|
 |
|
|
|
BeFresh, qui compte plus de 300 clients, est fière d'annoncer la certification ISO/IEC 27001:2022 de son système de management de la sécurité de l'information (SMSI) couvrant toutes ses activités, y compris le développement de logiciels comme les outils de facturation électronique, l'hébergement SaaS, l'exploitation d'un point d'accès certifié Peppol, hébergé dans un cloud privé au Luxembourg.
Benoît Frisch, directeur général : « Je suis vraiment satisfait de la rapidité avec laquelle nous avons atteint cet objectif — en moins de six mois —, ce qui inclut la mise en place d’un système de gestion de la sécurité de l’information SMSI, sa certification, des tests d’intrusion, ainsi que la mise en conformité avec le RGPD et la directive NIS2. Ce rythme remarquable a été en grande partie rendu possible grâce à l’expertise en sécurité d’itrust consulting et à la sécurité cloud offerte par Deep. »
Anna Chezganova, chef de projet chez itrust consulting, à propos de cette certification : « J'ai été ravie de mettre à profit les années d'expérience d'itrust consulting dans le cadre d'un projet conduit avec efficacité qui nous a permis d'obtenir la certification seulement six mois après son lancement. »
Carlo Harpes, CISO externe : « Une telle réussite n'est possible que grâce aux compétences en matière de gestion, d'informatique, de développement et de sécurité de tous les collaborateurs de BeFresh, qui ont permis des processus décisionnels rapides. »
Abdessamad Kahir, auditeur principal chez Certi-Trust : « Cet audit de certification a été très agréable, non seulement parce qu'il a été couronné de succès, mais aussi parce que la plupart des preuves requises nous ont été fournies de manière proactive et que nous avons reçu des réponses rapides et pertinentes à toutes nos questions. »
BeFresh est une société basée au Luxembourg, spécialisée dans la transformation numérique, notamment les ERP, les CRM et la facturation en tant que service, ainsi que dans le développement de solutions logicielles personnalisées. Fondée en 2019 et basée à Kockelscheuer, elle se positionne comme un partenaire technologique pour les organisations qui cherchent à moderniser leurs flux de travail, avec une expertise dans le domaine de l'automatisation des processus de facturation.
PME luxembourgeoise créée il y a 18 ans, spécialisée dans les systèmes de sécurité de l'information, itrust consulting aide ses clients des secteurs public et privé à protéger leurs informations contre toute divulgation, manipulation et indisponibilité. Ses services concernent la création, la mise en œuvre et l'audit de systèmes de gestion de la sécurité de l'information, l'évaluation et le traitement des risques à l'aide de son propre outil OpenTRICK, le déploiement d'experts en sécurité en cas de besoin (SECaaS, ou Security as a Service), le piratage à la demande des clients, la gestion des incidents de cybersécurité (voir malware.lu CERT) ou la conception et l'exploitation de solutions de sécurité pour les TIC telles que Wazuh, RADAR, C5‑DEC…
Nous sommes ravis d’annoncer le lancement de hestIA, un assistant IA d’entreprise conçu pour les organisations qui ont besoin de capacités d’IA souveraines, vérifiables et à accès contrôlé, sans avoir à recourir à des prestataires externes
Le nom hestIA est tiré d’Hestia, la déesse grecque du foyer. Vénérée pour la bonté de sa nature modeste et son rôle de gardienne de la flamme sacrée, Hestia symbolise un lieu de sécurité, de gestion responsable et de confiance. Dans le même esprit, notre plateforme est conçue pour maintenir les activités de votre organisation en toute sécurité au sein de notre infrastructure — en gardant efficacement votre travail « chez nous », où vos données sont protégées, gérées et toujours sous votre contrôle.
hestIA offre une interface conversationnelle intuitive — comparable à ChatGPT ou Microsoft Copilot — disponible dès aujourd’hui sous forme de service hébergé sur une infrastructure basée au Luxembourg et exploitée par itrust consulting. Contrairement aux services d’IA à usage général, hestIA ne transmet pas de données à des fournisseurs d’IA externes : toutes les inférences du modèle sont effectuées sur les propres systèmes d’itrust consulting.
Au-delà des capacités d'IA à usage général, hestIA permet aux organisations de créer et de gérer des collections de documents structurés que le système interroge à l'aide de la génération augmentée par la recherche (RAG). Les réponses s'appuient sur les documents propres à l'organisation et incluent des citations en ligne, offrant ainsi aux utilisateurs un lien clair et vérifiable entre les réponses et leurs sources.
hestIA est hébergé sur une infrastructure située au Luxembourg, au sein de l'Union européenne. L'ensemble du traitement — inférence de modèles, indexation de documents et traitement des requêtes — est effectué sur les propres systèmes d'itrust consulting. Aucune donnée n'est transmise à des fournisseurs externes d'IA, ce qui fait de hestIA une solution conçue pour aider les organisations traitant des données au sein de l'UE à se conformer au RGPD. Les organisations utilisant le service au-delà de la phase d'évaluation sont régies par un accord de traitement des données (DPA) conclu avec itrust consulting, établissant une relation de traitement des données claire et vérifiable.
Les organisations peuvent créer et gérer des collections de documents couvrant n'importe quel domaine d'activité. Lorsque les utilisateurs posent des questions, hestIA extrait les passages pertinents de ces collections et renvoie des réponses accompagnées de citations directes vers les documents sources. Les formats de fichiers pris en charge incluent PDF, DOCX, XLSX/XLSM, PPTX, TXT et CSV.
L'accès aux documents est automatiquement contrôlé au moment de la requête en fonction de niveaux de classification alignés sur les politiques de gouvernance de l'information propres à l'organisation — tels que public, interne, confidentiel ou restreint. Les bases de connaissances peuvent être partagées avec des organisations partenaires ou d'autres locataires, ce qui permet un échange de connaissances interorganisationnel contrôlé tout en conservant l'autorité totale.
Le service est disponible en français, en allemand et en anglais. Les utilisateurs peuvent interagir avec hestIA dans la langue de leur choix, et les collections de documents peuvent être classées par langue afin de garantir que les requêtes soient associées au contenu approprié. Une piste d'audit complète enregistre toutes les activités, répondant ainsi aux exigences en matière de responsabilité et de contrôle.
hestIA est disponible dès aujourd'hui. Les organisations peuvent s'inscrire pour accéder immédiatement à la plateforme à des fins de test et d'évaluation. L'utilisation officielle est régie par un accord de traitement des données (DPA) disponible sur demande. Pour toute question, veuillez contacter info@itrust.lu.
Le code source de hestIA sera rendu public dans un avenir proche, ce qui permettra à toute organisation d'héberger la plateforme de manière indépendante.
Les fonctionnalités suivantes sont prévues pour les prochaines versions :
Gestion de l'inventaire des actifs : taxonomie et ontologie conformes aux normes ISO 55000:2024 et ISO/IEC 27001, permettant la classification des actifs, la vérification de la cohérence, la validation de l'inventaire et le suivi du cycle de vie
Pipeline de génération de documents : production efficace de documents administratifs à partir de modèles approuvés et de la base de connaissances de l'organisation
Agent d'assistance à l'audit : audit assisté par l'IA par rapport à des normes et des cadres configurables, couvrant l'identification des écarts, la détection des non-conformités et les suggestions d'atténuation
La plateforme est cofinancée par le ministère des Affaires étrangères. Son utilisation est gratuite pendant la phase pilote, qui s'étend jusqu'à mi-2027. À l'issue de cette phase, le coût sera inclus dans l'offre de services comprenant OpenTRICK et l'hébergement sur notre plateforme cloud.itrust.lu, pour un coût total de 100 € par mois.
Nous sommes heureux d'annoncer deux nouvelles versions open source qui, ensemble, complètent un pipeline d'opérations de sécurité entièrement automatisé et guidé par l'intelligence, bouclant ainsi la boucle entre la détection et la réponse aux menaces, à la fois basées sur des règles et guidées par l'IA.
IDPS-ESCAPE (v0.7 + v0.8) marque la plus importante avancée fonctionnelle depuis le lancement de RADAR :
Moteur de risque RADAR — un modèle de fusion pondérée fondé sur des principes qui combine les signaux de détection d'anomalies, le risque basé sur les signatures et les scores CTI en temps réel pour générer une réponse automatisée en trois étapes : notification, correction avec création d'un dossier et isolation complète d’un système hôte
Intégration de DECIPHER — un client pleinement opérationnel qui interroge le CTI depuis le MISP, fusionne les scores dans le modèle de risque de RADAR et ouvre automatiquement des cas d'incident Flowintel structurés — aucune intervention manuelle du SOC n'est nécessaire
SONAR — un moteur de détection d'anomalies multivariées pour Wazuh, alimenté par l'algorithme d'apprentissage profond MTAD-GAT, doté d'un système de scénarios basé sur YAML pour des workflows de détection reproductibles et sans code, ainsi que d'un mode de débogage pour les cycles d'entraînement et de détection hors ligne sans instance Wazuh activeles without a live Wazuh instance
SATRAP-DL (v0.4) présente l'autre facette de cette intégration :
DECIPHER — un microservice REST open source permettant l'évaluation automatisée de la gravité et de la fiabilité des alertes de sécurité sur la base d'indicateurs de compromission (IOC), s'appuyant sur la « cyber threat intelligence » MISP et la création priorisée de dossiers Flowintel
PyFlowintel — une bibliothèque Python épurée encapsulant l'API Flowintel, permettant la gestion programmatique des dossiers
Déploiement en une seule commande de la pile complète : DECIPHER + MISP + Flowintel
Ensemble, ces deux versions bouclent le cycle MAPE-K de bout en bout : RADAR détecte une menace → DECIPHER l'enrichit avec des informations de renseignement sur le cybercrime (CTI) en temps réel → un score de risque déclenche la réponse automatisée appropriée → un dossier d'incident Flowintel classé par ordre de priorité est ajouté à la file d'attente de l'analyste. Entièrement open source.
Nous sommes ravis d'annoncer la sortie de C5-DEC CAD v1.2, notre boîte à outils open source dotée d'IA, destinée à la conception sécurisée, au développement et à l'évaluation de systèmes, assistés par ordinateur.
C5-DEC CAD regroupe les outils des Critères communs (CC), la traçabilité SSDLC, les workflows de conformité, l'évaluation de la sécurité des systèmes cyber-physiques, la cryptographie et la gestion des ressources au sein d'une plateforme centrée sur un référentiel unique.
C5-DEC CAD aide les équipes à mettre en œuvre un cycle de travail complet de sécurité intégrée en un seul et même endroit :
Assistance technique pour les Critères communs, avec des flux de travail structurés pour les connaissances et les spécifications
Exigences de bout en bout, artefacts de conception, tests et traçabilité intégrés à notre sous-système SpecEngine
Outils SSDLC pratiques pour la conformité, la modélisation des menaces, l'analyse des risques, la documentation et la génération de preuves via notre DocEngine
Nouveautés de la version 1.2 :
Module de conformité CRA : liste de contrôle de l'annexe I, génération de la documentation technique de l'annexe VII, déclaration de conformité UE de l'annexe V, avec prise en charge des classes « Default », « Class I », « Class II » et « Critical »
Gestion du cycle de vie des SBOM : génération basée sur Syft (CycloneDX/SPDX), validation, comparaison, traçabilité et vérification croisée CRA
Module de cryptographie natif : PQC, contrôles d'intégrité SHA-256, signature/chiffrement GnuPG, partage de secrets de Shamir et signatures numériques
CPSSA étendu : génération de modèles de menaces (compatible OWASP pytm/Threagile), analyse quantitative des risques basée sur FAIR, rapports basés sur STRIDE
Améliorations de SpecEngine et DocEngine : visualisation plus riche de la traçabilité, navigateur de spécifications interactif, statistiques de traçabilité, pipeline de rendu Mermaid, utilitaires d'hygiène des artefacts de conception et modèles de rapports/présentations prêts pour le CRA
Également dans la version 1.2 : finalisation du contenu de la base de connaissances CC:2022, renforcement de la sécurité de Docker et extension considérable de la suite de tests.
La loi NIS 2 et une loi sur la résilience ont enfin été adoptées aujourd'hui, à l'unanimité, par le Parlement luxembourgeois. À partir du 10 mai, toutes les entités privées considérées comme importantes ou essentielles (c'est à elles de le déterminer, voir le lien ci-dessous) et toutes les entités publiques (toutes, y compris les communes, les syndicaux, les ministères…) DOIVENT disposer d'une appréciation des risques et d'un plan de traitement des risques approuvés par la direction, ainsi que de plusieurs politiques visant à renforcer la cybersécurité, adressant la gestion des actifs, la sécurité des ressources humaines, le contrôle d'accès,… Un travail colossal pour lequel itrust consulting est prêt à vous aider. Voici notre stratégie : tout d'abord un plan de traitement des risques de haut niveau pour se mettre en conformité après une semaine, puis une version affinée et améliorée à soumettre au régulateur, ces deux tâches pouvant être réalisées grâce à nos outils gratuits OpenTRICK and OpenARIANA.