ATELIER du lundi 31 mars de 11h30 à 13h30 à Paris (participation en ligne possible).

Etes-vous prêts pour les échéances de 2026 et 2027 du Cyber Resilience Act (CRA) ?

Le CRA est un dispositif adpoté par la Commission Européenne en 2024 pour répondre à la vulnérabilité accrue aux cyberattaques des entreprises et services publics européens,. Il vise à renforcer la cybersécurité et la cyberrésilience des produits logiciels (et matériels qui comportent des éléments numériques) connectés.

Le premier guide de conformité au CRA dédié aux acteurs de l’open source, proposé par le CNLL et inno³ a pour objectif de faciliter la compréhension du CRA et les effets attendus, et de proposer des recommandations concrètes.

N'attendez pas pour commencer à évaluer vos obligations nouvelles à venir et les adaptations nécéssaires de vos processus, rejoignez l'atelier du 31 mars !

📅 Quand ? Le 31 mars de 11h30 à 13h30, la rencontre sera suivie d'un buffet pour les personnes sur place.

📍 Où ? 137 Boulevard de Magenta 75010 Paris (nombre de places limité, participation en ligne possible).

L'objectif est de rendre la session de discussion la plus active possible, n'hésitez pas à lire d'un œil critique et intéressé le guide en amont. Vous pouvez même nous envoyer dès aujourd'hui vos diverses questions ou remarques afin de nous aider à préparer l'atelier : mission-cra-cnll@framagroupes.org.

Première fournée de l'année pour vos magazines préférés. Voici donc un petit panorama, de plus en plus restreint au niveau des éditeurs, forcément subjectif et parti{e,a}l, de la presse papier sortie récemment.

D'ailleurs cette année nous pouvons fêter les 30 ans des éditions Diamond. Encore plus vieux que LinuxFr.org ! 🎉 Joyeux anniversaire 🎂. À cette occasion, elles proposent de (re)découvrir l'une de leurs publications en offrant le numéro 270 de GNU/Linux Magazine via leur support de lecture en ligne, Kiosk Online (en HTML).

Sinon, voici les nouveautés sorties en janvier 2025 et disponibles jusque fin février, sauf pour le hors-série MISC disponible jusqu'à la fin mars :

• GNU/Linux Magazine France n^o 273 vous explique comment accéder au matériel PCIE depuis vos VM ;
• Linux Pratique n^o 147 utilise GATUS pour déployer une page de monitoring de vos services ;
• MISC magazine n^o 137 publie le second article de la série sur le Cyber Resilience Act et propose une intégration des exigences de ce dernier dans vos cycles DevSecOps ;
• Hackable n^o 58 allie domotique & vidéosurveillance sans sacrifier votre vie privé ;
• MISC hors-série n^o 31 donnera des idées aux Red Team avec cinq articles techniques décrivant des attaques concrètes et réussies sur le terrain.

Télécharger GNU/Linux Magazine numéro 270

Pour le récupérer, il suffit de

1. se connecter ou de créer un compte sur leur boutique en ligne ;
2. d'ajouter le numéro 270 de GNU/Linux Magazine à votre panier en sélectionnant bien le support Kiosk Online avant ;
3. d'indiquer le code de remise ED30LINUXFR lors de la validation de la commande.

Bonne lecture !

Les sommaires des numéros sortis en janvier 2025

MISC hors‑série numéro 31

Au sommaire de ce numéro hors-série :

• Threat modeling : anticiper et identifier les menaces sur les infrastructures
• Dossier : Red Team
  • IPSpinner : un outil innovant de rotation d’adresses IP
  • Comment (ne pas) définir ses stratégies d'accès conditionnel Entra ID
  • CI/CD : de l'intégration à l'intrusion avec GitHub Actions
  • SCCM : techniques d’exploitation pour les intrusions Red Team
  • Contournements EDR : analyse de SentinelOne
• Exploitation de l’AD CS : ESC12, ESC13 et ESC14

GNU/Linux Magazine numéro 273

Au sommaire de ce numéro de janvier – février 2025 :

• Awk comparé aux outils Unix et Python ;
• Encapsulation et gestion d’états en Erlang avec ETS/DETS ;
• Chroot n'est pas mort, il va d'ailleurs très bien… sous OpenBSD ;
• Développement noyau, machine virtuelle et périphérique PCIe physique ;
• Réalisez un module Caddy : exemple de génération d’AVIF et de JXL à la volée ;
• Le temps sous Linux - 3e volet.

Linux Pratique numéro 147

Au sommaire de ce numéro de janvier – février 2025 :

• Virtualisez facilement de nouveaux systèmes avec Quickemu ;
• Introduction au filtrage réseau avec BPF ;
• La pile web sous OpenBSD ;
• Une météo des services de manière simple et efficace avec Gatus ;
• Modéliser un contrôle d’accès basé sur les attributs avec OPA ;
• Automatisation avec Ansible Navigator et Red Hat Ansible Automation Platform ;
• Adoptez PimCore, bien plus qu’un CMS.

MISC Magazine numéro 137

Au sommaire de ce numéro de janvier – février 2025 :

• Cyber Resilience Act / DevSecOps : mise en perspective et intégration dans le run ;
• Opération Triangulation : 2 ans après, analyse et détection de l'implant ;
• Détection d’exploits du noyau Linux avec eBPF ;
• Sécuriser les clés privées avec la séparation de privilèges cryptographiques ;
• RETEX d’implémentation d’une architecture N-tier Active Directory ;
• Chiffrement homomorphe et Private Information Retrieval en Python ;
• Une solution à la transition vers la cryptographie post-quantique.

Hackable numéro 58

Au sommaire de ce numéro de janvier – février 2025 :

• FSiC2024 : L’Open Silicium décolle à Paris !
• Mettre en place une surveillance domotique avec Raspberry Pi ;
• S'initier à OpenCL sur Raspberry Pi 3 ;
• FX2LP : une autre solution pour créer des périphériques USB ;
• Sécuriser tout et n'importe quoi avec des mini-signatures ;
• LiteX : Linux sur un SoC RISC-V en FPGA.

Le CNLL, Union des Entreprises du Logiciel Libre et du Numérique Ouvert, est l’instance représentative de la filière du logiciel libre en France, et inno³ un cabinet de conseil spécialiste des modèles ouverts. Ils proposent le premier guide de conformité au CRA dédié aux acteurs de l’open source, destiné à accompagner sans attendre les acteurs dans la mise en conformité de leurs activités en décryptant les obligations nouvelles et adaptations nécessaires de processus. Il est publié sous licence Creative Commons By-SA 4.0.

Pourquoi est-il nécessaire d'anticiper ?

Adopté formellement par l'UE en 2024, le CRA vise à renforcer la cybersécurité des produits logiciels (et matériels qui comportent des éléments numériques) pour répondre à la vulnérabilité accrue aux cyberattaques des entreprises et services publics européens. Les acteurs ont jusqu’au 10 septembre 2026 pour se mettre en conformité avec certaines obligations critiques (notification des vulnérabilités activement exploitées et des incidents graves) et jusqu’au 10 décembre 2027 pour s’adapter à l’ensemble des autres exigences du texte telles que la sécurité par principe ou la transparence vis-à-vis des consommateurs.

Un guide pratique pour vous accompagner

Le guide répond à un objectif de sensibilisation des membres du CNLL et plus largement des acteurs de la filière du logiciel libre (producteurs, intégrateurs et utilisateurs) aux enjeux et défis du CRA. À l’aide de mises en situation à partir d’exemples d’entreprises membres du CNLL, le guide propose une vision détaillée des modalités d’application et obligations nouvelles : documentation technique détaillée, gestion rigoureuse des vulnérabilités, déclaration de conformité et apposition du marquage CE, production d’une Software Bill of Materials (SBOM), etc.

Transformons ensemble cette contrainte réglementaire en opportunité d'amélioration de la sécurité, la qualité et la confiance pour nos produits et services !

👉 Explorez le guide dès aujourd'hui et contribuez à sa prochaine version en partageant vos commentaires ou en rejoignant le groupe de travail.

👉 Participez à la réunion de présentation en ligne qui aura lieu prochainement (informations à venir sur le site : cnll.fr).