[{"data":1,"prerenderedAt":484},["ShallowReactive",2],{"/fr-fr/the-source/authors/josh-lemos":3,"footer-fr-fr":34,"the-source-banner-fr-fr":346,"the-source-navigation-fr-fr":358,"the-source-newsletter-fr-fr":385,"footer-source-/fr-fr/the-source/authors/josh-lemos/":396,"authors-fr-fr":406,"categories-fr-fr":436,"josh-lemos-articles-list-fr-fr":437},{"_path":4,"_dir":5,"_draft":6,"_partial":6,"_locale":7,"config":8,"seo":10,"content":12,"type":26,"slug":27,"_id":28,"_type":29,"title":11,"_source":30,"_file":31,"_stem":32,"_extension":33},"/fr-fr/the-source/authors/josh-lemos","authors",false,"",{"layout":9},"the-source",{"title":11},"Josh Lemos",[13,24],{"componentName":14,"componentContent":15},"TheSourceAuthorHero",{"config":16,"name":11,"role":19,"bio":20,"headshot":21},{"gitlabHandle":17,"linkedInProfileUrl":18},"joshlemos","https://www.linkedin.com/in/joshlemos/","Chief Information Security Officer","Josh Lemos, Chief Information Security Officer chez GitLab Inc., bénéficie de 20 ans d'expérience dans la direction d'équipes de sécurité de l'information. Il est responsable de la vision, de la stratégie et du programme de l'entreprise dans le but de protéger efficacement les actifs et les technologies de l'information. Il a également pour mission de renforcer la plateforme DevSecOps de Gitlab et d'offrir une sécurité de pointe aux clients.",{"altText":11,"config":22},{"src":23},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1751463405/f4rqtiecakrekvxfhqar.jpg",{"componentName":25},"TheSourceArticlesList","author","josh-lemos","content:fr-fr:the-source:authors:josh-lemos.yml","yaml","content","fr-fr/the-source/authors/josh-lemos.yml","fr-fr/the-source/authors/josh-lemos","yml",{"_path":35,"_dir":36,"_draft":6,"_partial":6,"_locale":7,"data":37,"_id":342,"_type":29,"title":343,"_source":30,"_file":344,"_stem":345,"_extension":33},"/shared/fr-fr/main-footer","fr-fr",{"text":38,"source":39,"edit":45,"contribute":50,"config":55,"items":60,"minimal":333},"Git est une marque déposée de Software Freedom Conservancy et notre utilisation de « GitLab » est sous licence",{"text":40,"config":41},"Afficher le code source de la page",{"href":42,"dataGaName":43,"dataGaLocation":44},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/","page source","footer",{"text":46,"config":47},"Modifier cette page",{"href":48,"dataGaName":49,"dataGaLocation":44},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/content/","web ide",{"text":51,"config":52},"Veuillez contribuer",{"href":53,"dataGaName":54,"dataGaLocation":44},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/CONTRIBUTING.md/","please contribute",{"twitter":56,"facebook":57,"youtube":58,"linkedin":59},"https://twitter.com/gitlab","https://www.facebook.com/gitlab","https://www.youtube.com/channel/UCnMGQ8QHMAnVIsI3xJrihhg","https://www.linkedin.com/company/gitlab-com",[61,88,161,232,294],{"title":62,"links":63,"subMenu":69},"Plateforme",[64],{"text":65,"config":66},"Plateforme DevSecOps",{"href":67,"dataGaName":68,"dataGaLocation":44},"/fr-fr/platform/","devsecops platform",[70],{"title":71,"links":72},"Tarifs",[73,78,83],{"text":74,"config":75},"Voir les forfaits",{"href":76,"dataGaName":77,"dataGaLocation":44},"/fr-fr/pricing/","view plans",{"text":79,"config":80},"Pourquoi choisir GitLab Premium ?",{"href":81,"dataGaName":82,"dataGaLocation":44},"/fr-fr/pricing/premium/","why premium",{"text":84,"config":85},"Pourquoi choisir GitLab Ultimate ?",{"href":86,"dataGaName":87,"dataGaLocation":44},"/fr-fr/pricing/ultimate/","why ultimate",{"title":89,"links":90},"Solutions",[91,96,101,106,111,116,121,126,131,136,141,146,151,156],{"text":92,"config":93},"Transformation digitale",{"href":94,"dataGaName":95,"dataGaLocation":44},"/fr-fr/topics/digital-transformation/","digital transformation",{"text":97,"config":98},"Sécurité et conformité",{"href":99,"dataGaName":100,"dataGaLocation":44},"/fr-fr/solutions/application-security-testing/","Application security testing",{"text":102,"config":103},"Livraison de logiciels automatisée",{"href":104,"dataGaName":105,"dataGaLocation":44},"/fr-fr/solutions/delivery-automation/","automated software delivery",{"text":107,"config":108},"Développement agile",{"href":109,"dataGaName":110,"dataGaLocation":44},"/fr-fr/solutions/agile-delivery/","agile delivery",{"text":112,"config":113},"Transformation cloud",{"href":114,"dataGaName":115,"dataGaLocation":44},"/fr-fr/topics/cloud-native/","cloud transformation",{"text":117,"config":118},"SCM",{"href":119,"dataGaName":120,"dataGaLocation":44},"/fr-fr/solutions/source-code-management/","source code management",{"text":122,"config":123},"CI/CD",{"href":124,"dataGaName":125,"dataGaLocation":44},"/fr-fr/solutions/continuous-integration/","continuous integration & delivery",{"text":127,"config":128},"Gestion de la chaîne de valeur",{"href":129,"dataGaName":130,"dataGaLocation":44},"/fr-fr/solutions/value-stream-management/","value stream management",{"text":132,"config":133},"GitOps",{"href":134,"dataGaName":135,"dataGaLocation":44},"/fr-fr/solutions/gitops/","gitops",{"text":137,"config":138},"Entreprises",{"href":139,"dataGaName":140,"dataGaLocation":44},"/fr-fr/enterprise/","enterprise",{"text":142,"config":143},"PME",{"href":144,"dataGaName":145,"dataGaLocation":44},"/fr-fr/small-business/","small business",{"text":147,"config":148},"Secteur public",{"href":149,"dataGaName":150,"dataGaLocation":44},"/fr-fr/solutions/public-sector/","public sector",{"text":152,"config":153},"Formation",{"href":154,"dataGaName":155,"dataGaLocation":44},"/fr-fr/solutions/education/","education",{"text":157,"config":158},"Services financiers",{"href":159,"dataGaName":160,"dataGaLocation":44},"/fr-fr/solutions/finance/","financial services",{"title":162,"links":163},"Ressources",[164,169,174,179,184,189,193,197,202,207,212,217,222,227],{"text":165,"config":166},"Installation",{"href":167,"dataGaName":168,"dataGaLocation":44},"/fr-fr/install/","install",{"text":170,"config":171},"Guides de démarrage rapide",{"href":172,"dataGaName":173,"dataGaLocation":44},"/fr-fr/get-started/","quick setup checklists",{"text":175,"config":176},"Apprentissage",{"href":177,"dataGaName":178,"dataGaLocation":44},"https://university.gitlab.com/","learn",{"text":180,"config":181},"Documentation sur le produit",{"href":182,"dataGaName":183,"dataGaLocation":44},"https://docs.gitlab.com/","docs",{"text":185,"config":186},"Blog",{"href":187,"dataGaName":188},"/fr-fr/blog/","blog",{"text":190,"config":191},"Histoires de réussite client",{"href":192,"dataGaLocation":44},"/fr-fr/customers/",{"text":194,"config":195},"Histoires de succès client",{"href":192,"dataGaName":196,"dataGaLocation":44},"customer success stories",{"text":198,"config":199},"Travail à distance",{"href":200,"dataGaName":201,"dataGaLocation":44},"https://handbook.gitlab.com/handbook/company/culture/all-remote/","remote",{"text":203,"config":204},"Services GitLab",{"href":205,"dataGaName":206,"dataGaLocation":44},"/fr-fr/services/","services",{"text":208,"config":209},"TeamOps",{"href":210,"dataGaName":211,"dataGaLocation":44},"/fr-fr/teamops/","teamops",{"text":213,"config":214},"Communauté",{"href":215,"dataGaName":216,"dataGaLocation":44},"/community/","community",{"text":218,"config":219},"Forum",{"href":220,"dataGaName":221,"dataGaLocation":44},"https://forum.gitlab.com/","forum",{"text":223,"config":224},"Événements",{"href":225,"dataGaName":226,"dataGaLocation":44},"/events/","events",{"text":228,"config":229},"Partenaires",{"href":230,"dataGaName":231,"dataGaLocation":44},"/fr-fr/partners/","partners",{"title":233,"links":234},"Société",[235,240,245,250,255,260,265,269,274,279,284,289],{"text":236,"config":237},"À propos",{"href":238,"dataGaName":239,"dataGaLocation":44},"/fr-fr/company/","company",{"text":241,"config":242},"Emplois",{"href":243,"dataGaName":244,"dataGaLocation":44},"/jobs/","jobs",{"text":246,"config":247},"Leadership",{"href":248,"dataGaName":249,"dataGaLocation":44},"/company/team/e-group/","leadership",{"text":251,"config":252},"Équipe",{"href":253,"dataGaName":254,"dataGaLocation":44},"/company/team/","team",{"text":256,"config":257},"Manuel",{"href":258,"dataGaName":259,"dataGaLocation":44},"https://handbook.gitlab.com/","handbook",{"text":261,"config":262},"Relations avec les investisseurs",{"href":263,"dataGaName":264,"dataGaLocation":44},"https://ir.gitlab.com/","investor relations",{"text":266,"config":267},"Sustainability",{"href":268,"dataGaName":266,"dataGaLocation":44},"/sustainability/",{"text":270,"config":271},"Diversité, inclusion et appartenance (DIB)",{"href":272,"dataGaName":273,"dataGaLocation":44},"/fr-fr/diversity-inclusion-belonging/","Diversity, inclusion and belonging",{"text":275,"config":276},"Centre de confiance",{"href":277,"dataGaName":278,"dataGaLocation":44},"/fr-fr/security/","trust center",{"text":280,"config":281},"Newsletter",{"href":282,"dataGaName":283,"dataGaLocation":44},"/company/contact/","newsletter",{"text":285,"config":286},"Presse",{"href":287,"dataGaName":288,"dataGaLocation":44},"/press/","press",{"text":290,"config":291},"Déclaration de transparence sur l'esclavage moderne",{"href":292,"dataGaName":293,"dataGaLocation":44},"https://handbook.gitlab.com/handbook/legal/modern-slavery-act-transparency-statement/","modern slavery transparency statement",{"title":295,"links":296},"Nous contacter",[297,302,307,312,317,322,327],{"text":298,"config":299},"Échanger avec un expert",{"href":300,"dataGaName":301,"dataGaLocation":44},"/fr-fr/sales/","sales",{"text":303,"config":304},"Aide",{"href":305,"dataGaName":306,"dataGaLocation":44},"/support/","get help",{"text":308,"config":309},"Portail clients GitLab",{"href":310,"dataGaName":311,"dataGaLocation":44},"https://customers.gitlab.com/customers/sign_in/","customer portal",{"text":313,"config":314},"Statut",{"href":315,"dataGaName":316,"dataGaLocation":44},"https://status.gitlab.com/","status",{"text":318,"config":319},"Conditions d'utilisation",{"href":320,"dataGaName":321},"/terms/","terms of use",{"text":323,"config":324},"Déclaration de confidentialité",{"href":325,"dataGaName":326,"dataGaLocation":44},"/fr-fr/privacy/","privacy statement",{"text":328,"config":329},"Préférences en matière de cookies",{"dataGaName":330,"dataGaLocation":44,"id":331,"isOneTrustButton":332},"cookie preferences","ot-sdk-btn",true,{"items":334},[335,337,340],{"text":318,"config":336},{"href":320,"dataGaName":321,"dataGaLocation":44},{"text":338,"config":339},"Politique de confidentialité",{"href":325,"dataGaName":326,"dataGaLocation":44},{"text":328,"config":341},{"dataGaName":330,"dataGaLocation":44,"id":331,"isOneTrustButton":332},"content:shared:fr-fr:main-footer.yml","Main Footer","shared/fr-fr/main-footer.yml","shared/fr-fr/main-footer",{"_path":347,"_dir":348,"_draft":6,"_partial":6,"_locale":7,"id":349,"visibility":332,"title":350,"button":351,"_id":355,"_type":29,"_source":30,"_file":356,"_stem":357,"_extension":33},"/shared/fr-fr/the-source/banner/the-economics-of-software-innovation-2025-08-18","banner","The Economics of Software Innovation","The Economics of Software Innovation—AI’s $750 Billion Opportunity",{"config":352,"text":354},{"href":353},"/software-innovation-report/","Get the research report","content:shared:fr-fr:the-source:banner:the-economics-of-software-innovation-2025-08-18.yml","shared/fr-fr/the-source/banner/the-economics-of-software-innovation-2025-08-18.yml","shared/fr-fr/the-source/banner/the-economics-of-software-innovation-2025-08-18",{"_path":359,"_dir":9,"_draft":6,"_partial":6,"_locale":7,"logo":360,"subscribeLink":365,"navItems":369,"_id":381,"_type":29,"title":382,"_source":30,"_file":383,"_stem":384,"_extension":33},"/shared/fr-fr/the-source/navigation",{"altText":361,"config":362},"the source logo",{"src":363,"href":364},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1750191004/t7wz1klfb2kxkezksv9t.svg","/fr-fr/the-source/",{"text":366,"config":367},"S'abonner",{"href":368},"#subscribe",[370,374,377],{"text":371,"config":372},"Intelligence artificielle",{"href":373},"/fr-fr/the-source/ai/",{"text":97,"config":375},{"href":376},"/fr-fr/the-source/security/",{"text":378,"config":379},"Plateforme et infrastructure",{"href":380},"/fr-fr/the-source/platform/","content:shared:fr-fr:the-source:navigation.yml","Navigation","shared/fr-fr/the-source/navigation.yml","shared/fr-fr/the-source/navigation",{"_path":386,"_dir":9,"_draft":6,"_partial":6,"_locale":7,"title":387,"description":388,"submitMessage":389,"formData":390,"_id":393,"_type":29,"_source":30,"_file":394,"_stem":395,"_extension":33},"/shared/fr-fr/the-source/newsletter","La newsletter The Source","Recevez une mine d'informations sur l'avenir du développement logiciel.","Vous êtes désormais inscrit à la newsletter The Source.",{"config":391},{"formId":392,"formName":283,"hideRequiredLabel":332},28453,"content:shared:fr-fr:the-source:newsletter.yml","shared/fr-fr/the-source/newsletter.yml","shared/fr-fr/the-source/newsletter",{"_path":4,"_dir":5,"_draft":6,"_partial":6,"_locale":7,"config":397,"seo":398,"content":399,"type":26,"slug":27,"_id":28,"_type":29,"title":11,"_source":30,"_file":31,"_stem":32,"_extension":33},{"layout":9},{"title":11},[400,405],{"componentName":14,"componentContent":401},{"config":402,"name":11,"role":19,"bio":20,"headshot":403},{"gitlabHandle":17,"linkedInProfileUrl":18},{"altText":11,"config":404},{"src":23},{"componentName":25},{"amanda-rueda":407,"andre-michael-braun":408,"andrew-haschka":409,"ayoub-fandi":410,"brian-wald":411,"bryan-ross":412,"chandler-gibbons":413,"dave-steer":414,"ddesanto":415,"derek-debellis":416,"emilio-salvador":417,"erika-feldman":418,"george-kichukov":419,"gitlab":420,"grant-hickman":421,"haim-snir":422,"iganbaruch":423,"jlongo":424,"joel-krooswyk":425,"josh-lemos":11,"julie-griffin":426,"kristina-weis":427,"lee-faus":428,"ncregan":429,"rschulman":430,"sabrina-farmer":431,"sandra-gittlen":432,"sharon-gaudin":433,"stephen-walters":434,"taylor-mccaslin":435},"Amanda Rueda","Andre Michael Braun","Andrew Haschka","Ayoub Fandi","Brian Wald","Bryan Ross","Chandler Gibbons","Dave Steer","David DeSanto","Derek DeBellis","Emilio Salvador","Erika Feldman","George Kichukov","GitLab","Grant Hickman","Haim Snir","Itzik Gan Baruch","Joseph Longo","Joel Krooswyk","Julie Griffin","Kristina Weis","Lee Faus","Niall Cregan","Robin Schulman","Sabrina Farmer","Sandra Gittlen","Sharon Gaudin","Stephen Walters","Taylor McCaslin",{"ai":371,"platform":378,"security":97},[438,463],{"_path":439,"_dir":440,"_draft":6,"_partial":6,"_locale":7,"config":441,"seo":444,"content":449,"type":458,"category":440,"slug":459,"_id":460,"_type":29,"title":445,"_source":30,"_file":461,"_stem":462,"_extension":33,"date":450,"description":451,"timeToRead":452,"heroImage":447,"keyTakeaways":453,"articleBody":457},"/fr-fr/the-source/security/key-security-trends-for-cisos-in-2025","security",{"layout":9,"template":442,"author":27,"featured":6,"sourceCTA":443,"isHighlighted":6,"authorName":11},"TheSourceArticle","source-lp-ai-guide-for-enterprise-leaders-building-the-right-approach",{"title":445,"description":446,"ogImage":447,"config":448},"Tendances clés en matière de sécurité en 2025 que les responsables de la sécurité doivent connaître","Découvrez les tendances sécurité de 2025 et comment l'IA crée de nouveaux risques et défis, transforme la gestion des identités et renforce les équipes DevOps.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464506/hyue0lgqq2lqk3arwnel.jpg",{"ignoreTitleCharLimit":332},{"title":445,"date":450,"description":451,"timeToRead":452,"heroImage":447,"keyTakeaways":453,"articleBody":457},"2025-02-25","Découvrez les principales tendances en matière de sécurité pour 2025 : comment l'IA engendre à la fois de nouveaux risques et de nouvelles opportunités, remodèle la gestion des identités et renforce les équipes DevOps.","Lecture : 5 min",[454,455,456],"L'adoption de l'IA est à la fois source de risques et d'opportunités en matière de sécurité : vous devez surveiller comment les fournisseurs l’intègrent aux outils, anticiper les éventuelles pannes tout en renforçant vos contrôles de sécurité grâce à elle.","Il est nécessaire de moderniser la gestion des identités afin de gérer les interactions complexes entre machines, les autorisations dynamiques et l'accès au système d'IA. Ce changement nécessite des outils de sécurité plus flexibles et adaptatifs.","Les outils d'IA aident à combler le déficit de compétences en sécurité au sein des équipes DevOps en automatisant les contrôles de sécurité, en suggérant des coding patterns sécurisés et en intégrant la sécurité à chaque étape du développement logiciel.","En 2025, bon nombre d'outils de sécurité critiques incluront des modèles d'IA sur lesquels vous n'aurez ni visibilité ni contrôle total. Votre direction s'interroge déjà sur les moyens d'éviter la prochaine atteinte à la sécurité majeure qui ferait la une des journaux. Pendant ce temps, vos concurrents tirent parti de l'IA pour automatiser la sécurité à une échelle qui était encore impensable il y a seulement quelques mois. L'évolution des réglementations complique davantage la situation, avec de nouvelles règles en vigueur dans l'Union européenne et en Californie qui encadrent votre utilisation des systèmes d'IA.\n\nLe domaine de la sécurité évolue à toute allure. Adoptez une approche réfléchie pour tourner ces défis à votre avantage afin de renforcer vos défenses et de vous protéger contre les nouvelles cybermenaces. Voici trois tendances que vous devez anticiper, car elles domineront les questions de sécurité des entreprises cette année.\n\n## 1. Les vulnérabilités dans les LLM propriétaires\nDe nombreux fournisseurs utilisent désormais des grands modèles de langage (LLM) propriétaires qui servent de modèle de fondation dans leurs produits. Cette évolution expose votre entreprise à de nouveaux risques. La plupart de ces LLM fonctionnent en vase clos : vous disposez d'une visibilité très restreinte sur leurs mécanismes internes et les contrôles de sécurité dont ils disposent. Les experts en sécurité ont démontré la fragilité des garde-fous de l'IA. La surface d'attaque des modèles eux-mêmes et, par conséquence, des produits dans lesquels ils sont intégrés, ne cesse de croître.\n\nDans la mesure où de nombreux produits intègrent les mêmes LLM propriétaires, une attaque sur un grand modèle de langage pourrait affecter plusieurs de vos systèmes simultanément. Cette concentration des risques est particulièrement préoccupante, car elle se produit en parallèle de l'augmentation du nombre de fonctions commerciales critiques qui dépendent d'outils alimentés par l'IA. Dès lors, il devient impératif de pouvoir :\n\n- Identifier parmi vos fournisseurs ceux qui utilisent des LLM\n- Évaluer les contrôles de sécurité qu'ils ont mis en place\n- Anticiper d'éventuelles pannes en cas de défaillance d'un service basé sur un LLM\n- Élaborer des plans de sauvegarde pour les systèmes critiques dépendant de l'IA\n\n> Pour en savoir plus, consultez cet article : [7 questions à poser à votre fournisseur DevOps pour établir une stratégie d'IA basée sur la transparence](https://about.gitlab.com/the-source/ai/building-a-transparency-first-ai-strategy-7-questions-to-ask-your-devops/)\n\n## 2. Les défis de la gestion des identités\nLe cloud et les systèmes d'IA transforment la façon dont nous gérons l'accès aux systèmes utilisés quotidiennement. Vos systèmes de gestion des identités doivent désormais être capables de gérer :\n\n- Une augmentation des identités non humaines liées à des services automatisés\n- Un plus grand nombre de connexions entre machines\n- Des changements rapides apportés aux droits d'accès\n- Des chaînes complexes d'autorisations entre les services\n- Des systèmes d'IA qui nécessitent différents niveaux d'accès aux données\n\nOr, les outils traditionnels de gestion des identités et des accès n'ont pas été conçus pour relever ces défis. Vous aurez besoin d'outils plus flexibles, capables de s'adapter rapidement à l'évolution de vos besoins. Mettre en œuvre les [principes Zero Trust et l'accès privilégié Just-In-Time](https://about.gitlab.com/the-source/security/field-guide-to-threat-vectors-in-the-software-supply-chain/) permet de mieux contrôler ces environnements dynamiques.\n\nLes équipes de sécurité doivent également élaborer des stratégies pour faire face à la complexité croissante de l'IA agentique, sans se départir du niveau de rigueur et d'auditabilité qu'elles appliquent aux utilisateurs humains. À mesure que les systèmes d'IA se multiplient, [le suivi et la sécurisation de ces identités non humaines](https://about.gitlab.com/blog/improve-ai-security-in-gitlab-with-composite-identities/) deviennent aussi essentiels que la gestion des accès des utilisateurs humains.\n\n## 3. L'implémentation de la sécurité dans le processus DevOps\n[Dans une enquête récente](https://about.gitlab.com/developer-survey/), 58 % des développeurs ont déclaré se sentir responsables de la sécurité applicative. Il demeure toutefois difficile de recruter des ingénieurs DevOps dotés de compétences dans ce domaine. Les outils alimentés par l'IA peuvent contribuer à combler cette lacune en se chargeant des tâches suivantes :\n\n- Vérifier la présence de failles de sécurité et de menaces potentielles dans le code dès les premières étapes du processus de développement, avant qu'elles ne causent des problèmes\n- Suggérer des coding patterns sécurisés\n- Configurer automatiquement les autorisations d'accès appropriées\n- Automatiser les tâches répétitives tout au long du processus de développement\n\nCes outils peuvent aider votre équipe de sécurité en place à gagner en efficacité, tout en simplifiant la détection des problèmes de sécurité fréquents avant que le code n'atteigne l'environnement de production. Résultat : moins de situations d'urgence auxquelles votre équipe doit faire face, ainsi qu'une posture de sécurité globale renforcée.\n\nEnvisagez d'investir dans des outils qui s'intègrent directement dans les workflows des développeurs. Plus ces derniers ont les moyens de travailler dans des environnements sécurisés, plus ils sont enclins à naturellement adopter de bonnes pratiques de sécurité.\n\n## Passez à l'action : tirez parti de l'IA pour sécuriser le développement logiciel\nPour garder une longueur d'avance face à ces transformations, suivez ces principes :\n\n1. Déterminez les points de contact entre les outils d'IA et vos systèmes, puis évaluez les risques associés\n2. Adaptez votre gestion des identités aux exigences du cloud et de l'IA\n3. Identifiez des moyens de renforcer vos mesures de sécurité avec l'IA\n4. Informez régulièrement votre direction des nouveaux risques et réglementations liés à l'IA\n5. Établissez un dialogue avec vos principaux fournisseurs afin de comprendre les mesures de sécurité qu'ils appliquent à l'utilisation de l'IA\n6. Formez vos équipes aux menaces de sécurité ainsi qu'aux opportunités liés à l'IA\n\nBien que l'IA introduise de nouveaux risques, elle vous offre également des outils puissants permettant de protéger votre entreprise. L'enjeu consiste à exploiter le potentiel de l'IA pour renforcer votre posture de sécurité tout en restant attentif aux nouvelles menaces. Révisez régulièrement votre stratégie de sécurité liée à l'IA pour rester proactif aux risques émergents.\n\n## Les perspectives d'avenir\nLe domaine de la sécurité continuera d'évoluer au rythme des avancées de la technologie d'IA. Faites preuve de flexibilité et adaptez votre stratégie de sécurité à l’émergence de nouvelles menaces comme de nouvelles opportunités. Renforcez la collaboration au sein de votre entreprise, en particulier avec les équipes juridiques, de développement et des opérations. Vous pourrez ainsi répondre plus efficacement aux défis de sécurité.\n\nEn dépit de l'évolution des technologies, n'oubliez pas que votre mission principale demeure inchangée : protéger les actifs de votre entreprise et garantir la sécurité de vos activités commerciales. Optez pour de nouveaux outils et approches lorsque cela est pertinent, sans vous précipiter pour adopter l'IA, ni perdre de vue les principes de base en matière de sécurité.","article","key-security-trends-for-cisos-in-2025","content:fr-fr:the-source:security:key-security-trends-for-cisos-in-2025.yml","fr-fr/the-source/security/key-security-trends-for-cisos-in-2025.yml","fr-fr/the-source/security/key-security-trends-for-cisos-in-2025",{"_path":464,"_dir":440,"_draft":6,"_partial":6,"_locale":7,"config":465,"seo":467,"content":471,"type":458,"category":440,"slug":480,"_id":481,"_type":29,"title":472,"_source":30,"_file":482,"_stem":483,"_extension":33,"date":473,"description":474,"timeToRead":452,"heroImage":470,"keyTakeaways":475,"articleBody":479},"/fr-fr/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security",{"layout":9,"template":442,"author":27,"featured":332,"sourceCTA":466,"isHighlighted":6,"authorName":11},"application-security-in-the-digital-age",{"title":468,"description":469,"ogImage":470},"Sécurité de l'information : comment résoudre les frictions ","Les défis de sécurité génèrent des frictions qui freinent les équipes, mais la gestion de la pile technologique et des vulnérabilités est tout aussi cruciale.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464489/mragusmxl1wz8ozdaoml.png",{"title":472,"date":473,"description":474,"timeToRead":452,"heroImage":470,"keyTakeaways":475,"articleBody":479},"Identifier et remédier aux frustrations les plus courantes en matière de sécurité de l'information","2024-10-29","Le domaine de la sécurité suscite bien des frustrations, généralement considérées comme un problème culturel. Les dirigeants doivent porter leur attention sur d'autres enjeux, comme la complexité de la pile technologique et la gestion des vulnérabilités.",[476,477,478],"L'analyse des vulnérabilités avec authentification renforce la gestion des failles de sécurité. Elle peut toutefois détourner les équipes d'ingénierie vers des tâches non critiques, créant ainsi des tensions entre les équipes de sécurité et d'ingénierie.","Adopter une approche minimaliste pour le développement logiciel optimise la sécurité des applications, en réduisant les dépendances, diminuant le nombre de faux positifs et allégeant la charge de travail des développeurs.","L'adoption d'une approche « guidée », qui repose sur des design patterns testés et approuvés basés sur des cas d'utilisation reproductibles, peut faciliter le travail des équipes d'ingénierie tout en renforçant la sécurité.","Cette année, l'[enquête annuelle menée par GitLab auprès des professionnels DevSecOps](https://about.gitlab.com/fr-fr/developer-survey/) révèle plusieurs obstacles liés à la culture d'entreprise qui pourraient entraver l'alignement entre les équipes d'ingénierie et de sécurité. Une majorité (58 %) des professionnels de la sécurité interrogés déclarent qu'il leur est difficile de faire en sorte que le développement priorise la correction des vulnérabilités. Par ailleurs, 52 % estiment que leurs efforts pour résoudre rapidement ces failles de sécurité sont souvent ralentis par la bureaucratie interne. Parmi les frustrations liées à leur travail, ils citent notamment la difficulté à interpréter les résultats des analyses de sécurité, le nombre trop élevé de faux positifs et le fait que les tests sont effectués trop tardivement dans le cycle de développement logiciel.\n\nBien que l'approche [DevSecOps](/topics/devsecops/) promette une meilleure intégration entre l'ingénierie et la sécurité, ces frustrations et déséquilibres montrent que des défis subsistent. Ce constat reflète un problème plus large lié à la manière dont les entreprises perçoivent la sécurité, organisent la collaboration entre les équipes, et allouent du temps à cette priorité.\n\n## Améliorer la gestion du nombre toujours plus grand de vulnérabilités\n\nL'analyse des vulnérabilités met en évidence toutes les vulnérabilités potentielles. Cependant, la présence d'une vulnérabilité ou d'une exposition commune (CVE) dans un logiciel ne signifie pas nécessairement que celle-ci est accessible ou exploitable. Les équipes de sécurité et les développeurs doivent donc hiérarchiser et filtrer les résultats des rapports d'analyse, dont le nombre a augmenté de manière exponentielle au fil des ans avec l'adoption de l'analyse de vulnérabilité avec authentification.\n\nSi ce processus a renforcé l'efficacité des programmes de sécurité à bien des égards, il conduit toutefois les développeur à corriger sans arrêt des failles sans importance réelle. Lorsque les équipes perdent du temps à appliquer des correctifs qui ne résolvent pas une vulnérabilité exploitable, elles ne consacrent pas suffisamment de temps aux tâches plus critiques, telles que l'application de correctifs à des failles véritablement vulnérables et exploitables. Cette situation contribue largement à la divergence actuelle entre les priorités des équipes de sécurité et celles de l'ingénierie.\n\nLa question est donc de savoir comment les entreprises peuvent s'attaquer aux cause profondes de ces problèmes pour favoriser une meilleure intégration entre les équipes d'ingénierie et de sécurité. Voici trois approches pour éviter les frustrations les plus courantes en matière de sécurité, en ciblant directement la source du problème.\n\n### 1. Réduire les faux positifs et se concentrer sur des signaux pertinents, fiables et  exploitables\n\nLe nombre excessif de faux positifs constitue la deuxième source de frustration majeure pour les professionnels de sécurité, selon notre enquête. Bien qu’ils représentent un problème réel, ils révèlent souvent une gestion inefficace des vulnérabilités. \n\nSi une entreprise détecte de nombreux faux positifs, cela peut indiquer qu'elle n'a pas mis en place les mesures adéquates pour assurer la pertinence et la fiabilité de ses découvertes en matière de failles de sécurité. Pour améliorer l’efficacité, les entreprises doivent cibler leurs efforts de sécurité sur les vulnérabilités les plus critiques. Les solutions classiques de test statique de sécurité des applications (SAST) sont insuffisantes. Elles restent essentielles, mais elles perdent de leur utilité si leurs résultats sont mal contextualisés ou difficiles à gérer. Pour optimiser l'impact des tests SAST, il est crucial de les intégrer [de manière fluide avec les autres outils de sécurité et de développement, et de les rendre accessibles aux développeurs](https://about.gitlab.com/blog/oxeye-joins-gitlab-to-advance-application-security-capabilities/).\n\nLa plupart des outils d'analyse offrent une visibilité limitée, rendant plus difficile la compréhension des résultats. C'est dans ce domaine que [les fonctionnalités alimentées par l'IA peuvent s'avérer utiles pour expliquer les failles de sécurité](https://about.gitlab.com/fr-fr/the-source/ai/understand-and-resolve-vulnerabilities-with-ai-powered-gitlab-duo/).\n\n### 2. Réduire la complexité de la pile technologique et la surface d'attaque\n\nSe concentrer sur l'essentiel ne s'applique pas seulement aux tests de sécurité, mais en premier lieu à la façon dont les entreprises développent leurs logiciels.\n\nBien que l'IA promette de simplifier les processus de développement logiciel, [notre enquête montre que de nombreuses entreprises ont encore un long chemin à parcourir](https://about.gitlab.com/the-source/platform/3-surprising-findings-from-our-2024-global-devsecops-survey/). Les répondants utilisant l’IA étaient d’ailleurs plus enclins à vouloir consolider leurs outils que ceux qui ne l’utilisent pas, ce qui suggère que l’ajout de solutions ponctuelles intégrant divers modèles d’IA pourrait accroître la complexité au lieu de la réduire.\n\nCette complexité technologique contribue largement aux frustrations liées à la sécurité. Développer des systèmes logiciels complexes et multifonctionnels entraîne nécessairement un certain niveau de complexité. Cependant, les entreprises doivent prendre des mesures pour éviter la complexité qui résulte de décisions de conception loin d'être optimales, comme des dépendances redondantes ou un code difficile à maintenir. Une telle complexité accroît la surface d'attaque, augmente le nombre de résultats d'analyse de vulnérabilités à gérer, et alourdit les priorités des équipes de sécurité.\n\nPour limiter cette surcharge, il est essentiel de réduire le nombre d’outils et de logiciels utilisés, en intégrant uniquement ceux qui sont réellement nécessaires dans les codes bases. Cela permet de diminuer les dépendances inutiles, de renforcer la sécurité de la chaîne d’approvisionnement logicielle, de réduire les faux positifs générés par les scanners de vulnérabilités et d’alléger la charge de travail des développeurs en leur épargnant les résolutions de problèmes non critiques.\n\n### 3. Normaliser les procédures\n\nLa réalisation de tests de sécurité trop tard dans le cycle de vie du développement logiciel était également l'une des principales sources de frustration identifiées par les répondants à notre enquête. Les équipes peuvent se sentir frustrées lorsque la livraison de code est retardée à cause d'une vulnérabilité détectée tardivement. Mais très souvent, il n'était pas possible de détecter cette vulnérabilité plus tôt. Il est toutefois possible de mettre en place des composants de sécurité facilement déployables et réutilisables. Cela permet de limiter les variables et les vulnérabilités potentielles.\n\nEn adoptant une approche « guidée » fondée sur [des design patterns testés et approuvés basés sur des cas d'utilisation reproductibles](https://about.gitlab.com/the-source/platform/how-devops-and-platform-engineering-turbocharge-efficiency/), les équipes peuvent anticiper les risques. Cette méthode balisée est recommandée. Elle repose sur un ensemble d'outils, de processus et de composants bien structurés qui aide les équipes à créer des applications sécurisées plus efficacement. L'utilisation de GitOps pour la gestion des versions et le déploiement d’une infrastructure en tant que code, avec une architecture bien pensée et testée, capable de se déployer à grande échelle pour tous les types de charges de travail en est un exemple parfait. \n\nBien que l'adoption d'une procédure balisée risque de supprimer une certaine flexibilité, elle réduit finalement la charge opérationnelle et le nombre de retouches des équipes d'ingénierie, tout en renforçant la sécurité. La collaboration entre les équipes de sécurité et de développement est essentielle pour atteindre cet objectif. Les équipes de sécurité peuvent participer à la création de procédures structurées, tandis que les équipes d’ingénierie doivent contribuer à leur intégration et à leur mise à jour au sein du code base.\n\n## La sécurité, une pratique multidisciplinaire{class=\"no-anchor\"}\n\nLa sécurité évolue vers une pratique multidisciplinaire qui rapproche de plus en plus les équipes d'ingénierie et celles chargées de la sécurité. Avec l'adoption rapide de l'IA pour accélérer le développement logiciel (66 % des répondants à notre enquête publient désormais des logiciels deux fois plus rapidement que l'année précédente), les entreprises doivent impérativement mettre en place des systèmes et des frameworks qui optimisent la sécurité. Cela démontre la forte interconnexion entre développement et sécurité. Pour cela, il est essentiel de promouvoir une culture de collaboration. Les équipes de sécurité et d'ingénierie doivent travailler main dans la main pour repenser les bases du développement logiciel. Cela inclut l'optimisation des codes bases existants et la création de solutions évolutives orientées ingénierie, que les équipes techniques de l’entreprise peuvent adopter facilement.","security-its-more-than-culture-addressing-the-root-cause-of-common-security","content:fr-fr:the-source:security:security-its-more-than-culture-addressing-the-root-cause-of-common-security.yml","fr-fr/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security.yml","fr-fr/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security",1761814448007]