaunes serviront à payer les frais d’avocats d’Ary Abittan est apparu en premier sur Le Gorafi.fr Gorafi News Network.

Lors d’un bref communiqué, Brigitte Macron a ainsi déclaré : “Traiter de sales connes les membres du collectif #NousToutes était malvenu. Et je suis consciente que les insulter de la sorte déshonore le travail de toutes les autres hystériques qui luttent chaque jour contre les inégalités hommes-femmes. C’est pourquoi je présente mes plus plates excuses à toutes les pète-burnes militantes”. 

Brigitte Macron est également revenue sur ses propos qualifiant les militantes de “bandits masqués.” “Mes mots ont dépassé ma pensée. Loin de moi d’affirmer que toutes les féministes sont des délinquantes, je voulais juste parler de “fémino-terroristes victimes de leurs hormones et de leurs émotions féminines surtout quand on se trouve dans les mauvais jours du mois” a développé la Première Dame lors d’une conférence de presse.

En plus de ces excuses publiques, Brigitte Macron compte aller plus loin et montrer sa bonne foi en organisant une rencontre avec des collectifs féministes la semaine prochaine à la sortie d’un concert de Bertrand Cantat auquel elle assistera en carré or. 

Photo : Getty picture alliance / Contributeur

L’article Brigitte Macron regrette d’avoir traité de sales connes “ces bandits masqués fémino-hystériques” est apparu en premier sur Le Gorafi.fr Gorafi News Network.

Faux investisseurs, mécénats fictifs, faux collègues : comment les réseaux sociaux professionnels deviennent un enjeu d’ingérence et de renseignement.

— Liens directs

Un pirate vise fédérations sportives, assureur et site éducatif, révélant de graves failles de cybersécurité dans l’écosystème français....

Après MédecinDirect, Leroy Merlin et les missions locales, le groupe Schmidt révèle une fuite de données clients qui nourrit l’inquiétude sur la sécurité des Français en ligne....

FFF et FFHandball victimes de fuites de données licenciés, révélant la vulnérabilité cyber croissante des logiciels de gestion du sport français....

Intrusion chez MédecinDirect : jusqu’à 300 000 utilisateurs concernés par une fuite de données, entre éléments médicaux exposés et questions sur la sécurité de l’e-santé....

IDFKA, backdoor en Rust, infiltre un sous-traitant télécom russe et cible bases d’abonnés et appels, illustration d’une menace d’espionnage durable.

Il est effectivement possible de "recharger" des piles non rechargeables avec un appareil qui existe depuis plusieurs années. Mais je ne trouvais aucune étude sérieuse sur le sujet.

Après son comparatif des piles rechargeables, des piles alcalines et le marketing des piles, Joffrey nous propose un protocole de test digne de ce nom pour tenter de recharger des piles jetables (alcalines) :

Cela répond à beaucoup de questions !

S'il peut y avoir un intérêt écologique (surtout si le prix du chargeur baisse) il parait compliqué voir impossible de dire qu'une pile non rechargeable peut être rechargée. Elle récupère au mieux une moitié d'énergie à chaque fois et doit être utilisée dans un appareil peu consommateur... qui par définition ne consomme pas tant de piles.

En bref : cela ne se substitue absolument pas aux piles rechargeables. En revanche si vous achetez l'appareil vous pouvez facilement vous approvisionner dans les stocks de piles au rebut (demandez l'autorisation hein...).

De mon côté j'ai déjà vu des piles alcalines sérieusement chauffer, fuir (ou pire exploser) lorsqu'elles étaient rechargées par un chargeur équivalent (d'une autre marque, il se peut que l'algo de charge n'était pas adapté). Évitez de laisser vos piles en charge la nuit sans surveillance.

Merci Joffrey pour ce super test!

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 07/12/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article 🪫Recharger des piles jetables : bof ! provient de : on Blogmotion.