Cybersécurité des produits · une plateforme unique
D’un signal détecté dans la nature jusqu’au composant exact.
Renseignement sur les menaces, risque fournisseur, vulnérabilités et SBOM réunis dans un graphe connecté. Correlens les met en corrélation afin qu’une fuite, un exploit ou la compromission d’un fournisseur mène au composant et au programme exacts, pour permettre une action humaine.
La rigueur automobile, partout où le logiciel est en mouvement.
Risque lié à la chaîne d’approvisionnement
Lorsqu’un fournisseur est compromis, vous êtes informé en premier.
Vos fournisseurs intègrent votre surface de risque dès qu’ils vous livrent du code. Correlens les surveille dans les sources de renseignement, évalue le bruit et corrèle une compromission aux composants et programmes exacts qu’elle met en danger.
L’acteur « 888 » propose environ 35 Go prétendument volés à Accenture sur un forum du dark web
Confiance : moyenne · l’acteur a déjà exagéré la portée de ses attaquesRenseignement sur les menaces
Sélectionné pour vos produits, synthétisé par l’IA, confirmé par un humain.
Les signaux issus du web ouvert, du dark web et du deep web sont évalués selon votre contexte. L’IA lit, traduit et résume chacun d’eux ; un analyste le confirme. Aucun signal n’est escaladé sur le seul verdict de la machine.
Un acteur propose des données volées à un fournisseur d’ingénierie connecté
Un acteur du dark web propose des données qu’il affirme avoir volées à un fournisseur d’ingénierie connecté. Cet acteur ayant déjà exagéré la portée de ses attaques, l’allégation reste non confirmée et est corrélée aux composants et programmes exacts que ce fournisseur vous livre.
Contournement par injection de faute en tension de la protection en lecture sur des MCU automobiles RH850
Une recherche publique démontre une attaque par injection de faute en tension de type crowbar qui contourne la protection en lecture et le mot de passe de débogage des microcontrôleurs Renesas RH850. Elle permet de lire une mémoire flash verrouillée avec du matériel courant, sans dessoudage. RH850 étant répandu dans les passerelles et les ECU de direction, cette attaque touche à la confidentialité du firmware au regard du règlement R155.
Un dépôt public expose une configuration CI faisant référence au domaine de compilation interne d’un fournisseur
Un dépôt de code public expose une configuration CI qui référence le domaine de compilation interne d’un fournisseur ainsi que des chemins d’artefacts. Aucune fuite de secret n’est confirmée, mais ces références cartographient l’infrastructure de compilation et donnent des indications sur la chaîne OTA. Le signal est donc placé dans la file d’un analyste pour validation par rapport au programme concerné.
Interrogez le graphe
Une question. Une réponse étayée et sourcée.
Toutes les connaissances de la plateforme forment un graphe connecté. Posez votre question en langage naturel et obtenez une réponse concrète, accompagnée des chiffres et des sources qui la justifient.
CVE-2026-4187 (gstreamer 1.14.4, dont l’exploitation est confirmée) atteint 3 programmes, 2 fournisseurs et 5 nœuds. Il est atteignable sur 4 des 5 nœuds ; un constat est supprimé par une déclaration VEX du fournisseur.
Gestion des vulnérabilités
Un risque exploitable, pas un mur de CVE.
Chaque constat est enrichi par le renseignement corrélé sur les menaces, puis réévalué pour le produit déployé. Vous agissez sur ce qui est exploité et atteignable, pas sur un indice brut de sévérité.
| Vulnérabilité | Composant | CVSS | EPSS | Exploitation | Atteignabilité | État |
|---|---|---|---|---|---|---|
| CVE-2026-4187 | gstreamer 1.14.4 | 9.8 | 0.89 | confirmed exploited (KEV) | reachable | under review |
| CVE-2026-3350 | botan 2.19.5 | 8.4 | 0.42 | exploit available | reachable | to validate |
| CVE-2026-0915 | bluez 5.66 | 7.5 | 0.18 | PoC published | adjacent | to validate |
| CVE-2026-2044 | libexpat 2.2.6 | 6.2 | 0.05 | no known exploit | not reachable | suppressed (VEX) |
Réévalué pour le produit qui vous concerne.
Un score 9.8 sans chemin réseau n’est pas un score 9.8 dans votre programme. Définissez une fois les interfaces externes réelles et le niveau de sûreté d’un nœud : chaque constat sera réévalué en conséquence, en CVSS 3.0, 3.1 ou 4.0.
Listes de surveillance
Recherchez les risques propres à vos composants.
Sélectionnez les observables importants pour vos produits ; la plateforme les surveille de manière proactive. Les communautés de réglage et de déverrouillage, par exemple, échangent ouvertement des techniques de déverrouillage d’ECU bien avant qu’elles ne deviennent un incident.
Alimentées automatiquement depuis votre SBOM et portables par standard. Importez-les et exportez-les au format STIX 2.1 pour déplacer une liste de surveillance entre vos équipes et vos outils.
SBOM
L’inventaire qui alimente tout le reste.
Votre nomenclature logicielle est une donnée d’entrée que la plateforme met au service de tous les autres processus. Elle alimente la gestion des vulnérabilités et la corrélation des menaces, afin qu’un composant ne soit jamais une simple ligne dans un fichier. Suivez son parcours, de l’import jusqu’à la préparation de l’audit.
312 composants · seuil 30
| Composant | Version | Origine | EOL | Vulnérabilités |
|---|---|---|---|---|
| gstreamer | 1.14.4 | OSS | 2027-01 | 29 |
| botan | 2.19.5 | OSS | – | 6 |
| bluez | 5.66 | OSS | 2027-03 | 9 |
| ivi-mediastack | 2.8.1 | proprietary | – | 4 |
Portabilité
Importez vos données. Récupérez-en davantage.
Des standards ouverts à l’entrée comme à la sortie. Les données importées ne sont jamais captives, et les connaissances acquises par la plateforme vous reviennent dans des formats déjà compris par vos autres outils, quel que soit votre produit.
Ce que vous importez
Ce que vous récupérez
p. ex. la SBOM d’un contrôleur de vol de drone entre ; une nomenclature enrichie des CVE atteignables ressort.
p. ex. un incident affectant une unité routière STI est exporté directement vers votre SOC et votre PSIRT.
Conformité étayée
Exécutez le travail : les preuves d’audit se constituent au fil de l’eau.
Un système de management de la cybersécurité (ISO/SAE 21434) encadre la cybersécurité des produits sur tout leur cycle de vie. Les modules ci-dessus en sont les processus opérationnels, et les traces qu’ils produisent constituent les preuves demandées par les autorités.
Le logiciel, avec l’expertise humaine. Nos spécialistes de la sécurité des produits accompagnent votre équipe, de la première SBOM jusqu’à une conformité prête pour l’audit.
Une IA sous contrôle humain
Une boucle de décision, pas un pilote automatique.
L’IA assure la lecture, l’évaluation et la corrélation à l’échelle machine. L’analyste prend chaque décision importante. L’une ne fonctionne pas sans l’autre.
Chaque décision est enregistrée. La piste d’audit demandée par une autorité résulte directement du travail, sans constituer une tâche séparée. Les équipes sont organisées par tenant et par rôle : vous pouvez inviter un fournisseur externe avec un accès limité tout en conservant une vue d’ensemble.
Quand vous le souhaitez
Une source unique de vérité pour la cybersécurité des produits.
Voitures, véhicules utilitaires, STI, drones et e-mobilité. Réservez une démonstration : nos experts l’adapteront à vos programmes aux côtés de votre équipe.
Les interfaces produit présentées sur cette page utilisent des données d’exemple. Le scénario de violation chez un fournisseur reprend des déclarations publiques afin d’illustrer la corrélation.