Nathan MD

Veille technologique

Qu'est-ce que la veille technologique ?

La veille technologique est un processus de surveillance active et continue des évolutions techniques, scientifiques et innovantes dans un domaine spécifique. Elle consiste à rechercher, analyser et exploiter des informations pertinentes concernant les nouvelles technologies, les produits, les services, les brevets, les normes ou encore les tendances du marché.

Elle permet aux professionnels et aux entreprises de rester informés, d’anticiper les changements, d’innover, de se protéger contre les risques (notamment en cybersécurité) et de prendre des décisions stratégiques éclairées.

Mon sujet de veille

Dans le cadre de ma formation en BTS SIO option SLAM, j'ai mené une veille technologique sur le thème de "L'évolution de la sécurité dans le développement d'applications", couvrant la période d'octobre 2024 à avril 2026, autour de 3 sous-sujets :

Vulnérabilités dans les applications web
L'impact de l'IA sur la sécurité des applications
L'évolution des méthodes de protection (DevSecOps)

Mes sources et outils

J'ai utilisé Feedly pour agréger les flux RSS de mes sources institutionnelles, et effectué une consultation manuelle régulière pour OWASP.

CERT-FR — Alertes et rapports de menaces de l'ANSSI (via Feedly)
ANSSI — Actualités et publications techniques sur la cybersécurité (via Feedly)
OWASP — Référence mondiale pour la sécurité des applications web (consultation manuelle)

Mes articles

DevSecOps


S-SDLC et DevSecOps en Europe : Enjeux actuels et perspectives d’avenir


Face à l'augmentation des attaques sur la chaîne d'approvisionnement logicielle (SolarWinds, Log4Shell…) et à l'évolution du cadre réglementaire (CRA, NIS 2, DORA), l'ANSSI publie une étude européenne positionnant le S-SDLC et le DevSecOps comme priorités stratégiques pour 2025-2027,avec des feuilles de route concrètes pour tous types d'organisations.

L'étude intègre également l'émergence de l'IA dans les pratiques de développement, introduisant le concept de MLSecOps pour sécuriser nativement les modèles d'IA dans les pipelines CI/CD.

Source: ANSSI | 22 avril 2026

DevSecOps


Bridging the Gap in Product Lifecycle Management: How OpenEoX and CLE Work Together


OpenEoX et CLE sont deux standards complémentaires qui permettent de standardiser et automatiser le suivi du cycle de vie des logiciels et composants (fin de vente, fin de support sécurité, fin de vie), en réponse aux exigences du Cyber Resilience Act européen.

Leur collaboration vise à couvrir tous les cas d'usage, des grands éditeurs commerciaux aux mainteneurs de projets open source, afin que les équipes de développement puissent identifier et gérer proactivement les dépendances non maintenues dans leurs applications.

Source: OWASP | 15 avril 2026

DevSecOps


NIS 2 : l’ANSSI poursuit et renforce sa dynamique d’accompagnement


L'ANSSI présente le Référentiel Cyber France (ReCyF), document de travail listant les mesures de sécurité recommandées pour se conformer à la directive NIS 2, accompagné d'un outil de comparaison avec d'autres référentiels existants.

Cette directive européenne impose des exigences de cybersécurité à des milliers d'organisations françaises, dont des obligations qui touchent directement les pratiques de développement sécurisé, rendant le DevSecOps incontournable pour y répondre.

Source: ANSSI | 18 mars 2026

Vulnérabilités web


Panorama de la cybermenace 2025


Rapport annuel de l'ANSSI sur les grandes tendances des cybermenaces en 2025 : convergence entre acteurs étatiques et cybercriminels, exploitation massive et opportuniste de vulnérabilités dans les applications et équipements exposés sur Internet, et usage croissant de l'IA par les attaquants.

Ce rapport constitue le document de référence pour clore la veille en montrant l'évolution globale du paysage des menaces pesant sur les applications tout au long de la période observée.

Source: CERT-FR | 11 mars 2026

Impact de l'IA


L’intelligence artificielle générative face aux attaques informatiques


Rapport de l'ANSSI analysant comment l'IA générative est progressivement intégrée dans les outils des attaquants à différentes étapes d'une attaque : profilage des victimes, ingénierie sociale, développement de malwares.

Les systèmes d'IA sont également devenus des cibles en eux-mêmes, exposés à des attaques d'empoisonnement de modèles ou d'exfiltration de données, ce qui impose aux développeurs qui intègrent l'IA dans leurs applications de nouvelles exigences de sécurité.

Source: CERT-FR | 4 février 2026

Vulnérabilités web


[MàJ] Vulnérabilité dans React Server Components


Une faille critique (CVE-2025-55182), surnommée "React2Shell", a été découverte dans les React Server Components et touche de nombreux frameworks populaires comme Next.js, React Router ou Expo, permettant à un attaquant non authentifié d'exécuter du code arbitraire à distance.

Des preuves de concept publiques ont entraîné des exploitations massives dès le lendemain de la divulgation, illustrant la rapidité avec laquelle une vulnérabilité dans un framework de développement très utilisé peut mettre en danger des milliers d'applications en production.

Source: CERT-FR | 5 décembre 2025

DevSecOps


Cryptographie post-quantique, les travaux de l’ANSSI


L'ANSSI présente l'avancement de ses travaux sur la transition vers la cryptographie post-quantique (PQC), avec des recommandations concrètes à destination des développeurs et des industriels.

Les algorithmes de chiffrement actuellement intégrés dans les applications (RSA, ECC…) devront être remplacés par de nouveaux standards résistants aux ordinateurs quantiques, ce qui implique des changements importants dans les pratiques de développement à anticiper dès maintenant.

Source: ANSSI | 8 octobre 2025

DevSecOps


OWASP Certified Secure Software Developer


L'OWASP lance une nouvelle certification appelée OCSD (Certified Secure Software Developer), destinée à valider les compétences des développeurs dans l'écriture de code sécurisé dès la conception.

Cette initiative répond à un besoin concret du marché : permettre aux développeurs de prouver leurs compétences en sécurité applicative et aux recruteurs d'évaluer objectivement ces compétences, avec le principe clé que si les développeurs n'intègrent pas la sécurité dans le code, personne d'autre ne le fera.

Source: OWASP | 3 octobre 2025

Vulnérabilités web


OWASP Top 10 Community Survey


L'OWASP lance une enquête communautaire ouverte à tous pour contribuer à la mise à jour de son Top 10, le référentiel mondial des vulnérabilités web les plus critiques pour les développeurs.

Cette initiative montre que le paysage des menaces applicatives évolue constamment et que les standards de sécurité doivent être régulièrement remis à jour pour rester pertinents.

Source: OWASP | 26 septembre 2025

DevSecOps


cdxgen and CycloneDX .NET Join GitHub Secure Open Source Fund


Deux outils OWASP de génération de SBOM (Software Bill of Materials) ont intégré le programme de sécurisation GitHub, leur permettant d'identifier et corriger cinq vulnérabilités significatives et de renforcer leur pipeline CI/CD.

Cet article illustre concrètement comment la sécurité de la chaîne d'approvisionnement logicielle peut être améliorée grâce à des outils open source intégrés dès le processus de build.

Source: OWASP | 11 août 2025

Vulnérabilités web


[MàJ] Multiples vulnérabilités dans Microsoft SharePoint


Microsoft SharePoint a été touché par deux vulnérabilités critiques activement exploitées : une désérialisation de données non fiables permettant l'exécution de code à distance (CVE-2025-53770) et une faille de type path traversal permettant une usurpation d'identité (CVE-2025-53771).

Cet article illustre deux types de failles applicatives classiques référencées dans l'OWASP Top 10, soulignant l'importance de la validation des données et du contrôle des accès dans toute application web.

Source: CERT-FR | 21 juillet 2025

Vulnérabilités web


Houken seeking a path by living on the edge with zero-days


En septembre 2024, l'ANSSI a détecté une campagne d'attaques ciblant des entités françaises des secteurs gouvernemental, télécom, médias et finance, menée par un groupe baptisé "Houken" et exploitant plusieurs vulnérabilités zero-day.

Ce rapport illustre concrètement comment des failles non encore corrigées dans des applications exposées sur Internet peuvent être enchaînées par des attaquants sophistiqués pour compromettre des systèmes critiques.

Source: CERT-FR | 1 juillet 2025

Vulnérabilités web


[MàJ] Vulnérabilité dans Roundcube


Une vulnérabilité critique (CVE-2025-49113) a été découverte dans Roundcube Webmail, application open source très répandue et intégrée dans de nombreux hébergeurs (cPanel, Plesk), permettant à un utilisateur authentifié d'exécuter du code arbitraire à distance.

Une preuve de concept publique a été publiée dès le lendemain de la divulgation, rendant l'exploitation imminente et illustrant l'importance de maintenir les applications web à jour sans délai.

Source: CERT-FR | 5 juin 2025

Impact de l'IA


OWASP Enables AI Regulation That Works with OWASP AI Exchange


L'OWASP a établi un partenariat officiel avec les organismes de normalisation européens (CEN/CENELEC) pour intégrer l'expertise de sa communauté dans la création des standards de sécurité liés à l'IA Act.

Le projet OWASP AI Exchange a déjà contribué à des normes internationales majeures (ISO/IEC 27090) en apportant une approche basée sur le risque, plus pragmatique qu'une liste de règles rigides, pour sécuriser les applications intégrant de l'IA.

Source: OWASP | 6 mai 2025

Vulnérabilités web


Vulnérabilité dans SAP NetWeaver


Une faille critique (CVE-2025-31324) a été découverte dans SAP NetWeaver, plateforme applicative d'entreprise très répandue, permettant à un attaquant non authentifié d'uploader des fichiers arbitraires et d'exécuter du code à distance.

Activement exploitée, cette vulnérabilité illustre les risques liés à un contrôle d'accès insuffisant dans les applications web et l'importance d'appliquer rapidement les correctifs de sécurité.

Source: CERT-FR | 28 avril 2025

DevSecOps


ASVS 5.0 RC1 is ready for your review!


L'OWASP publie la première release candidate de la version 5.0 de l'Application Security Verification Standard (ASVS), le standard de référence mondial pour auditer et vérifier la sécurité des applications web.

Cette mise à jour majeure apporte de nombreux changements pour moderniser et rendre le standard plus utilisable, avec pour objectif que chaque exigence soit compréhensible aussi bien par les développeurs que par les testeurs de sécurité.

Source: OWASP | 9 avril 2025

Vulnérabilités web


Panorama de la cybermenace 2024


Rapport annuel de l'ANSSI recensant les grandes tendances des cybermenaces en 2024 : les attaquants liés à la Chine, la Russie et l'écosystème cybercriminel constituent les trois principales menaces pour les systèmes d'information français.

L'année a également été marquée par un nombre important de vulnérabilités affectant des équipements et applications exposés sur Internet, soulignant l'urgence d'intégrer la sécurité dès la conception des applications.

Source: CERT-FR | 11 mars 2025

DevSecOps


Advisory on Software Bill of Materials and Real-time Vulnerability Monitoring for Open-Source Software and Third-Party Dependencies


Ce document conjoint OWASP/CSA Singapour explique comment le Software Bill of Materials (SBOM), au format CycloneDX, permet aux développeurs d'avoir une visibilité complète sur les composants et dépendances open source de leurs applications.

En intégrant la génération de SBOM dans les pipelines CI/CD et en la couplant à un outil comme OWASP Dependency-Track, les équipes peuvent surveiller en temps réel l'apparition de nouvelles vulnérabilités et y répondre plus rapidement.

Source: OWASP | 24 février 2025

DevSecOps


Secteur du cloud - État de la menace informatique


L'ANSSI dresse un état des lieux des menaces ciblant les environnements cloud, en forte augmentation : mauvaises configurations, attaques sur les pipelines CI/CD, mouvements latéraux depuis des environnements on-premise vers le cloud.

Le rapport formule des recommandations de sécurité pour les clients et fournisseurs cloud, rappelant que la sécurité dans le cloud est une responsabilité partagée qui impacte directement les pratiques de déploiement des applications.

Source: CERT-FR | 20 février 2025

DevSecOps


Lifecycle events are part of the secure supply chain


L'OWASP lance le projet Common Lifecycle Enumeration (CLE), qui vise à standardiser le suivi des événements de fin de vie des logiciels et composants (fin de support, fin de vente, etc.) dans un format automatisable.

Porté par le règlement européen Cyber Resilience Act, ce projet s'intègre avec les SBOM CycloneDX pour permettre aux équipes de développement de gérer proactivement les risques liés aux dépendances obsolètes dans leurs applications.

Source: OWASP | 26 novembre 2024

DevSecOps


L’ANSSI partage deux études de marché sur la cryptographie post-quantique menées auprès de l’écosystème


L'ANSSI publie deux études menées auprès des acteurs de l'écosystème cyber français sur leur niveau de préparation face à la menace quantique.

Les résultats révèlent un écart important entre la connaissance du risque et les mesures concrètes mises en place, soulignant l'urgence d'anticiper dès maintenant la transition vers des algorithmes résistants aux ordinateurs quantiques dans les applications et produits de sécurité.

Source: ANSSI | 25 novembre 2024

Impact de l'IA


L’ANSSI et le BSI publient leurs recommandations de sécurité concernant les assistants de programmation basés sur l’IA


L'ANSSI et son homologue allemand le BSI publient un document commun sur les risques liés à l'utilisation d'assistants de programmation basés sur l'IA (comme GitHub Copilot) dans le développement logiciel.

Ces outils, désormais largement adoptés, peuvent générer du code vulnérable ou exposer des données sensibles, et le document formule des recommandations concrètes à destination des développeurs et responsables pour en encadrer l'usage de manière sécurisée.

Source: ANSSI | 4 octobre 2024

Vulnérabilités web


Securing React Native Mobile Apps with OWASP MAS


React Native est un framework très populaire permettant de développer des applications mobiles iOS et Android depuis une seule base de code, mais il introduit des risques de sécurité spécifiques liés à la gestion des dépendances JavaScript et à la communication entre code natif et non-natif.

Cet article guide les développeurs dans la sécurisation de leurs apps React Native en s'appuyant sur les standards OWASP MAS (Mobile Application Security), notamment la gestion des bibliothèques tierces et l'intégration de contrôles de sécurité dans le pipeline CI/CD.

Source: OWASP | 2 octobre 2024