— Permalink

Une nouvelle vulnérabilité a été découverte par votre scanner de sécurité. Un ticket est automatiquement généré dans Jira, se voit attribuer une priorité « Élevée » et est déposé dans un arriéré massif et débordant. Et là, il reste. Et reste. Les jours se transforment en semaines. L’équipe de sécurité envoie un rappel. L’équipe d’ingénierie dit qu’elle s’en occupera. Le ticket est passé d’un développeur à un autre comme une patate chaude, chacun affirmant que ce n’est pas son code ou que ce n’est pas sa responsabilité. Finalement, le ticket devient obsolète, un fantôme oublié dans la machine, tandis que la vulnérabilité reste grande ouverte.

Ce scénario n’est pas un échec de la détection ; c’est un échec du processus. Le meilleur scanner de sécurité au monde est inutile si ses résultats sont ignorés. Le trou noir où les tickets de vulnérabilité vont mourir est l’un des plus grands défis de la sécurité des applications. La cause profonde est rarement un manque de compétence ou de volonté de corriger les problèmes. Au lieu de cela, c’est un système de propriété et d’acheminement défaillant. Pour garantir que les vulnérabilités sont réellement fermées, les organisations doivent aller au-delà de la simple création de tickets et construire des systèmes intelligents de propriété et d’affectation automatisée.

Le piège du ticket « sans propriétaire »

Le parcours d’un ticket de vulnérabilité se termine souvent avant même d’avoir commencé. Lorsqu’un ticket est créé sans propriétaire clair et immédiat, il entre dans un état d’incertitude. Cela se produit pour plusieurs raisons courantes.

Premièrement, de nombreux outils de sécurité ne sont pas intégrés au code de manière significative. Un scanner pourrait signaler une vulnérabilité dans une application de production mais n’avoir aucun contexte sur quelle équipe, ou même quel développeur spécifique, a écrit le code offensant. Le ticket est alors affecté à un arriéré d’« ingénierie » générique ou à un « champion de la sécurité » rotatif qui pourrait ne pas avoir le contexte nécessaire pour corriger le problème efficacement. Cela conduit à un processus de triage fastidieux où quelqu’un doit manuellement enquêter sur le code et retrouver la bonne personne.

Deuxièmement, sans un modèle de propriété prédéfini, les tickets sont souvent victimes de l’effet spectateur. Lorsqu’un ticket est affecté à toute une équipe, l’hypothèse est que quelqu’un d’autre s’en chargera. Aucune personne seule ne se sent responsable. Cela est particulièrement vrai dans les grandes organisations avec des architectures de microservices complexes, où plusieurs équipes pourraient contribuer à une seule application. En conséquence, le ticket languit jusqu’à ce qu’un analyste de sécurité intervienne manuellement, ce qui fait perdre un temps précieux et crée des frictions entre la sécurité et l’ingénierie. Le coût de cette inefficacité est significatif ; des études sur le développement de logiciels montrent que le coût de correction d’un bogue augmente de façon exponentielle plus il est trouvé tard dans le cycle de développement.

Enfin, les processus d’acheminement manuels sont lents et sujets aux erreurs. Un responsable de la sécurité transférant des e-mails ou taguant des personnes dans les commentaires Jira n’est pas une stratégie évolutive. À mesure que le volume des vulnérabilités augmente, cette approche manuelle s’effondre inévitablement, entraînant des tickets manqués et un risque accru.

Définir des modèles de propriété clairs

L’antidote au ticket sans propriétaire est un modèle de propriété clair et cohérent. Ce modèle doit être défini avant que les tickets ne commencent à circuler. Il existe plusieurs approches efficaces :

• Propriété basée sur le code : C’est le modèle le plus direct et le plus efficace. Le propriétaire du code est le propriétaire de la vulnérabilité. En tirant parti des métadonnées de votre système de contrôle de version (comme Git), vous pouvez identifier le développeur ou l’équipe qui a touché en dernier le fichier ou les lignes de code vulnérables. Cela crée une ligne de responsabilité directe. Si vous l’avez écrit, vous en êtes responsable.
• Propriété basée sur le service : Dans une architecture de micro services, il est logique d’attribuer la propriété au niveau du service. Chaque micro service doit avoir une équipe propriétaire désignée. Lorsqu’une vulnérabilité est trouvée dans un service particulier, le ticket est automatiquement acheminé vers l’arriéré de cette équipe. Cela fonctionne bien pour attribuer la responsabilité à la fois du code de l’application et de ses dépendances d’infrastructure sous-jacente
• Propriété basée sur l’application : Pour les applications monolithiques, la propriété peut être attribuée au niveau de l’application. Une équipe spécifique est responsable de la santé et de la sécurité globales de cette application. Bien que moins granulaire que la propriété basée sur le code, elle fournit un point de contact et une responsabilité clairs.

La clé est de choisir un modèle et de l’appliquer de manière cohérente. Cette information ne doit pas se trouver dans une feuille de calcul ; elle doit être intégrée directement à vos outils. L’objectif est que chaque ticket de vulnérabilité ait un propriétaire désigné dès l’instant où il est créé.

Le pouvoir des règles d’affectation automatisées

Une fois que vous avez un modèle de propriété clair, l’étape suivante consiste à automatiser le processus d’affectation. C’est là que les outils modernes d’automatisation de la sécurité deviennent transformateurs. Au lieu de trier et d’acheminer manuellement les tickets, vous pouvez créer un ensemble de règles qui gère ce travail pour vous.

Une plateforme d’automatisation efficace peut s’intégrer à votre scanner de sécurité, à votre système de contrôle de version et à votre outil de gestion de projet (comme Jira ou Azure DevOps). Avec ces intégrations en place, vous pouvez créer des flux de travail puissants de type « si ceci, alors cela ». Par exemple :

SI une vulnérabilité se trouve dans un fichier commité en dernier par developer@example.com, ALORS affecter le ticket directement à ce développeur.

SI une vulnérabilité est trouvée dans le dépôt payment-service, ALORS affecter le ticket à la « Fintech Squad » et publier une notification dans leur canal Slack.

SI une vulnérabilité est une injection SQL de gravité « Critique », ALORS définir la date d’échéance du ticket à 7 jours et taguer le chef d’équipe.

Ce niveau d’automatisation élimine le trou noir. Chaque ticket est livré directement à la personne ou à l’équipe la mieux équipée pour le corriger, avec tout le contexte nécessaire joint. Cela réduit considérablement le temps moyen de résolution (MTTR). En supprimant le goulot d’étranglement du triage manuel, vous libérez à la fois les équipes de sécurité et d’ingénierie pour se concentrer sur ce qu’elles font le mieux : sécuriser et construire des logiciels. Comme le préconisent des cadres tels que DevOps, la réduction de la friction et l’automatisation des transferts sont essentielles pour augmenter la vélocité et la qualité.

De la détection à la remédiation

Trouver des vulnérabilités n’est que la moitié de la bataille. La véritable mesure d’un programme de sécurité réussi est sa capacité à faire corriger ces vulnérabilités. En s’éloignant des processus chaotiques et manuels et en adoptant des modèles de propriété clairs avec des règles d’affectation automatisées, vous pouvez construire un flux de travail de gestion des vulnérabilités qui fonctionne réellement. Ce changement garantit que chaque ticket a un foyer, que chaque développeur a de la clarté et que chaque vulnérabilité a un chemin clair vers la remédiation. Il est temps d’arrêter de laisser les tickets mourir dans l’arriéré et de commencer à construire un système qui les ferme pour de bon.

Cet article original intitulé Acheminement des tickets qui ferment réellement les vulnérabilités : Modèles de propriété et règles d’affectation automatisées a été publié la première sur SysKB.

Un texte intéressant sur la stratégie de Rachida Dati dans la course à la mairie de Paris. C'est une populiste, une démagogue, qui n'hésite pas à se mettre en scène "à la Trump". Partager ses vidéos et dire du mal d'elle, c'est encore parler d'elle : elle a bien retenu les leçons de son mentor Sarkozy.

C'est la deuxième partie du texte qui a attiré mon attention : il y est question de la nécessité d'un "populisme modéré", ou comment les non-populistes, les modérés, j'ai presque envie de dire les démocrates, devraient utiliser au moins en partie les méthodes de leurs adversaires trumpistes, orbanniens... pour, eux aussi, occuper le terrain.

Parce que, vraiment, publier un texte sur son site de campagne et sus X pour dire "c'est pas bien", ça ne marche pas.

> Il existe pourtant des exemples de « populisme modéré ». Le gouverneur démocrate de la très libérale Californie, Gavin Newsom, s’est mis à communiquer « à la Trump », avec un certain succès. Sans aller jusque-là, il y a aussi un peu de ça chez Zohran Mamdani, avec un succès certain. Emmanuel Macron aussi a usé d’un peu de populisme.
(Permalink)

Un texte intéressant sur la stratégie de Rachida Dati dans la course à la mairie de Paris. C'est une populiste, une démagogue, qui n'hésite pas à se mettre en scène "à la Trump". Partager ses vidéos et dire du mal d'elle, c'est encore parler d'elle : elle a bien retenu les leçons de son mentor Sarkozy.

C'est la deuxième partie du texte qui a attiré mon attention : il y est question de la nécessité d'un "populisme modéré", ou comment les non-populistes, les modérés, j'ai presque envie de dire les démocrates, devraient utiliser au moins en partie les méthodes de leurs adversaires trumpistes, orbanniens... pour, eux aussi, occuper le terrain.

Parce que, vraiment, publier un texte sur son site de campagne et sus X pour dire "c'est pas bien", ça ne marche pas.

> Il existe pourtant des exemples de « populisme modéré ». Le gouverneur démocrate de la très libérale Californie, Gavin Newsom, s’est mis à communiquer « à la Trump », avec un certain succès. Sans aller jusque-là, il y a aussi un peu de ça chez Zohran Mamdani, avec un succès certain. Emmanuel Macron aussi a usé d’un peu de populisme.
(Permalink)

C’est un nouveau chamboulement dans le monde de l’auto-hébergement et de la sécurité web. Let’s Encrypt, l’autorité de certification gratuite qui sécurise une grande partie du web (et probablement votre accès à Home Assistant), vient d’annoncer un nouveau changement majeur. Après nous avoir annoncé il y a quelques mois l’arrêt de la notification mail, c’est […]

Lire l'article complet: Let’s Encrypt : Vers des certificats de 45 jours, êtes-vous prêt pour votre domotique ? sur le magazine de la maison connectée Domo-blog.fr.

— Liens directs

IDFKA, backdoor en Rust, infiltre un sous-traitant télécom russe et cible bases d’abonnés et appels, illustration d’une menace d’espionnage durable.

Il est effectivement possible de "recharger" des piles non rechargeables avec un appareil qui existe depuis plusieurs années. Mais je ne trouvais aucune étude sérieuse sur le sujet.

Après son comparatif des piles rechargeables, des piles alcalines et le marketing des piles, Joffrey nous propose un protocole de test digne de ce nom pour tenter de recharger des piles jetables (alcalines) :

Cela répond à beaucoup de questions !

S'il peut y avoir un intérêt écologique (surtout si le prix du chargeur baisse) il parait compliqué voir impossible de dire qu'une pile non rechargeable peut être rechargée. Elle récupère au mieux une moitié d'énergie à chaque fois et doit être utilisée dans un appareil peu consommateur... qui par définition ne consomme pas tant de piles.

En bref : cela ne se substitue absolument pas aux piles rechargeables. En revanche si vous achetez l'appareil vous pouvez facilement vous approvisionner dans les stocks de piles au rebut (demandez l'autorisation hein...).

De mon côté j'ai déjà vu des piles alcalines sérieusement chauffer, fuir (ou pire exploser) lorsqu'elles étaient rechargées par un chargeur équivalent (d'une autre marque, il se peut que l'algo de charge n'était pas adapté). Évitez de laisser vos piles en charge la nuit sans surveillance.

Merci Joffrey pour ce super test!

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 07/12/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article 🪫Recharger des piles jetables : bof ! provient de : on Blogmotion.

Analyse de la Quantum Platform d’OVHcloud, première offre européenne Cloud QaaS intégrant un ordinateur quantique Pasqal.

Analyse du chiffreur post-quantique Mistral lancé par Thales pour sécuriser les communications sensibles face aux futures menaces quantiques.

La mise à jour Home Assistant 2025.12 apporte un nouveau mode Labs, des déclencheurs d’automatisation plus intuitifs, un tableau de bord Énergie en temps réel et de nombreuses améliorations sur les dashboards, l’IA et les intégrations. Tour d’horizon détaillé de tout ce qui change pour votre maison connectée.

💾

— Permalien

Plusieurs commandes permettent de connaître la version de votre Raspberry Pi.

Rien de compliqué mais à chaque fois que j'en ai besoin je dois chercher dans Google, donc autant que je tombe sur mon article

Une fois connecté en SSH, tout d'abord il y a gpio -v :

gpio version: 2.50
Copyright (c) 2012-2018 Gordon Henderson
This is free software with ABSOLUTELY NO WARRANTY.
For details type: gpio -warranty

Raspberry Pi Details:
Type: Pi 2, Revision: 01, Memory: 1024MB, Maker: Embest
* Device tree is enabled.
*--> Raspberry Pi 2 Model B Rev 1.1
* This Raspberry Pi supports user-level GPIO access.

Ces 2 commandes fonctionneront également :

cat /proc/device-tree/model;echo
Raspberry Pi 2 Model B Rev 1.1

cat /sys/firmware/devicetree/base/model;echo
Raspberry Pi 2 Model B Rev 1.1

Et voilà !

Pour ceux qui n'aiment pas la ligne de commande, la version est aussi inscrite directement sur votre Raspberry Pi (sur le PCB)...

ps: je sais que l'emoji dans le titre n'est pas une framboise, je n'y peux rien car la framboise a été refusée en 2020

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 04/12/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Comment connaître le modèle d’un Raspberry Pi? 🍓 provient de : on Blogmotion.

Congédiés par le président Rafael Correa (2007-2017), les États-Unis reprennent progressivement pied en Équateur, avec l'assentiment de Quito. Sous prétexte de lutter contre le crime organisé, ils consolident ainsi leur présence militaire en Amérique latine et dans le Pacifique. Sanctuaire (…) / États-Unis, Équateur, Géopolitique, Armée

Comparer C# et C++ n’a rien d’anodin. Ces deux grands langages partagent certains fondements tout en affichant de profondes différences en termes de performance, de vitesse d’exécution, de complexité de la syntaxe ou encore de domaines d’application. Beaucoup se demandent lequel choisir pour leur projet, que ce soit au regard de la puissance du langage, […]

C’est un peu une coutume, pour la mise à jour de décembre, l’équipe de développement Home Assistant livre un cadeau de fin d’année majeur ! Comme chaque premier mercredi du mois, c’est le moment que tous les amateurs de domotique locale attendent : la nouvelle release de Home Assistant ! Ce mois-ci, l’équipe de développement […]

Lire l'article complet: Home Assistant 2025.12 : C’est déjà Noel pour votre domotique ! sur le magazine de la maison connectée Domo-blog.fr.

— Permalien

Le terme serveur privé virtuel, plus connu sous le sigle VPS, revient sans cesse dès qu’il s’agit de choisir une solution d’hébergement web flexible et performante. Pourtant, la distinction entre un hébergement classique, un serveur dédié et un VPS n’est pas toujours limpide. Pourquoi cette machine virtuelle attire-t-elle autant d’intérêt ? À qui s’adresse ce type […]

PowerShell offre une multitude d’outils pour la gestion de processus sous Windows. Parmi eux, la commande stop-process s’impose dès qu’il faut arrêter un programme bloqué ou se débarrasser d’une application indésirable. Pour ceux qui trouvent les scripts PowerShell intimidants, ce guide pratique va détailler pas à pas comment tuer un processus facilement, que vous le […]

Le Cyber Monday 2025 est la dernière occasion pour rendre votre maison plus intelligente, plus sécurisée et plus économe en énergie. Que vous soyez novice ou expert en domotique, c’est le moment idéal pour profiter de promotions exceptionnelles sur les produits phares de la maison connectée. Cette année, attendez-vous à des réductions massives sur l’éclairage […]

Lire l'article complet: Cyber Monday Domotique 2025 : Les Meilleurs Bons Plans et Promotions à ne pas manquer ! sur le magazine de la maison connectée Domo-blog.fr.