Quels types de services informatiques propose Novane ?

Novane est un cabinet spécialisé dans le développement de plateformes Web, de logiciels métiers et de solutions IA. On couvre l'intégralité du cycle de vie d'un projet digital : du maquettage à la prise en main par vos utilisateurs, en passant par le développement, le déploiement et l'acquisition. On propose aussi des services de conseil en stratégie digitale (première séance offerte), en transformation, en SEO et en cybersécurité.

Proposez-vous une garantie satisfait ou remboursé ?

Oui. Vous bénéficiez d'une garantie 7 jours satisfait ou remboursé à compter du début de la prestation. Cela couvre 100 % des honoraires Novane facturés durant la première semaine, hors frais tiers (nom de domaine, licences, hébergement). Un simple email suffit pour l'activer. Remboursement sous 14 jours ouvrés.

Quel est le délai moyen de réalisation d'un projet ?

Le délai dépend de la complexité. À titre indicatif : un site vitrine peut être livré en 1 à 3 semaines, une plateforme web ou un logiciel métier se réalise à partir de 3 semaines, une solution IA peut être fonctionnelle dès 2 semaines. Chaque étape est planifiée dès l'appel découverte pour vous donner une visibilité totale.

Quels sont vos tarifs et modèles de facturation ?

Nous proposons des formules forfaitaires et des missions en régie. Tous les tarifs sont transparents et validés par devis avant démarrage. Le paiement se fait à la semaine, au fur et à mesure de l'avancement du projet, ce qui permet de maîtriser le budget. Si vous avez un budget précis, nous adaptons la roadmap pour rester dans vos objectifs financiers.

Comment se passe le suivi et la maintenance après livraison ?

Le support technique est inclus gratuitement pendant 2 mois après la mise en ligne : corrections de bugs, ajustements mineurs et accompagnement sur la prise en main. Passé ce délai, nous proposons des formules de maintenance sur devis. Nous répondons sous 24h ouvrées à toutes vos questions même après la livraison.

Comment Novane fonctionne au quotidien sur un projet ?

Chez Novane, 1 sprint = 1 semaine. Chaque semaine, on définit ensemble les fonctionnalités à développer. Vous suivez l'avancement via un environnement de test déployé sur nos serveurs et un outil de suivi Jira. Un point hebdomadaire est organisé entre vous, le développeur et le manager du projet. La communication se fait via un canal Discord ou Slack dédié. Le paiement se fait à la semaine et la première semaine est satisfait ou remboursé.

Comment les solutions IA de Novane s'intègrent à mon écosystème existant ?

Nous nous adaptons à votre écosystème existant sans nécessiter de modifications majeures. Notre approche vise une intégration fluide des solutions IA, garantissant une transition en douceur et une efficacité accrue sans perturber vos opérations courantes. Nos assistants IA peuvent se connecter à vos outils existants : CRM, email, Slack, ERP, bases de données, Drive.

En quoi un assistant IA Novane est mieux que ChatGPT avec des documents uploadés ?

ChatGPT est un outil généraliste qui ne connaît pas votre entreprise. À chaque conversation, vous devez ré-uploader et recontextualiser vos documents. L'assistant IA Novane est une mémoire d'entreprise permanente, connectée nativement à vos outils (CRM, tickets, emails, Slack), avec vos règles et process intégrés. Il peut aussi automatiser des tâches comme envoyer des mails, trier des leads ou générer des comptes-rendus. Option déploiement local pour la confidentialité.

trivy (Aqua Security) compromis : que signifie pour vos pipelines CI/CD, vos SaaS et vos projets IA (et que faire maintenant)

03/04/2026

Résumé — Le 19 mars 2026, la chaîne d’outils autour du scanner open‑source Trivy (Aqua Security) a été compromise : des versions et des tags de trivy et des GitHub Actions associées ont été remplacés par un code malveillant qui a tenté d’exfiltrer des secrets depuis des runners CI/CD. L’incident (GHSA-69fq-xp46-6x23 / CVE‑2026‑33634) a créé une fenêtre d’exposition limitée mais critique et oblige les équipes produit et sécurité à prendre des décisions rapides (rotation de clés, audit des workflows, durcissement des runners). Ce billet explique clairement ce qui s’est passé (dates), pourquoi ça compte pour les éditeurs SaaS, ERP/CRM et projets IA, et quelles actions prioritaires prendre pour limiter les risques et le coût business.

Contexte et faits (ce qui s’est passé, quand)

Le projet Trivy (Aqua Security) a publié un advisory indiquant qu’un acteur a utilisé des identifiants compromis pour publier un binaire malveillant (tag v0.69.4) et pour rebaser la quasi‑totalité des tags du GitHub Action aquasecurity/trivy-action, ainsi que certains tags de aquasecurity/setup-trivy. L’exposition principale s’est produite le 19 mars 2026 (fenêtre d’exposition allant de ~17:43 UTC le 19/03 à ~05:40 UTC le 20/03 pour les tags), et l’affaire est documentée dans l’avis de sécurité officiel (GHSA-69fq‑xp46‑6x23, CVE‑2026‑33634). Voir l’avis officiel (GitHub).

Des analyses publiques (ex. Snyk) montrent que le code malveillant exécutait un infostealer avant le scan légitime, visant à collecter/extraire les secrets présents dans l’environnement de build (variables d’environnement, tokens, fichiers de configuration, clés cloud) — ce qui rend la compromission particulièrement dangereuse pour les pipelines automatisés. Analyse et recommandations (Snyk).

Pourquoi cela intéresse directement les lecteurs Novane (CEO / CTO / managers)

Risque opérationnel et réputation — Si vos pipelines CI/CD ou ceux de vos prestataires ont exécuté un Trivy compromis, des clés cloud ou accès vers des environnements de production ont pu fuir ; cela peut mener à vol de données, déploiements frauduleux ou interruption de service.
Impact sur les SaaS et ERP/CRM — Les éditeurs SaaS qui automatisent scans dans leurs CD/CI (images containers, builds, tests) sont en première ligne : un scanner compromis peut transformer votre validation de sécurité en vecteur d’attaque.
Impact sur projets IA/ML — Les pipelines ML (entraînement, déploiement de modèles) utilisent souvent runners cloud avec accès aux buckets/registries. Les secrets volés peuvent permettre de siphonner modèles, coûts cloud (minage/abuse), ou exposer données d’entraînement.

Échelle et gravité

Trivy est largement utilisé dans l’écosystème cloud‑native : l’attaque a touché plusieurs artefacts (binaries, images Docker, Actions) et a affecté des workflows non‑sha‑pinned. Les analyses publiques montrent une exposition de milliers à dizaines de milliers de workflows potentiellement concernés — la situation est donc à classer comme un incident supply‑chain à fort potentiel de dommages s’il n’est pas traité rapidement. Snyk • GitHub Advisory.

Que faire maintenant — checklist prioritaire (ordre et justification)

Objectif : arrêter la fuite éventuelle, limiter l’impact business, et retrouver un état sécurisé.

Stoppez immédiatement les usages vulnérables : identifiez et désactivez (ou remplacez) tout workflow qui appelle aquasecurity/trivy-action par tag — privilégiez d’abord un arrêt/filtrage des workflows critiques (déploiements, builds prod). (Source : GitHub advisory, Snyk). GitHub advisory.
Inventaire des exécutions pendant la fenêtre d’exposition : vérifiez logs GitHub Actions / GitLab CI / runners pour runs entre ~19/03 17:43 UTC et 20/03 ~05:40 UTC, et pour les images v0.69.4/0.69.5/0.69.6 sur Docker Hub. Priorisez les projets contenant secrets de production. Snyk.
Rotation immédiate des secrets compromis : pour tous les tokens/credentials exposés à des runners (PAT GitHub, tokens cloud, clés de registres, clés DB), procédez à une rotation complète et invalidez les clés anciennes. Traitez cette étape comme urgente — attaquants automatisés peuvent tester clés en minutes/heures.
Audit des runners (self‑hosted) et des machines dev : analyse forensic rapide des systèmes ayant exécuté les workflows (indicateurs fournis par l’avis et analyses). Mettre hors ligne et rebuild si nécessaire.
Mitigations temporaires : pinning à des SHA immuables pour les Actions, remplacer Trivy par un scanner alternatif de confiance pour builds critiques, désactiver les workflows à event triggers risqués (ex. pull_request_target) jusqu’à correction.
Plan long terme : mettre en place token least‑privilege (repo‑scoped tokens), enforced SHA pinning, secret scanning, runners isolés pour prod, et jouer des exercices d’incident réponse supply‑chain.

Décisions produits / budget / risques — comment prioriser

Pour un CEO/CTO voici un cadre simple :

Si vous êtes éditeur SaaS/ERP avec pipeline CI/CD exposé à production — priorité haute (P0). Bloquez les workflows, rotatez clés, allouez ressources IR (équipe sécurité + DevOps) 24–72h.
Si vous êtes PME sans automation critique en prod — priorité moyenne (P1). Auditez, passez en revue les intégrations ci‑cd et planifiez la rotation des clés sur 72–120h.
Pour projets IA/ML — priorité haute si les pipelines consomment crédits cloud ou accès à datasets sensibles : un secret volé peut conduire à fuite de données d’entraînement ou coût cloud incontrôlé.

Budget wise : une intervention rapide (audit + rotation + hardening) coûte souvent moins qu’un incident produit/incident légal. Prévoir un petit forfait d’urgence DevOps/Sec (jours‑homme) pour remédiation immédiate est généralement rentable.

Ressources & références

GitHub Advisory — aquasecurity/trivy (GHSA-69fq‑xp46‑6x23) (avis officiel, fenêtres d’exposition, versions sûres).
Snyk — analyse détaillée et playbook immédiat (checklist d’actions, détection, mitigations).

Liens internes Novane utiles

Pour sécuriser vos produits SaaS et automatisations : nos services SaaS.
Besoin d’intégration IA sécurisée (pipelines, modèles, enclaves) : services Intelligence Artificielle.
Pour un audit/plan d’action immédiat : obtenir un devis ou contacter Novane.

Mini‑FAQ (pour répondre aux recherches Google fréquentes)

Q — Mon CI/CD a exécuté trivy entre le 19 et 20 mars 2026 : suis‑je forcément compromis ?
R — Pas forcément, mais vous devez considérer que des secrets exposés à ces runs le sont potentiellement. Faites l’inventaire des runs, vérifiez les logs et procédez à la rotation des clés sensibles si les workflows concernés avaient accès à des tokens de production. (GitHub advisory).
Q — Quelle est la version “sûre” de Trivy / trivy-action ?
R — L’avis officiel indique que Trivy v0.69.3 (ou builds depuis source) et trivy-action@0.35.0 / setup-trivy@0.2.6 sont considérés sûrs au moment de l’avis ; privilégiez le SHA pinning. (GitHub).
Q — Dois‑je remplacer Trivy définitivement ?
R — Pas forcément. La protection vient du contrôle des contenus (pinning, signatures, scans indépendants) et d’une politique de secret least‑privilege. À court terme, une alternative temporaire peut réduire le risque selon votre exposition. (Snyk).

Conclusion — ce que devrait décider votre comité technique dans les prochaines 48–72h

1) Priorité immédiate : inventorier les usages de Trivy/Actions, stopper les workflows à risque et lancer la rotation des secrets potentiellement exposés. 2) Dans la semaine : audit des runners, pinning SHA, et mise en place de contrôles (secret scanning, isolation, token repo‑scoped). 3) Moyenne terme : intégrer des exercices supply‑chain dans vos runbooks et envisager une assurance/plan de réponse pour incidents containers/CI. Les coûts d’une réaction rapide sont largement inférieurs à ceux d’une fuite de production ou d’un arrêt de service.

Besoin d’aide opérationnelle ? Si vous souhaitez un audit rapide de vos pipelines, une détection des runs affectés ou un accompagnement pour la rotation et le durcissement, obtenez un devis ou contactez Novane — nous pouvons intervenir en urgence pour minimiser le risque.

1. Contexte et faits (ce qui s’est passé, quand)

2. Pourquoi cela intéresse directement les lecteurs Novane (CEO / CTO / managers)

2.1. Échelle et gravité

3. Que faire maintenant — checklist prioritaire (ordre et justification)

4. Décisions produits / budget / risques — comment prioriser

5. Ressources & références

5.1. Liens internes Novane utiles

6. Mini‑FAQ (pour répondre aux recherches Google fréquentes)

7. Conclusion — ce que devrait décider votre comité technique dans les prochaines 48–72h

trivy (Aqua Security) compromis : que signifie pour vos pipelines CI/CD, vos SaaS et vos projets IA (et que faire maintenant)

Contexte et faits (ce qui s’est passé, quand)

Pourquoi cela intéresse directement les lecteurs Novane (CEO / CTO / managers)

Échelle et gravité

Que faire maintenant — checklist prioritaire (ordre et justification)

Décisions produits / budget / risques — comment prioriser

Ressources & références

Liens internes Novane utiles

Mini‑FAQ (pour répondre aux recherches Google fréquentes)

Conclusion — ce que devrait décider votre comité technique dans les prochaines 48–72h

🎯 Votre partenaire tech & business

comment estimer le coût et le ROI pour intégrer un assistant IA à votre ERP/CRM : guide pour dirigeants

5 micro-agents IA gratuits qui vous font gagner 1 heure par jour sur votre ERP/CRM en 2026

Langflow (CVE‑2026‑33017) : une RCE critique exploitée en 20 heures — que faire pour protéger vos pipelines IA (publié le 25–30 mars 2026)

Have a project in mind? Any questions?