"Talos Linux est un OS minimaliste conçu pour Kubernetes. Pas de SSH, pas de shell, pas de gestionnaire de paquets.
L’OS entier se configure via une API et des fichiers YAML. Cette approche élimine toute une classe de vecteurs d’attaque et garantit une reproductibilité totale."
Moi qui débute dans Kubernetes, je me suis demandé comment hardené la base, soit l'OS. Voilà ma réponse.
La plupart des organisations ont découvert la GenAI ces dernières années. Dès lors, elles ont avancé vite, très vite. Les usages ont rapidement fleuri et les projets se sont empilés, mais un constat a fini par s’imposer dans les discussions entre équipes techniques : impossible d’ignorer plus longtemps les risques spécifiques liés aux grands modèles de langage.
Car c’est peu de dire que la sécurité des LLM a, dans un premier temps, été reléguée au second plan. L’arrivée de l’OWASP LLM Top 10 change cet état de fait en apportant un cadre clair pour identifier les vulnérabilités critiques observées dans les applications et comprendre comment les atténuer.
L’OWASP, pour Open Web Application Security Project, est une organisation internationale dédiée à la sécurité des logiciels. Le référentiel LLM top 10, recense les 10 principaux risques de sécurité liés spécifiquement aux modèles de langage (LLM) et aux applications qui les utilisent. Il donne enfin un vocabulaire commun aux développeurs, aux architectes et aux équipes sécurité. Sa vocation est simple : rendre les charges de travail IA plus sûres, en offrant des repères que les entreprises n’avaient pas jusqu’ici.
L’initiative a d’ailleurs pris de l’ampleur et s’inscrit désormais dans le GenAI Security Project, un effort mondial qui dépasse la seule liste des dix risques initiaux et fédère plusieurs travaux autour de la sécurité de l’IA générative.
Ce mouvement répond à une réalité vécue sur le terrain. Beaucoup d’équipes peinent encore à s’aligner au moment de déployer des technologies GenAI : responsabilités dispersées, rythmes différents et une question récurrente sur la manière d’aborder ce sujet émergent. L’OWASP arrive justement pour apporter cette cohérence, avec des contrôles compréhensibles et applicables dans des environnements où tout s’accélère.
Sa singularité tient aussi à sa place dans l’écosystème. Là où des cadres de classification des menaces comme MITRE ATT&CK et MITRE ATLAS décrivent surtout les tactiques et techniques d’attaque, l’OWASP LLM top 10 se concentre sur les risques spécifiques aux modèles génératifs. Il offre ainsi une grille de lecture complémentaire et nécessaire pour mieux structurer les priorités.
GenAI, Kubernetes et l’élargissement de la surface d’attaque
Si l’OWASP LLM Top 10 arrive à point nommé, c’est aussi parce que les environnements techniques qui portent la GenAI ont profondément changé.
Les organisations ne se contentent plus d’utiliser des services grand public. Elles déploient désormais leurs propres modèles, souvent au sein de plateformes cloud native pensées pour absorber des volumes variables et des charges de calcul élevées.
L’écosystème s’est transformé à grande vitesse, avec l’adoption de solutions comme Llama 2, Midjourney, ElevenLabs, ChatGPT ou encore Sysdig Sage dans des environnements Kubernetes taillés pour la scalabilité et l’orchestration.
Cette transition a un effet immédiat car elle élargit la surface d’attaque. Un modèle d’IA déployé dans un cluster Kubernetes n’a rien à voir avec une application traditionnelle exécutée on-premises. Les risques ne sont plus seulement liés aux données ou au comportement du modèle, mais à toute la chaîne qui l’entoure. Un conteneur mal configuré, un composant obsolète ou un accès mal maîtrisé peuvent suffire à exposer l’ensemble de l’infrastructure.
La complexité de ces environnements accentue un phénomène déjà bien visible : l’absence de repères communs pour comprendre ce qui relève d’un risque LLM, d’une mauvaise configuration Kubernetes ou d’un problème de chaîne d’approvisionnement logicielle.
Dans un tel contexte, la seule intuition ne suffit plus. Les équipes doivent composer avec des technologies qui évoluent plus vite que les pratiques internes, tout en tenant compte d’un paysage réglementaire qui se densifie, notamment avec l’entrée en vigueur de l’AI Act en Europe en 2025.
C’est précisément cette convergence, qui englobe nouveaux usages, infrastructures distribuées et pression réglementaire, qui rend indispensable une approche structurée de la sécurité GenAI. Et c’est là que l’OWASP pose les premières briques d’une méthodologie enfin partagée.
Poser les fondations d’une sécurité opérationnelle et efficace !
Face à ces environnements qui se complexifient, l’adage à retenir est que l’on ne protège correctement que ce qu’on voit réellement. Or, la majorité des organisations manquent encore d’un inventaire fiable de leurs actifs IA, qu’il s’agisse de modèles internes ou de solutions tierces intégrées rapidement. L’OWASP rappelle d’ailleurs que cette visibilité constitue la première étape d’une sécurité GenAI solide.
C’est là que certaines approches prennent tout leur sens, comme l’identification automatique des endroits où les paquets IA s’exécutent, en reliant ces informations aux événements d’exécution (runtime), aux vulnérabilités et aux mauvaises configurations. L’objectif est simple : faire émerger les risques réels, là où ils apparaissent.
La visibilité passe aussi par la SBOM (Software Bill of Materials). En y intégrant les composants d’IA, les équipes disposent d’une liste complète de tous les éléments qui composent leurs charges de travail GenAI. Ce recensement permet ensuite de prioriser les charges de travail selon leur niveau de risque.
Enfin, pour structurer cette démarche, les organisations peuvent s’appuyer sur des rapports OWASP Top 10 préconfigurés et sur l’alignement avec MITRE ATLAS, qui éclaire la manière dont les modèles peuvent être ciblés selon des tactiques d’attaque documentées.
En réunissant ces briques (inventaire, SBOM et visibilité sur l’exécution au runtime) les équipes disposent non seulement d’informations, mais d’une lecture hiérarchisée et exploitable de leurs risques GenAI. C’est cette capacité à voir, comprendre et prioriser qui transforme enfin la sécurité de l’IA en pratique opérationnelle.
Philippe Darley est expert sécurité du Cloud chez Sysdig
L’éditeur français de logiciels de cybersécurité Evertrust annonce une levée de fonds de 10 millions € en Série A auprès du fonds de capital-risque américain Elephant. Cette opération doit permettre à la startup d’accélérer son développement sur les marchés européens et de consolider sa position d’acteur de référence dans la gestion des certificats numériques.
Fondée en 2017 par Kamel Ferchouche, Jean-Julien Alvado et Étienne Laviolette, Evertrust s’est transformée d’un cabinet de conseil en un éditeur de logiciels spécialisé dans deux technologies complémentaires : la PKI (Public Key Infrastructure) et le CLM (Certificate Lifecycle Management). La première permet l’émission et la gestion des certificats numériques, tandis que la seconde automatise leur cycle de vie.
Cet avantage technologique confère à Evertrust une position distinctive : l’entreprise est le seul acteur européen et l’un des quatre seuls au monde à proposer une offre intégrée couvrant ces deux segments.
Une croissance portée par des mutations du marché
Le modèle économique d’Evertrust repose sur une clientèle de grands comptes, avec plus de 25% des entreprises du CAC 40 parmi ses clients. Rentable depuis sa création, l’entreprise affirme réaliser encore plus de 80% de son chiffre d’affaires en France et emploie 40 collaborateurs.
Plusieurs facteurs structurels alimentent la demande pour ses solutions. La durée de validité des certificats publics, actuellement de 398 jours, va connaître une réduction drastique : 200 jours en 2026, 100 jours en 2027 et seulement 47 jours en 2029. Cette évolution rendra l’automatisation du renouvellement des certificats indispensable pour les organisations, qui doivent déjà gérer une multiplication exponentielle de ces artefacts cryptographiques.
Un argument de souveraineté numérique
Dans un contexte de tensions commerciales et réglementaires, Evertrust mise sur sa nature souveraine. Ses solutions sont conçues et hébergées en Europe et conformes aux standards internationaux comme eIDAS et NIST.
L’entreprise a récemment obtenu la certification CSPN de l’ANSSI pour sa plateforme PKI, un sésame qui renforce sa crédibilité auprès des acteurs publics et parapublics. Lauréate de la promotion 2025 du programme French Tech 2030, Evertrust bénéficie d’une reconnaissance institutionnelle qui appuie son développement.
Objectif : tripler les effectifs en cinq ans
Les 10 millions € levés serviront principalement à renforcer les équipes commerciales et techniques, qui devraient tripler d’ici cinq ans. L’entreprise prévoit également un changement de modèle de distribution : d’un modèle majoritairement direct en France, elle entend basculer vers un réseau de partenaires revendeurs et intégrateurs de solutions de sécurité sur les principaux marchés européens.
Connexion
