{"id":7339,"date":"2026-03-22T15:00:00","date_gmt":"2026-03-22T15:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-5493\/"},"modified":"2026-06-17T16:57:01","modified_gmt":"2026-06-17T16:57:01","slug":"chaine-dapprovisionnement-logicielle-sous-pression-comment-glassworm-a-compromis-plus-de-400-outils-de-developpement","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/03\/22\/chaine-dapprovisionnement-logicielle-sous-pression-comment-glassworm-a-compromis-plus-de-400-outils-de-developpement\/","title":{"rendered":"Cha\u00eene d&rsquo;approvisionnement logicielle sous pression : comment GlassWorm a compromis plus de 400 outils de d\u00e9veloppement"},"content":{"rendered":"<p style=\"display:inline-block;background:#69d8ed;color:#fff;padding:4px 14px;border-radius:20px;font-size:0.85em;margin-bottom:18px;\">5 Min. Temps de lecture<\/p>\n<p><strong>454.648 nouveaux packages malveillants dans les registres Open Source rien qu&rsquo;en 2025. 75 % de plus qu&rsquo;en 2024. Et en mars 2026, la campagne GlassWorm montre \u00e0 quel point les attaques de la cha\u00eene d&rsquo;approvisionnement logiciel sont d\u00e9sormais industrialis\u00e9es : 433 composants compromis en une semaine, dissimul\u00e9s par des caract\u00e8res Unicode invisibles et des commits de couverture g\u00e9n\u00e9r\u00e9s par IA. Pour les entreprises qui ne surveillent pas syst\u00e9matiquement leurs d\u00e9pendances Open Source, leur propre environnement de d\u00e9veloppement devient une porte d&rsquo;entr\u00e9e.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Les points cl\u00e9s en bref<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li style=\"margin-bottom:12px;color:rgba(255,255,255,0.92);\">454.648 nouveaux packages malveillants identifi\u00e9s dans les registres Open Source en 2025, soit plus de 1,2 million de packages malveillants connus au total (Sonatype, janvier 2026).<\/li>\n<li style=\"margin-bottom:12px;color:rgba(255,255,255,0.92);\">GlassWorm a compromis plus de 433 composants en mars 2026 : 72 extensions VS Code, 88 packages npm, 151+ r\u00e9f\u00e9rentiels GitHub (Aikido Security \/ BleepingComputer).<\/li>\n<li style=\"margin-bottom:12px;color:rgba(255,255,255,0.92);\">75 % de croissance de la malware Open Source, avec 9 800 milliards de t\u00e9l\u00e9chargements (rapport Sonatype 2026).<\/li>\n<li style=\"margin-bottom:12px;color:rgba(255,255,255,0.92);\">65 % de toutes les vuln\u00e9rabilit\u00e9s Open Source n&rsquo;ont pas de score CVSS attribu\u00e9 par le NVD &#8211; \u00e9cart d&rsquo;\u00e9valuation important (Sonatype 2026).<\/li>\n<li style=\"color:rgba(255,255,255,0.92);\">La directive NIS-2 exige explicitement une gestion des risques de la cha\u00eene d&rsquo;approvisionnement. Le BSI a d\u00e9fini l&rsquo;obligation de SBOM comme base avec la TR-03183-2.<\/li>\n<\/ul>\n<\/div>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">GlassWorm : Anatomie d&rsquo;une attaque industrialis\u00e9e<\/h2>\n<p>En mars 2026, des chercheurs en s\u00e9curit\u00e9 de <a href=\"https:\/\/www.aikido.dev\/blog\/glassworm-returns-unicode-attack-github-npm-vscode\" target=\"_blank\" rel=\"noopener\">Aikido Security<\/a> ont d\u00e9couvert l&rsquo;une des campagnes de cha\u00eene d&rsquo;approvisionnement les plus sophistiqu\u00e9es \u00e0 ce jour. L&rsquo;op\u00e9ration baptis\u00e9e GlassWorm a compromis plus de 433 composants logiciels en moins de deux semaines : 72 extensions de code Visual Studio dans le march\u00e9 Open VSX, 88 packages npm et plus de 151 r\u00e9f\u00e9rentiels GitHub.<\/p>\n<p>Ce qui rendait GlassWorm unique n&rsquo;\u00e9tait pas la quantit\u00e9, mais la m\u00e9thode. Les attaquants ont utilis\u00e9 des caract\u00e8res Unicode invisibles &#8211; appel\u00e9s s\u00e9lecteurs de variation et codes de zone d&rsquo;utilisation priv\u00e9e &#8211; pour cacher du code malveillant dans le code source. Pour les r\u00e9viseurs humains, le code semblait propre. Ce n&rsquo;est qu&rsquo;une analyse automatis\u00e9e des s\u00e9quences d&rsquo;octets qui a r\u00e9v\u00e9l\u00e9 les charges utiles cach\u00e9es.<\/p>\n<p>Ils ont \u00e9galement utilis\u00e9 des \u00ab commits de couverture \u00bb g\u00e9n\u00e9r\u00e9s par IA : des modifications de code sans danger qui \u00e9taient cens\u00e9es masquer le v\u00e9ritable code malveillant dans l&rsquo;historique des commits. La communication avec les serveurs de commande et de contr\u00f4le s&rsquo;est effectu\u00e9e via la <a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/02\/12\/post-quantum-cryptography-and-bitcoin-how-the-security-architecture-of-the-future-is-shaping-up\/\" target=\"_blank\" rel=\"noopener\">blockchain Solana<\/a> &#8211; avec Google Calendar comme canal de secours. Les outils classiques de surveillance r\u00e9seau ne d\u00e9tectent pas ces canaux de communication car ils utilisent des services l\u00e9gitimes.<\/p>\n<div class=\"evm-stat evm-stat-highlight\" style=\"text-align:center;background:#f0f9fa;border-radius:12px;padding:32px 24px;margin:32px 0;\">\n<div style=\"font-size:48px;font-weight:700;color:#004a59;letter-spacing:-0.03em;\">454.648<\/div>\n<div style=\"font-size:15px;color:#444;margin-top:8px;\">nouveaux packages malveillants dans les registres Open Source (2025)<\/div>\n<div style=\"font-size:12px;color:#888;margin-top:8px;\">Source : Sonatype, State of the Software Supply Chain Report 2026<\/div>\n<\/div>\n<p>Les objectifs : collecter des informations d&rsquo;identification pour npm, GitHub et les configurations Git, vider les portefeuilles de crypto-monnaies et installer des backdoors persistants dans les environnements de d\u00e9veloppement. Quiconque a install\u00e9 une extension VS Code compromise a donn\u00e9 aux attaquants acc\u00e8s \u00e0 son ordinateur de travail entier &#8211; y compris toutes les informations d&rsquo;identification stock\u00e9es.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">L&rsquo;industrialisation de la cha\u00eene d&rsquo;approvisionnement en logiciels comme surface d&rsquo;attaque<\/h2>\n<p>GlassWorm n&rsquo;est pas un cas isol\u00e9. Selon le <a href=\"https:\/\/www.sonatype.com\/state-of-the-software-supply-chain\/introduction\" target=\"_blank\" rel=\"noopener\">rapport \u00ab\u00a0State of the Software Supply Chain 2026\u00a0\u00bb de Sonatype<\/a>, plus de 454 648 nouveaux paquets malveillants ont \u00e9t\u00e9 identifi\u00e9s en 2025 dans des registres open source tels que npm, PyPI et Maven Central. Cela repr\u00e9sente une croissance de 75 % par rapport \u00e0 l&rsquo;ann\u00e9e pr\u00e9c\u00e9dente. Au total, plus de 1,2 million de paquets malveillants connus sont d\u00e9sormais document\u00e9s.<\/p>\n<p>Les m\u00e9thodes d&rsquo;attaque ont fondamentalement chang\u00e9. Alors que les attaques contre la cha\u00eene d&rsquo;approvisionnement \u00e9taient il y a quelques ann\u00e9es le fait d&rsquo;acteurs individuels qui exploitaient des erreurs de frappe dans les noms de paquets (typosquatting), aujourd&rsquo;hui des groupes soutenus par l&rsquo;\u00c9tat op\u00e8rent avec des moyens industriels. Le groupe Lazarus (Cor\u00e9e du Nord) a utilis\u00e9 en 2025 des cha\u00eenes de payload \u00e0 plusieurs niveaux, o\u00f9 un seul paquet manipul\u00e9 d\u00e9clenchait une cascade de cinq autres composants malveillants.<\/p>\n<p>L&rsquo;incident \u00ab\u00a0Shai-Hulud\u00a0\u00bb marque un autre tournant : le premier ver npm auto-reproducteur, qui a cr\u00e9\u00e9 plus de 500 nouveaux paquets dans le registre en quelques jours. 55,9 % de tous les paquets malveillants document\u00e9s utilisent d\u00e9sormais l&rsquo;abus de r\u00e9f\u00e9rentiel comme m\u00e9thode de distribution principale &#8211; les registres sont syst\u00e9matiquement exploit\u00e9s comme des plateformes publicitaires.<\/p>\n<p>Brian Fox, CTO de Sonatype, r\u00e9sume la situation : l&rsquo;open source est depuis longtemps une infrastructure de production, les attaquants le savent, et l&rsquo;IA acc\u00e9l\u00e8re l&rsquo;ensemble du syst\u00e8me. La confiance doit suivre la vitesse de la machine des logiciels &#8211; cela n\u00e9cessite des mesures de protection automatis\u00e9es dans le workflow, et non des rapports a posteriori (Sonatype, State of the Software Supply Chain Report 2026).<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Pourquoi les concepts de s\u00e9curit\u00e9 classiques \u00e9chouent<\/h2>\n<p>Trois probl\u00e8mes structurels rendent particuli\u00e8rement difficile la d\u00e9fense contre les attaques contre la cha\u00eene d&rsquo;approvisionnement :<\/p>\n<p><strong>L&rsquo;\u00e9cart d&rsquo;\u00e9valuation de la NVD :<\/strong> 65 % de toutes les CVE open source n&rsquo;ont pas de score CVSS de la National Vulnerability Database, selon Sonatype. Les scanners de vuln\u00e9rabilit\u00e9s bas\u00e9s sur les donn\u00e9es de la NVD sont ainsi syst\u00e9matiquement aveugles \u00e0 une grande partie des vuln\u00e9rabilit\u00e9s connues. Les entreprises qui se fient exclusivement \u00e0 des analyses automatis\u00e9es se bercent d&rsquo;une fausse s\u00e9curit\u00e9.<\/p>\n<p><strong>Les postes de travail des d\u00e9veloppeurs comme point aveugle :<\/strong> les extensions d&rsquo;IDE ne sont pas surveill\u00e9es par la s\u00e9curit\u00e9 informatique dans la plupart des entreprises. La campagne GlassWorm visait pr\u00e9cis\u00e9ment ce point aveugle : les extensions de code VS ont des autorisations \u00e9tendues sur le syst\u00e8me h\u00f4te, mais sont rarement trait\u00e9es comme des installations de logiciels. Microsoft a \u00e9galement averti en mars 2026 des extensions d&rsquo;assistants IA qui volent les historiques de discussion de Copilot et d&rsquo;autres outils LLM.<\/p>\n<p><strong>L&rsquo;IA contre les examens manuels :<\/strong> lorsque les attaquants utilisent des commits de couverture g\u00e9n\u00e9r\u00e9s par IA, les examens de code manuels ne suffisent plus. La vitesse \u00e0 laquelle de nouveaux paquets malveillants sont cr\u00e9\u00e9s et distribu\u00e9s d\u00e9passe la capacit\u00e9 des analystes humains. La d\u00e9tection automatis\u00e9e bas\u00e9e sur l&rsquo;analyse du comportement au lieu de la simple v\u00e9rification de signatures devient une obligation.<\/p>\n<div class=\"evm-stat evm-stat-highlight\" style=\"text-align:center;background:#f0f9fa;border-radius:12px;padding:32px 24px;margin:32px 0;\">\n<div style=\"font-size:48px;font-weight:700;color:#004a59;letter-spacing:-0.03em;\">65 %<\/div>\n<div style=\"font-size:15px;color:#444;margin-top:8px;\">de toutes les CVE open source sans score CVSS de la NVD<\/div>\n<div style=\"font-size:12px;color:#888;margin-top:8px;\">Source : Sonatype, State of the Software Supply Chain Report 2026<\/div>\n<\/div>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">NIS-2 et l&rsquo;obligation de la cha\u00eene d&rsquo;approvisionnement<\/h2>\n<p>Pour les entreprises en Allemagne, la s\u00e9curisation de la cha\u00eene d&rsquo;approvisionnement logiciel n&rsquo;est plus facultative. NIS-2 exige explicitement dans l&rsquo;article 21 des mesures de s\u00e9curit\u00e9 pour la cha\u00eene d&rsquo;approvisionnement. Le BSI a d\u00e9fini la <a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/03\/16\/verification-pratique-sbom-mise-en-oeuvre-nomenclature-logicielle-2026\/\" target=\"_blank\" rel=\"noopener\">SBOM comme instrument obligatoire<\/a> avec la directive technique TR-03183-2.<\/p>\n<p>La cons\u00e9quence : les entreprises doivent documenter quelles sont les composantes Open Source utilis\u00e9es dans leurs produits et outils internes. Elles doivent avoir des processus pour r\u00e9agir rapidement en cas de vuln\u00e9rabilit\u00e9s connues dans ces composantes. Et elles doivent effectuer des \u00e9valuations des risques pour leurs fournisseurs critiques, y compris les fournisseurs de logiciels.<\/p>\n<p>L&rsquo;<a href=\"https:\/\/www.ibm.com\/reports\/threat-intelligence\" target=\"_blank\" rel=\"noopener\">IBM X-Force Threat Intelligence Index 2026<\/a> confirme l&rsquo;urgence : l&rsquo;exploitation d&rsquo;applications accessibles publiquement a augment\u00e9 de 44 %, principalement due \u00e0 l&rsquo;absence de contr\u00f4les d&rsquo;authentification et \u00e0 la d\u00e9tection de vuln\u00e9rabilit\u00e9s bas\u00e9e sur l&rsquo;intelligence artificielle par les attaquants.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Sept mesures contre les attaques de la cha\u00eene d&rsquo;approvisionnement<\/h2>\n<p><strong>1. Mettre en place un contr\u00f4le des extensions.<\/strong> Les extensions IDE, les extensions de navigateur et les outils CLI ne peuvent \u00eatre install\u00e9s que \u00e0 partir de listes approuv\u00e9es. VS-Code propose le param\u00e8tre \u00ab\u00a0extensions.allowed\u00a0\u00bb dans la politique d&rsquo;entreprise.<\/p>\n<p><strong>2. Cr\u00e9er une SBOM pour tous les produits et outils internes.<\/strong> <a href=\"https:\/\/cyclonedx.org\/\" target=\"_blank\" rel=\"noopener\">CycloneDX<\/a> ou SPDX comme format, g\u00e9n\u00e9r\u00e9 automatiquement dans la pipeline CI\/CD. Sans SBOM, pas de vue d&rsquo;ensemble des d\u00e9pendances.<\/p>\n<p><strong>3. Activer l&rsquo;analyse des d\u00e9pendances dans la pipeline CI\/CD.<\/strong> Des outils comme <a href=\"https:\/\/www.cloudmagazin.com\/2026\/03\/01\/platform-engineering-2026-interne-entwicklerplattformen-idp-devops\/\" target=\"_blank\" rel=\"noopener\">Snyk<\/a>, Grype ou Dependabot v\u00e9rifient automatiquement \u00e0 chaque build si des vuln\u00e9rabilit\u00e9s connues sont pr\u00e9sentes dans les packages utilis\u00e9s.<\/p>\n<p><strong>4. Utiliser la v\u00e9rification Sigstore pour les packages critiques.<\/strong> Sigstore permet la signature et la v\u00e9rification cryptographiques des artefacts logiciels. Les packages manipul\u00e9s sans signature valide sont automatiquement bloqu\u00e9s.<\/p>\n<p><strong>5. Zero Trust pour l&rsquo;environnement de d\u00e9veloppement.<\/strong> Les <a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/03\/11\/renforcer-active-directory-5-mesures-immediates-contre-les-attaques-par-usurpation-didentite\/\" target=\"_blank\" rel=\"noopener\">postes de travail des d\u00e9veloppeurs<\/a> ont besoin du m\u00eame niveau de s\u00e9curit\u00e9 que les serveurs de production : EDR, segmentation du r\u00e9seau, contr\u00f4le d&rsquo;acc\u00e8s privil\u00e9gi\u00e9. Les temps o\u00f9 les ordinateurs des d\u00e9veloppeurs avaient un r\u00f4le sp\u00e9cial sont r\u00e9volus.<\/p>\n<p><strong>6. Compl\u00e9ter les donn\u00e9es NVD avec une intelligence de menace commerciale.<\/strong> \u00c9tant donn\u00e9 l&rsquo;\u00e9cart de 65 % dans les scores CVSS, les scanners bas\u00e9s uniquement sur NVD sont insuffisants. Des services comme Sonatype, Snyk ou Tidelift fournissent des donn\u00e9es plus compl\u00e8tes et \u00e0 jour.<\/p>\n<p><strong>7. D\u00e9finir un plan de r\u00e9ponse aux incidents pour les incidents de la cha\u00eene d&rsquo;approvisionnement.<\/strong> Qui est responsable si une biblioth\u00e8que compromise est d\u00e9couverte ? Comment les syst\u00e8mes affect\u00e9s peuvent-ils \u00eatre identifi\u00e9s et corrig\u00e9s rapidement ? Ces processus doivent \u00eatre mis en place avant l&rsquo;incident, pas apr\u00e8s.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Conclusion<\/h2>\n<p>Les attaques de la cha\u00eene d&rsquo;approvisionnement logiciel sont industrialis\u00e9es en 2026. La campagne GlassWorm montre comment les attaquants compromettent simultan\u00e9ment les extensions IDE, les packages npm et les r\u00e9f\u00e9rentiels GitHub, d\u00e9guis\u00e9s en caract\u00e8res Unicode invisibles et en commits g\u00e9n\u00e9r\u00e9s par intelligence artificielle. Pour les responsables de la s\u00e9curit\u00e9 informatique, cela signifie que leur propre environnement de d\u00e9veloppement n&rsquo;est plus digne de confiance tant qu&rsquo;il n&rsquo;est pas activement s\u00e9curis\u00e9. NIS-2 rend la gestion des risques de la cha\u00eene d&rsquo;approvisionnement obligatoire, le BSI fournit l&rsquo;instrument avec la directive SBOM. Qui ne prend pas de mesures maintenant sera pris au d\u00e9pourvu lors de la prochaine attaque GlassWorm.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Foire aux questions<\/h2>\n<h3>Qu&rsquo;est-ce qu&rsquo;une attaque de la cha\u00eene d&rsquo;approvisionnement logiciel ?<\/h3>\n<p>Une attaque qui ne frappe pas directement l&rsquo;entreprise cible, mais qui compromet une composante logicielle que l&rsquo;entreprise utilise. Cela peut \u00eatre des biblioth\u00e8ques Open Source, des extensions IDE, des outils de construction ou des packages provenant de registres publics comme npm ou PyPI. Le code malveillant est distribu\u00e9 automatiquement avec la prochaine mise \u00e0 jour ou installation.<\/p>\n<h3>Comment savoir si mon entreprise est concern\u00e9e ?<\/h3>\n<p>Sans SBOM et scan des d\u00e9pendances, la r\u00e9ponse honn\u00eate est : probablement pas. La premi\u00e8re \u00e9tape consiste \u00e0 faire un \u00e9tat des lieux de tous les composants Open Source utilis\u00e9s. Des outils comme Grype ou Syft peuvent cr\u00e9er automatiquement des SBOM et les comparer \u00e0 des bases de donn\u00e9es de vuln\u00e9rabilit\u00e9s connues.<\/p>\n<h3>Une Web Application Firewall prot\u00e8ge-t-elle contre les attaques de la cha\u00eene d&rsquo;approvisionnement ?<\/h3>\n<p>Non. Une WAF prot\u00e8ge l&rsquo;application contre les attaques externes au niveau du r\u00e9seau. Les attaques de la cha\u00eene d&rsquo;approvisionnement viennent de l&rsquo;int\u00e9rieur &#8211; via des d\u00e9pendances compromises qui sont consid\u00e9r\u00e9es comme dignes de confiance. Ici, le scan des d\u00e9pendances, la gestion des SBOM et le whitelist des extensions sont utiles.<\/p>\n<h3>Que demande concr\u00e8tement NIS-2 pour la cha\u00eene de fourniture de logiciels ?<\/h3>\n<p>L&rsquo;article 21 de la directive NIS-2 exige des mesures pour la s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement, y compris les relations avec les fournisseurs directs et les prestataires de services. Le BSI le pr\u00e9cise dans la TR-03183-2 avec l&rsquo;obligation de SBOM. Les entreprises doivent documenter les composants qu&rsquo;elles utilisent et pr\u00e9senter des processus pour une r\u00e9action rapide en cas de vuln\u00e9rabilit\u00e9s.<\/p>\n<h3>Combien co\u00fbte la s\u00e9curisation de la cha\u00eene de fourniture de logiciels ?<\/h3>\n<p>Pour les PME avec une pipeline CI\/CD existante, l&rsquo;effort est estim\u00e9 entre 10 000 et 30 000 euros (outillage, introduction de SBOM, politiques d&rsquo;extension) plus des co\u00fbts courants pour des bases de donn\u00e9es de vuln\u00e9rabilit\u00e9s commerciales (2 000-10 000 euros\/ an). Sans pipeline CI\/CD, les co\u00fbts augmentent \u00e0 40 000 \u00e0 80 000 euros, car il faut d&rsquo;abord construire l&rsquo;infrastructure.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Lectures compl\u00e9mentaires<\/h2>\n<p><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/03\/16\/verification-pratique-sbom-mise-en-oeuvre-nomenclature-logicielle-2026\/\" target=\"_blank\" rel=\"noopener\">SBOM-Praxischeck : Liste de logiciels jusqu&rsquo;\u00e0 septembre 2026<\/a> (SecurityToday)<\/p>\n<p>NIS2 en Allemagne : Ce que les entreprises doivent mettre en \u0153uvre maintenant (SecurityToday)<\/p>\n<p>IA-Phishing : 82 % de tous les e-mails d&rsquo;attaque sont issus de machines (SecurityToday)<\/p>\n<p><a href=\"https:\/\/www.cloudmagazin.com\/2026\/03\/22\/nis2-saas-lieferkette-compliance-luecke-bsi-2026\/\" target=\"_blank\" rel=\"noopener\">NIS2 et cha\u00eene d&rsquo;approvisionnement SaaS : La faille de conformit\u00e9<\/a> (cloudmagazin)<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Plus de contenu du r\u00e9seau MBF Media<\/h2>\n<p><a href=\"https:\/\/www.cloudmagazin.com\/2026\/03\/26\/container-supply-chain-security-docker-sbom-2026\/\" target=\"_blank\" rel=\"noopener\">S\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement des conteneurs : SBOM et s\u00e9curisation de Docker &#8211; cloudmagazin<\/a><\/p>\n<p><a href=\"https:\/\/mybusinessfuture.com\/cyber-resilience-act-cra-hersteller-pflichten-2026\/\" target=\"_blank\" rel=\"noopener\">Cyber Resilience Act : Ce que les fabricants doivent faire maintenant &#8211; MyBusinessFuture<\/a><\/p>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/cio-ki-governance-kompromiss-logicalis-report-2026\/\" target=\"_blank\" rel=\"noopener\">Les DSI sous pression : Gouvernance de l&rsquo;IA et compromis &#8211; Digital Chiefs<\/a><\/p>\n<p style=\"text-align: right;\"><em>Source de l&rsquo;image de titre : Pexels \/ Markus Spiske (px:1089438)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"5 Min. Temps de lecture 454.648 nouveaux packages malveillants dans les registres Open Source rien qu&rsquo;en 2025. 75 % de plus qu&rsquo;en 2024. Et en mars 2026, la campagne GlassWorm montre \u00e0 quel point les attaques de la cha\u00eene d&rsquo;approvisionnement logiciel sont d\u00e9sormais industrialis\u00e9es : 433 composants compromis en une semaine, dissimul\u00e9s par des caract\u00e8res [&hellip;]","protected":false},"author":55,"featured_media":5492,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"approvisionnement","_yoast_wpseo_title":"Cha\u00eene d'approvisionnement logicielle sous pression : comment GlassWorm a compro","_yoast_wpseo_metadesc":"S\u00e9curit\u00e9 logicielle : d\u00e9couvrez comment GlassWorm a compromis 400+ outils de dev et prot\u00e9gez votre cha\u00eene d\u2019approvisionnement d\u00e8s aujourd\u2019hui.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-5493"],"footnotes":""},"categories":[252],"tags":[],"class_list":["post-7339","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites"],"evm_reading_time_minutes":12,"wpml_language":"fr","wpml_translation_of":5493,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7339","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=7339"}],"version-history":[{"count":4,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7339\/revisions"}],"predecessor-version":[{"id":17878,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7339\/revisions\/17878"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/5492"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=7339"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=7339"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=7339"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}