· Security musings
💬TL;DR
48 minutes pour compromettre un SI, 5 jours pour patcher ; GitHub qui réglage sans suffisamment sécuriser la supply chain ; et M365 Copilot transformé en outil d'exfiltration silencieuse : trois sujets qui illustrent à quel point les pratiques défensives courantes accusent un retard structurel.

La semaine dernière vous avez peut etre loupé :


⏱️ Mean Time to Breach : pourquoi vos cycles de patch ne vous protègent plus - 06/07/2026

La CSA vient de chiffrer l’écart absurde entre la vitesse d’attaque (48 min) et la lenteur de patch (5 jours), et je mets ce constat face à ma propre matrice CVE/CVSS/EPSS/KEV pour voir ce qu’il faut vraiment changer en priorité….

Lire l’article


🔗 Le minimum syndical sur GitHub : ce qu’il manque encore contre la supply chain - 07/07/2026

GitHub liste 6 réglages à activer, c’est un début ; mais entre CODEOWNERS, signature de commits, OIDC et provenance SLSA, la route vers une supply chain vraiment sécurisée est encore longue pour un mainteneur sérieux….

Lire l’article


🕵️ SearchLeak : comment transformer M365 Copilot en arme d’exfiltration en un clic - 08/07/2026

Varonis Threat Labs a disséqué une chaîne d’exploitation en trois étapes où un simple lien Microsoft suffit à exfiltrer emails et fichiers d’entreprise via Copilot, sans que l’utilisateur réalise quoi que ce soit….

Lire l’article


#DevSecOps #OWASP #CloudSecurityAlliance