Quels types de services informatiques propose Novane ?

Novane est un cabinet spécialisé dans le développement de plateformes Web, de logiciels métiers et de solutions IA. On couvre l'intégralité du cycle de vie d'un projet digital : du maquettage à la prise en main par vos utilisateurs, en passant par le développement, le déploiement et l'acquisition. On propose aussi des services de conseil en stratégie digitale (première séance offerte), en transformation, en SEO et en cybersécurité.

Proposez-vous une garantie satisfait ou remboursé ?

Oui. Vous bénéficiez d'une garantie 7 jours satisfait ou remboursé à compter du début de la prestation. Cela couvre 100 % des honoraires Novane facturés durant la première semaine, hors frais tiers (nom de domaine, licences, hébergement). Un simple email suffit pour l'activer. Remboursement sous 14 jours ouvrés.

Quel est le délai moyen de réalisation d'un projet ?

Le délai dépend de la complexité. À titre indicatif : un site vitrine peut être livré en 1 à 3 semaines, une plateforme web ou un logiciel métier se réalise à partir de 3 semaines, une solution IA peut être fonctionnelle dès 2 semaines. Chaque étape est planifiée dès l'appel découverte pour vous donner une visibilité totale.

Quels sont vos tarifs et modèles de facturation ?

Nous proposons des formules forfaitaires et des missions en régie. Tous les tarifs sont transparents et validés par devis avant démarrage. Le paiement se fait à la semaine, au fur et à mesure de l'avancement du projet, ce qui permet de maîtriser le budget. Si vous avez un budget précis, nous adaptons la roadmap pour rester dans vos objectifs financiers.

Comment se passe le suivi et la maintenance après livraison ?

Le support technique est inclus gratuitement pendant 2 mois après la mise en ligne : corrections de bugs, ajustements mineurs et accompagnement sur la prise en main. Passé ce délai, nous proposons des formules de maintenance sur devis. Nous répondons sous 24h ouvrées à toutes vos questions même après la livraison.

Comment Novane fonctionne au quotidien sur un projet ?

Chez Novane, 1 sprint = 1 semaine. Chaque semaine, on définit ensemble les fonctionnalités à développer. Vous suivez l'avancement via un environnement de test déployé sur nos serveurs et un outil de suivi Jira. Un point hebdomadaire est organisé entre vous, le développeur et le manager du projet. La communication se fait via un canal Discord ou Slack dédié. Le paiement se fait à la semaine et la première semaine est satisfait ou remboursé.

Comment les solutions IA de Novane s'intègrent à mon écosystème existant ?

Nous nous adaptons à votre écosystème existant sans nécessiter de modifications majeures. Notre approche vise une intégration fluide des solutions IA, garantissant une transition en douceur et une efficacité accrue sans perturber vos opérations courantes. Nos assistants IA peuvent se connecter à vos outils existants : CRM, email, Slack, ERP, bases de données, Drive.

En quoi un assistant IA Novane est mieux que ChatGPT avec des documents uploadés ?

ChatGPT est un outil généraliste qui ne connaît pas votre entreprise. À chaque conversation, vous devez ré-uploader et recontextualiser vos documents. L'assistant IA Novane est une mémoire d'entreprise permanente, connectée nativement à vos outils (CRM, tickets, emails, Slack), avec vos règles et process intégrés. Il peut aussi automatiser des tâches comme envoyer des mails, trier des leads ou générer des comptes-rendus. Option déploiement local pour la confidentialité.

TABLE DES MATIÈRES

1. 1 — Contexte et faits clés (dates et preuves)
2. 2 — Pourquoi c’est important pour vos projets Web / SaaS / IA / ERP
3. 3 — Comment vérifier rapidement si vous êtes affecté (checklist technique)
4. 4 — Mesures de réponse immédiates (prioritaires)
5. 5 — Prévention & durcissement (pratiques devops & supply‑chain)
6. 6 — Exemple d’IOC techniques et commandes utiles
7. 7 — Risques résiduels et priorités produit / budget
7.1. Sources principales (lecture recommandée)
8. FAQ (questions que taperont vos utilisateurs dans Google)
9. Conclusion — que faire maintenant (plan d’action rapide)

incident supply‑chain : comment l’attaque contre le package npm axios (31 mars 2026) affecte vos applications web, CI/CD et pipelines IA

05/04/2026

Résumé — Le 31 mars 2026, des versions malveillantes du populaire package npm axios ont été publiées via un compte mainteneur compromis. Ces versions ajoutaient une dépendance typosquattée (plain-crypto-js@4.2.1) qui exécutait un script postinstall pour télécharger et lancer un RAT cross‑platform. L’incident a duré quelques heures mais peut impacter développeurs, pipelines CI/CD, images de build et environnements de production. Les paragraphes qui suivent expliquent précisément ce qui s’est passé, comment vérifier si vous êtes touché et quelles actions techniques et organisationnelles prioriser. ([securitylabs.datadoghq.com](https://securitylabs.datadoghq.com/articles/axios-npm-supply-chain-compromise/?utm_source=openai))

1 — Contexte et faits clés (dates et preuves)

Ce qui s’est passé : entre environ 00:21 et 03:29 UTC le 31 mars 2026, un compte mainteneur d’Axios a été compromis et deux versions malveillantes — axios@1.14.1 et axios@0.30.4 — ont été publiées. Ces releases n’altéraient pas le code runtime d’Axios mais introduisaient la dépendance plain-crypto-js@4.2.1 contenant un postinstall qui agit comme dropper d’un Remote Access Trojan (RAT) pour Windows/macOS/Linux. Plusieurs équipes de recherche et éditeurs (Datadog Security Labs, Microsoft Security, BleepingComputer, JFrog…) ont publié analyses et conseils depuis le 31 mars – 2 avril 2026. ([securitylabs.datadoghq.com](https://securitylabs.datadoghq.com/articles/axios-npm-supply-chain-compromise/?utm_source=openai))

2 — Pourquoi c’est important pour vos projets Web / SaaS / IA / ERP

Portée : Axios est embarqué massivement dans applications web, backends Node.js, builds front, apps mobiles (via React Native, Electron) et pipelines. Une installation sur une machine de développement/CI peut suffire pour compromettre secrets et images de build. ([securitylabs.datadoghq.com](https://securitylabs.datadoghq.com/articles/axios-npm-supply-chain-compromise/?utm_source=openai))
Chaînes d’approvisionnement : l’attaque exploite le modèle de confiance des registres et des comptes mainteneurs — impact direct sur CI/CD, images Docker, et artefacts distribués aux environnements de production. ([research.jfrog.com](https://research.jfrog.com/post/axios-compromise/?utm_source=openai))
IA & agents : pipelines RAG, agents et outils d’IA qui s’appuient sur Node.js/npm (par ex. outils d’orchestration, webhooks) sont exposés aux mêmes vecteurs (exfiltration de clefs, pivot vers infra interne). ([securitylabs.datadoghq.com](https://securitylabs.datadoghq.com/articles/axios-npm-supply-chain-compromise/?utm_source=openai))

3 — Comment vérifier rapidement si vous êtes affecté (checklist technique)

Priorisez développeurs & build systems : la plupart des infections proviennent d’un npm install / yarn install effectué pendant la fenêtre d’exposition, ou d’images construites à partir de ce moment.

Rechercher la dépendance compromise dans vos dépôts et artefacts :

# dans la racine du repo
grep -R "\"plain-crypto-js\"" package-lock.json yarn.lock || true
# ou lister dans node_modules (si présent)
npm ls plain-crypto-js --all || true

Vérifier les images Docker / layers construites récemment (recherche d’axios dans les couches) :

docker history --no-trunc my-image:tag | grep axios || true
# ou inspecter les artefacts de build (timestamps)

Scanner les logs CI pour installations pendant la fenêtre (UTC 00:21–03:29, 31 mars 2026) et rechercher postinstall non attendu :

# exemple (GitLab/GitHub Actions logs)
grep -R "npm install" /path/to/ci-logs | grep "2026-03-31" -n
grep -R "postinstall" /path/to/ci-logs -n

Contrôler les postes développeurs et runners CI : recherche de commandes suspectes, modifications dans ~/.bashrc, clés ssh copiées, processus inhabituels. Si vous détectez artefacts, considérez l’hypothèse d’une compromission et isolez la machine. ([microsoft.com](https://www.microsoft.com/en-us/security/blog/2026/04/01/mitigating-the-axios-npm-supply-chain-compromise/?utm_source=openai))

4 — Mesures de réponse immédiates (prioritaires)

Bloquez / supprimez immédiatement les versions compromises dans vos registries internes ou caches (Artifactory, Nexus, Verdaccio) ; retirez les images construites pendant la fenêtre. ([securitylabs.datadoghq.com](https://securitylabs.datadoghq.com/articles/axios-npm-supply-chain-compromise/?utm_source=openai))
Si un runner CI ou poste développeur est compromis : isolez, collectez logs/artefacts, procédez à un rebuild sur runners propres (machines immaculées).
Rotatez toutes les clés et tokens utilisés par développeurs et CI (cloud, bases, registy tokens). Traitez-les comme compromis si un npm install a eu lieu durant la fenêtre. ([microsoft.com](https://www.microsoft.com/en-us/security/blog/2026/04/01/mitigating-the-axios-npm-supply-chain-compromise/?utm_source=openai))
Analyse forensique ciblée : rechercher connexions sortantes vers IOCs publiés, hashes fournis par les chercheurs (voir liens ci‑dessous).
Communiquez en interne : l’incident touche potentiellement plusieurs équipes (dev, infra, sécurité, produit). Priorisez la transparence et la traçabilité des builds.

5 — Prévention & durcissement (pratiques devops & supply‑chain)

Pinnez strictement vos dépendances via lockfiles et utilisez les workflows qui garantissent builds reproductibles (CI = npm ci / yarn --frozen-lockfile). Rappel : si le lockfile contient déjà la version compromise, npm ci installera l’exacte version — il faut donc vérifier les lockfiles. ([securitylabs.datadoghq.com](https://securitylabs.datadoghq.com/articles/axios-npm-supply-chain-compromise/?utm_source=openai))
Adoptez OIDC et tokens à usage restreint pour publication ; limitez les droits des comptes qui publient sur npm et activez 2FA sur comptes maintainers. ([research.jfrog.com](https://research.jfrog.com/post/axios-compromise/?utm_source=openai))
Mettez en place un miroir interne / cache (Artifactory, Verdaccio) pour contrôler les versions autorisées en production et pouvoir faire un rollback rapide.
Scanner SBOM et CI avec outils SCA (software composition analysis) pour détecter typosquats et scripts postinstall. Configurez des règles bloquantes pour packages contenant scripts d’installation.
Segmenter runners CI et éviter l’usage de secrets persistants sur les machines dev locales ; préférez secrets éphémères via vaults et permissions minimales.

6 — Exemple d’IOC techniques et commandes utiles

# détecter 'plain-crypto-js' dans les artefacts
grep -R "plain-crypto-js" /builds /artifacts || true

# lister les instances d'axios avec version dans un projet (package-lock.json)
jq -r '.dependencies | .. | objects | .axios?.version? // empty' package-lock.json || true

# rechercher modifications récentes dans profils utilisateurs (persistence)
grep -R "sfrclak.com" /home/*/.bashrc /home/*/.zshrc /root -n || true

7 — Risques résiduels et priorités produit / budget

Même si l’exposition a duré peu, l’impact business peut être important : compromission de clefs cloud, fuite de données clients, exécution de commandes sur runners de build, insertion de backdoors dans images de production. Priorisez (1) chasse aux IOCs et rotation de secrets, (2) rebuilds sur runners sains, (3) contrôle des artefacts publiés en production. Investir dans SCA/SBOM et miroirs internes apporte fort ROI pour réduire la surface d’attaque des supply‑chains. ([microsoft.com](https://www.microsoft.com/en-us/security/blog/2026/04/01/mitigating-the-axios-npm-supply-chain-compromise/?utm_source=openai))

Sources principales (lecture recommandée)

Datadog Security Labs — analysis: Compromised axios npm package delivers cross-platform RAT. ([securitylabs.datadoghq.com](https://securitylabs.datadoghq.com/articles/axios-npm-supply-chain-compromise/?utm_source=openai))
Microsoft Security Blog — Mitigating the Axios npm supply chain compromise. ([microsoft.com](https://www.microsoft.com/en-us/security/blog/2026/04/01/mitigating-the-axios-npm-supply-chain-compromise/?utm_source=openai))
BleepingComputer — Hackers compromise Axios npm package to drop cross-platform malware. ([bleepingcomputer.com](https://www.bleepingcomputer.com/news/security/hackers-compromise-axios-npm-package-to-drop-cross-platform-malware/?utm_source=openai))

FAQ (questions que taperont vos utilisateurs dans Google)

Q — Comment savoir si mon CI a installé la version compromise d’axios ?
R — Recherchez dans vos logs CI les installs du 31 mars 2026 entre 00:21 et 03:29 UTC, inspectez package-lock/yarn.lock et exécutez npm ls plain-crypto-js --all sur runners et images. ([securitylabs.datadoghq.com](https://securitylabs.datadoghq.com/articles/axios-npm-supply-chain-compromise/?utm_source=openai))
Q — Faut‑il rotater toutes les clés cloud ?
R — Oui si un runner/dev a exécuté npm install pendant la fenêtre d’exposition : traitez les secrets comme compromis et rotatez-les immédiatement. ([microsoft.com](https://www.microsoft.com/en-us/security/blog/2026/04/01/mitigating-the-axios-npm-supply-chain-compromise/?utm_source=openai))
Q — Est‑ce que « pinning » suffit pour se protéger ?
R — Le pinning réduit le risque, mais si le lockfile contient déjà la version malveillante il ne suffit pas : combinez lockfiles, miroirs internes, SCA et contrôles de publication. ([research.jfrog.com](https://research.jfrog.com/post/axios-compromise/?utm_source=openai))
Q — Dois‑je rebuild toutes mes images Docker ?
R — Oui pour toute image construite durant la fenêtre d’exposition ; reconstruisez sur runners propres et vérifiez les artefacts avant déploiement. ([securitylabs.datadoghq.com](https://securitylabs.datadoghq.com/articles/axios-npm-supply-chain-compromise/?utm_source=openai))

Conclusion — que faire maintenant (plan d’action rapide)

Identifier rapidement si un npm install a eu lieu durant la fenêtre (00:21–03:29 UTC, 31 mars 2026).
Isoler et analyser runners/devices suspects, rotatez secrets et tokens.
Rebuild images et artefacts sur runners propres, mettre en quarantaine les artefacts construits pendant la fenêtre.
Renforcer la supply‑chain : miroirs internes, SCA, SBOM, OIDC, 2FA pour comptes maintainers.

Si vous souhaitez une évaluation rapide (audit automatisé de vos pipelines npm/CI, chasse aux IOCs, rebuild contrôlé des images), Novane peut intervenir pour un diagnostic ciblé et un plan de remédiation. Obtenez un devis ou contactez‑nous pour prioriser actions techniques et produit.

Liens internes utiles : découvrez nos offres DevOps et sécurité sur services SaaS, nos prestations d’intégration IA et nos solutions pour ERP / CRM.