🔔 Comment SAP sécurise ses applications utilisant des LLM
Toute l’actu cyber de la semaine, présentée par un expert. Cette semaine on revient notamment sur l'activation d'un Plan de Continuité d'Activité, les dernières innovations dans la sécurité de l'IA et du DevSecOps ainsi que le dernier papier du NIST sur le web3...
Quand le plan de continuité est d’attendre
Si vous recevez “light on cyber” mardi seulement, c’est parce que nous avons activé notre plan de continuité de Kessel. Et oui parfois le plan c’est de tout simplement attendre que le service soit disponible plutôt que de déployer une solution de secours. Notre métier c’est de gérer le risque, ce qui veut dire que nous pouvons l’accepter. Pas d’impacts financier, un impact image très faible auprès de notre communauté. Nous avons donc attendus quelques heures pour vous fournir votre condensé d’information cyber de la semaine. Alors n’attendez plus et plongez-vous dans ce condensée de news.
Comment SAP sécurise le développement d’applications LLM
Les équipes de SAP, leader mondial dans l’édition de logiciel d’ERP, ont présentées leur méthode pour évaluer la sécurité des LLM dans des applications métiers. Il y a de nombreux tests qui sont réalisés pour trouver des usages pour leurs clients et en interne. Il faut donc pouvoir automatiser le déploiement. Ils ont développé le framework STARS (Smart Threat AI Reporting Scanner) pour tester les LLM dans le CI/CD.
Pourquoi c’est important ?
En plus de considérer l’architecture des applications et les risques métiers avant le déploiement des applications, il faut s’interroger sur le développement. Le CI/CD est la moelle épiniére du développement logiciel. Il est donc important de pouvoir tester des applications dans ce cadre.
Le NIST publie une vision de la sécurité du WEB3
Après un rappel de l’histoire du WEB, l’organisme américain NIST revient sur les enjeux de sécurité du WEB3. Ce dernier se veut plus centré sur l’utilisateur et décentralisé des entreprises. Il génère donc des nouveaux risques qui doivent être pris en compte par les concepteurs mais également les utilisateurs qui seront plus responsables.
L’organisation revient sur de nombreux risques à considérer comme la difficulté d’effacer des données. Il faut donc prendre en compte la limite des moyens cryptographiques, les arnaques nombreuses car il est difficile de valider l’identité d’une personne ou encore les obligations de conformités réglementaires et légales quand le logiciel peut évoluer difficilement.
Pourquoi c’est important ?
Le document est une très bonne référence à qui veut se concentrer sur le domaine. La première partie historique devrait être lu par toute personne voulant connaitre le web et son histoire. La seconde partie est assez générique mais pourra alimenter des bases de connaissances et de gestion de risques pour ceux qui veulent se lancer dans un projet similaire.
Les équipes de Microsoft font leur retour d’expérience sur les LLM
Corgea un SAST comprennant la logique métier
Fork de SEMGREP : OPENGREP
Tous les outils pour le DevSecOps
👉 A la semaine prochaine pour d’autres actus cyber !
Light On Cyber
Light On Cyber
