|
 |
|
|
|
itrust consulting a publié la version de TRICK service en open source et a ajouté à sa liste des publications.
OpenTrick est une application qui soutient l’évaluation et le traitement des risques. OpenTRICK (anciennement appelé TRICK Service) est un outil de gestion de risques complet, aidant à évaluer les risques et à planifier des actions, comme l’éxige la norme ISO/IE 27001 concernant le Système de Management de la Sécurité de l’Information (SMSI).
Il vous accompagne tout au long du processus de gestion des risques, depuis la definition du context de risques, en passant par l’estimation et le traitement des risques, jusqu’à la communication des résultats.
OpenTRICK vous prepare à optenir la certification ISO 27001, à respecter les exigences du RGPD, à exporter les informations sur les risques au format JSON demandé par le régulateur luxembourgeois ILR ou à répondre à la circulaire de la CSSF 12/544.
Il couvre une grande variété de fonctionnalités tells que l’analyse quantative et qualitative des scenarios de risques, l’éstimation du retour sur investissement en matière de securité (ROSI) basée sur les facteurs de reduction des risques (RRF), l’intégration de catalogues personnalisés ou prédéfinis pour les contrôles de sécurité évalués, le support multi-utilisateurs et le contrôle d’accès, l’import/export et la gestion des versions.
Il permet à plusieurs évaluations des risques pour différents clients ou contextes de partager des informations telles que les paramètres de sécurité et de risque sur une base de connaissances centrale, ce qui explique son nom TRICK = Tool for Risk management of an ISMS based on a Central Knowledge base (outil de gestion des risques d'un système de management de l'information sur la base d'une base de connaissances centrale). Notez que de telles informations, par exemple ISO/IEC 27002, sont protégées par des droits d'auteur, c'est-à-dire qu'elles ne peuvent pas faire partie de cette version, mais elles peuvent être importées facilement, sur la base de documents formatés disponibles sur ILNAS.public.lu (par exemple) après l'acquisition des droits d'auteur de la norme (dans un avenir proche).
OpenTRICK comprend la gestion de l'accès des utilisateurs, les journaux d'activité, l'authentification à deux facteurs et une fonction d'entrée et de sortie intelligente interagissant avec Word et Excel.
itrust consulting a publié sur GitHub un ensemble d'outils pour l'évaluation et la gestion des risques, les rapports d'audit, le suivi des indicateurs clés de performance et la gestion des politiques et des procédures spécifiques aux services en nuage afin de mettre en œuvre et d'évaluer les exigences et les risques de sécurité pour les infrastructures et les services en nuage, et toutes les publications sont également ajoutées à la liste des publications.
CS-GRAM, abréviation de "Cloud Services-Governance, Risk management, Audit, and Monitoring", un ensemble d'outils fournissant des fonctions de gouvernance de la sécurité dans le nuage telles que des politiques, des modèles d'évaluation des risques, des modèles d'audit et des indicateurs clés de performance, est un sous-projet du projet CyFORT, qui signifie "Cloud Cybersecurity Fortress of Open Resources and Tools for Resilience".
ARIANA (sur GitHub), abréviation de " Assistance for Reporting on Information system Audits with Normative Assessment ", est conçu comme un module complémentaire aux applications Microsoft Word et Excel et fournit un processus simple et fiable pour créer des politiques, créer ou mettre à jour des rapports d'audit, gérer des enregistrements basés sur Excel et Word des activités de traitement conformes au GDPR, et fournir des utilitaires Word et Excel supplémentaires utiles aux consultants dans leur travail quotidien, publié sur le site web de l'itrust consulting.
OpenARIANA (sur GitHub), a été développé pour répondre à la tâche répétitive de création de politiques, en particulier de politiques de systèmes de gestion de la sécurité de l'information (ISMS), publié sur le site web de l'itrust consulting.
DRAW (sur GitHub), est utilisé pour représenter graphiquement les actifs et leurs dépendances correspondantes et les synchroniser avec TRICK Service, publié sur le site web de l'itrust consulting.
Trick2MonarcApi (sur GitHub), une API Java pour MONARC, qui permet d'importer des informations sur les risques provenant d'autres outils sophistiqués de gestion des risques, tels que TRICK Service, en facilitant les modifications du fichier de données JSON de MONARC, publié sur le site web de l'itrust consulting.
La suite d'outils pour la conception et le développement assistés par ordinateur a été récemment publiée par itrust Abstractions Lab sur GitHub.
C5-DEC, abréviation de "Common Criteria for Cybersecurity, Cryptography, Clouds - Design, Evaluation and Certification", est un sous-projet du projet CyFORT, qui lui-même signifie "Cloud Cybersecurity Fortress of Open Resources and Tools for Resilience".
Dans le cadre du projet de recherche CyFORT1, itrust consulting a publié aujourd'hui OpenARIANA2, développé pour succéder au logiciel interne ARIANA, un complément Microsoft Word qui aide l'utilisateur, entre autres, à générer des politiques et des rapports d'audit.
OpenARIANA a été développé pour répondre à la tâche répétitive de création de politiques, en particulier de politiques de la sécurité de l'information. Ces documents sont souvent constitués d'un texte standardisé qui doit être adapté et complété aux exigences de chaque client. En s'intégrant comme onglet dans Microsoft Word, OpenARIANA rationalise le processus de création et de personnalisation des documents dans les milieux professionnels. Il offre une interface conviviale qui améliore la productivité et réduit les efforts manuels, ce qui rend l'adaptation des politiques standardisées aux besoins spécifiques des clients à la fois efficace et fiable.
L'outil lit séquentiellement le texte de chaque ligne d'un tableau Excel - construit à partir d'un règlement ou d'une norme - et applique le style défini dans les en-têtes de colonnes. L'outil peut manipuler des balises pour créer des énumérations et des puces ou des styles personnalisés. L'outil permet également de remplacer d'autres balises par des données personnalisées, comme "#Organisation" par le nom de l'organisation qui a créé le document.
itrust maintient un référentiel de normes SMSI comme ISO 2700x dans un format structuré compatible avec OpenARIANA. Les utilisateurs qui souhaitent accéder à ces normes peuvent nous contacter à l'adresse openariana@itrust.lu. Veuillez inclure une preuve d’acquisition de la norme, telle qu'une facture de paiement. Après vérification, nous fournirons gratuitement la norme sous forme structurée. Normes actuellement disponibles : ISO/IEC 27001:2022, 27002:2022, 27005:2022, 27701:2019, 22301:2019.
En tant que sous-projet de CyFORT, CS-GRAM3 fournit un ensemble d'outils comprenant OpenARIANA, offrant des fonctions de gouvernance de la sécurité du cloud telles que des politiques, des modèles d'évaluation des risques, des modèles d'audit et des indicateurs de performance clés (KPI). Il vise à intégrer l'utilisation de l'Open Security Controls Assessment Language (OSCAL), développé par le NIST. OSCAL est un cadre normalisé, centré sur les données, qui permet de documenter et d'évaluer les contrôles de sécurité. Cela nous rapprochera de notre objectif d'automatiser l'évaluation de la sécurité, l'audit et la surveillance continue. Enfin, le contenu de l'ISO, généralement exprimé en langage naturel, sera converti dans un format lisible par machine, en s'appuyant sur des données structurées pour faciliter l'intégration avec les outils existants.
____________
1 Cloud Cybersecurity Fortress of Open Resources and Tools for Resilience.
2 Open Assistance for Reporting on Information system Audits with Normative Assessment.
3 Cloud Services-Governance, Risk management, Audit, and Monitoring.
|
Nous vous souhaitons de paisibles fêtes de Noël et une bonne année 2024
|
 |
Interview avec Lëtzebuerger Gemengen.
Dans un contexte de menaces cybernétiques en constante augmentation et de plus en plus sophistiquées, les experts en cybersécurité ne restent pas inactifs, comme en témoigne le projet CyFORT. Explications avec ses créateurs, Carlo Harpes et Arash Atashpendar, respectivement Managing Director et responsable de la R&D/CTO chez itrust consulting et itrust Abstractions Lab.
Interview avec Lëtzebuerger Gemengen.
Alors que les menaces de cyberattaques se multiplient, les experts en cybersécurité redoublent d’innovation pour protéger au mieux les données publiques et privées, à l’instar du projet CyFORT. Rencontre avec ses créateurs, Carlo Harpes et Arash Atashpendar, respectivement Managing Director et CTO/Head of R&D au sein d’itrust consulting et itrust Abstractions Lab.
L’interview de Smart Cities Luxembourg avec Carlo Harpes, Gérant d’itrust consulting s.à r.l. rapporte la situation au Luxembourg.
Extrait :
Si la transformation digitale est synonyme de grandes opportunités, elle présente également des risques importants de sécurité pour toutes les entreprises. Industries, banques, institutions ou administrations, quelle que soit leur taille, doivent se protéger d’une potentielle cyberattaque. Pour évoquer ce sujet, nous avons rencontré Carlo Harpes, fondateur et gérant d’itrust consulting, société experte en cybersécurité au Luxembourg depuis 2007.
Le 27 octobre 2022, itrust consulting a célébré son 15e anniversaire, dans le bel auditorium Lalux à Leudelange.
La première partie de l'événement était consacrée à un atelier technique, où les projets de recherche actuels Eagle-1 et CyFORT ont été présentés.
La seconde partie était un symposium académique avec cinq orateurs experts: M. Gauthier Crommelink, du ministère de l'Économie a souligné le soutien de son ministère à la recherche et à l'innovation dans le domaine de la cybersécurité ; M. Peter Y.A. Ryan, professeur titulaire à l'Université du Luxembourg, a expliqué la nécessité de la vérification pour sécuriser les élections ; et M. Alan Kuresevic, PDG de SES Techcom, a expliqué comment ils amènent la distribution de clés quantiques dans l'espace.
Dans son discours d'anniversaire, Dr Carlo Harpes, directeur général et fondateur d'itrust consulting, a montré des extraits de politiques et de procédures qu'itrust consulting a rédigées au cours des dernières années pour plus de 20 clients, dont beaucoup ont obtenu la certification 27001, grâce aux documents et aux évaluations des risques réalisés par itrust consulting. Il a particulièrement remercié son équipe de R&D pour avoir adapté l'outil d'évaluation des risques TRICK Service aux exigences spécifiques de l'ILR. À la fin de sa présentation, le Dr Harpes a annoncé la création d'une société dérivée pour consolider les activités de recherche et de développement et permettre une approche plus autonome et plus ciblée.
Enfin, le Dr Arash Atashpendar, responsable de la recherche et du développement chez itrust consulting, a présenté cette entreprise, appelée "itrust Abstractions Lab".
Le symposium académique a été agrémenté par les jeunes talents musicaux des "JazzFellas", et par la présentation d'une peinture de Martine Zehren pour cet anniversaire. Le tout a été suivi d'un dîner ambulant favorisant des conversations utiles.
Nous tenons à remercier tous les participants d'avoir contribué à la bonne ambiance et de nous avoir permis de partager ce moment avec vous !
