Aller au contenu
Kreomnis.Vigie
Blog · analyses signées Kreomnis

Analyses

Décryptages éditoriaux Kreomnis : ce qu'on retient des grandes tendances cyber, des évolutions réglementaires (NIS2, DORA, IA Act), et des pratiques RSSI qui marchent réellement.

  • 15 juin 2026 · Kreomnis · patch-tuesday · microsoft · kev · priorisation

    Patch Tuesday de juin 2026 : prioriser comme un attaquant, pas comme un tableur

    Près de 200 vulnérabilités corrigées, l'un des plus gros Patch Tuesday de l'histoire. Le trio pré-auth 9.8 (HTTP.sys, noyau wormable, DHCP Client), le Netlogon exploité, le cluster endpoint post-patch et les ajouts KEV de juin, lus dans l'ordre où un attaquant les exploiterait.

  • 14 juin 2026 · Kreomnis · ia-agentique · prompt-injection · mcp · llm

    Quand le prompt devient un shell : l'IA agentique, surface d'attaque de 2026

    EchoLeak a montré qu'un exploit pouvait s'écrire en langage naturel. Un an plus tard, marimo, LiteLLM, Semantic Kernel, MCP et LMDeploy dessinent une surface d'attaque cohérente : la frontière entre données et instructions a disparu. Cartographie d'un nouveau front.

  • 12 juin 2026 · Kreomnis · vulnerability-management · kev · bod-26-04 · sla-patch

    De la divulgation à l'exploitation en heures : votre SLA de patch est périmé

    marimo exploité en 10 h, LMDeploy en 12 h, Drupal en moins de 48 h, BOD 26-04 qui impose 3 jours aux agences fédérales. La fenêtre entre publication et exploitation s'est effondrée. Comment recalibrer un SLA de patch qui tient encore debout.

  • 31 mai 2026 · Kreomnis · panorama · cve · supply-chain · kev

    Panorama des CVE critiques : semaine du 24 au 31 mai 2026

    Analyse technique des vulnérabilités les plus sévères de la semaine : mécanique d'exploitation, indicateurs de compromission et procédures de remédiation. Pour les équipes SOC, DevSecOps et réponse à incident.

  • 12 avr. 2026 · Kreomnis · regulation · NIS2 · RSSI · gouvernance

    NIS2 sans le bullshit : ce qu'un RSSI doit vraiment retenir

    La directive NIS2 transpose en obligations concrètes ce que beaucoup de RSSI faisaient déjà. Voici l'essentiel, sans la fumée des cabinets de conseil.

  • 21 mars 2026 · Kreomnis · vulnerability-management · EPSS · CVSS · KEV

    EPSS vs CVSS : arrêtez de patcher au score, commencez à patcher à la menace

    Le score CVSS dit « ce que la CVE pourrait faire ». Le score EPSS dit « la probabilité qu'elle soit exploitée ». L'un sans l'autre est une perte de temps. Mode d'emploi.