Le 25 février 2025, l'Open Source Security Foundation (OpenSSF) a annoncé la sortie initiale de l'Open Source Project Security Baseline (OSPS Baseline). Cette initiative vise à renforcer la sécurité des projets open source en fournissant un ensemble structuré de critères de sécurité alignés sur les cadres et normes internationaux en matière de cybersécurité.
Un cadre évolutif pour la sécurité des projets
L'OSPS Baseline propose un cadre de pratiques de sécurité organisé par niveaux de maturité, permettant aux projets d'adopter des mesures adaptées à leur stade de développement. En compilant des directives existantes de l'OpenSSF et d'autres groupes d'experts, ce référentiel aide les développeurs à améliorer la sécurité de leurs projets tout en facilitant la conformité avec des réglementations mondiales telles que le Cyber Resilience Act (CRA) de l'UE et le Secure Software Development Framework (SSDF) du NIST aux États-Unis.
Engagement de la communauté open source
Plusieurs projets ont déjà participé au déploiement pilote de l'OSPS Baseline, notamment GUAC, OpenVEX, bomctl et Open Telemetry. Ces collaborations ont permis de recueillir des retours précieux pour affiner le référentiel et encourager son adoption à grande échelle. L'OpenSSF invite les développeurs, mainteneurs et organisations à utiliser l'OSPS Baseline et à contribuer à son amélioration continue, renforçant ainsi la sécurité de l'écosystème open source.
Retrouvez les Détails de l'OSPS Baseline
En novembre 2024, l'Open Web Application Security Project (OWASP) a publié la version 2025 de son Top 10 des vulnérabilités pour les applications utilisant des grands modèles de langage (LLM) et l'IA générative. Au programme, augmentation des risques de divulgation d'informations sensibles et complexification des vulnérabilités de la chaîne d'approvisionnement.
Deux nouvelles vulnérabilités viennent compléter le tableau :
Retrouvez le document sur le site dédié au projet : https://genaisecurityproject.com/download/43299/?tmstv=1731900559
Le programme CVE célèbre son 25ᵉ anniversaire, consolidant son rôle central dans la gestion des vulnérabilités. Devenu un standard international, il repose aujourd’hui sur plus de 400 partenaires CNA répartis dans 40 pays. Sa mission reste inchangée : identifier, définir et cataloguer les vulnérabilités publiques.
Parmi les évolutions majeures, la fédération du programme a permis une meilleure répartition des tâches avec la création des CNA de dernier recours (CNA-LR), garantissant qu’aucune vulnérabilité ne soit ignorée. Red Hat prend désormais ce rôle au sein de sa propre hiérarchie, renforçant ainsi la sécurité de l’open source.
L’intelligence artificielle est également identifiée comme un défi émergent, avec des vulnérabilités inédites qu’il faudra anticiper. Enfin, la montée en puissance de l’automatisation et de l’enrichissement des fiches CVE assure une meilleure réactivité et précision des informations.
L'Université de Bretagne Occidentale (UBO) ouvre à la rentrée 2025 un Master 2 "Droit et gouvernance du numérique". Cette formation vise à former des juristes spécialisés dans les enjeux du numérique, notamment en cybersécurité, régulation et intelligence artificielle. Ouvert à l’alternance, le master allie enseignements juridiques et techniques, avec une approche internationale. Il répond aux besoins du territoire et s’appuie sur un pôle de recherche dynamique. Les candidatures sont ouvertes aux étudiants en droit sous conditions d’admission.
Nouvelle version pour la branche majeure 17 de GitLab Community Edition (CE) et Enterprise Edition (EE). Elle corrige 5 failles dont deux hautes : CVE-2025-0475 (CE/EE) et CVE-2025-0555 (EE). Les deux concernent des failles XSS : la première dans la terminaison du proxy k8s et la seconde dans le proxy de gestion des dépendances Maven.
Le CERT-FR reprend les différents bulletins publiés sur le dépôt Github de GLPI. Cette nouvelle version, 10.0.18, corrige 9 failles donc notamment les CVE suivantes : CVE-2025-24799 (injection SQL), CVE-2025-24801 (exécution de code à distance) et CVE-2025-21619 (injection SQL).
La CVE-2025–27364 vient d'être rendue publique et corrigée. Ayant un score de 10 sur 10, il est critique de mettre à jour si vous utilisez l'outil. Il est possible de faire une exécution de code à distance si Go, python et gcc sont installés. Il s'agit cependant de dépendances à l'outil. La vulnérabilité réside dans l'abus d'en-têtes HTTP sur le chemin /file/download. La source détaille le fonctionnement et fournit une preuve de concept.
Une vulnérabilité a été identifiée dans les commutateurs Cisco Nexus 3000 et 9000, permettant à un attaquant adjacent non authentifié de provoquer un redémarrage inattendu du dispositif, entraînant une condition de déni de service (DoS).
La vulnérabilité identifiée CVE-2025-20111 avec un score CVSS : 7.4 (élevé) affecte les produits :
Note du CERT Illicium : Les administrateurs peuvent désactiver le test de diagnostic concerné via des applets Event Manager pour éviter les redémarrages en boucle des commutateurs. Cependant, cette solution peut entraîner une instabilité du plan de contrôle et doit être appliquée avec précaution.
Après une première collaboration en 2023 avec Instagram pour sensibiliser les jeunes aux fraudes en ligne, Cybermalveillance.gouv.fr et Mastercard France unissent à nouveau leurs forces pour lutter contre la cybercriminalité touchant les commerçants.
Ce programme vise à sensibiliser les TPE/PME aux escroqueries par ingénierie sociale, en s’appuyant sur des témoignages réels et des conseils pratiques. À travers quatre vidéos pédagogiques, l’initiative met en lumière les conséquences des fraudes et les mesures simples à adopter pour s’en prémunir.
Disponible sur YouTube, cette campagne encourage les chefs d’entreprise à partager ces ressources avec leurs employés et partenaires, soulignant l’importance d’une cybersécurité collective pour faire face aux menaces croissantes.
L'Observatoire de la Sécurité des Systèmes d'Information et des Réseaux (OSSIR) organise le 11 mars 2025 la JSSI autour du cloud.
Au rendez-vous plusieurs thèmes abordés (prévisionnel) :
La conférence est disponible en présentiel à l'ESIEA (Paris), ou en distanciel et se déroulera de 8h30 à 17h30