|
 |
|
|
|
OpenTRICK est un outil de gestion des risques à usage général conçu, développé et maintenu par itrust consulting. Il offre un large éventail de fonctionnalités telles que le support multi-utilisateurs, l'analyse quantitative et qualitative des scénarios de risque, l'évaluation de la maturité, les contrôles d'accès, l'importation/exportation dans Word ou Excel, la synchronisation avec des systèmes de ticketing tels que Redmine, JIRA, KIX... versioning de l'analyse des risques, définition des profils de risque, intégration de catalogues de contrôle de sécurité propres (tels que DORA, GDPR, ENISA Security Objectif promu par l'ILR pour l'auto-évaluation, ou des normes internationales telles que 22301, 27001, 27001, 27701, IEC62443, et PCI-DSS, utilisation de ces catalogues pour le traitement des risques basé sur la paramétrisation et l'estimation des ROSI et toutes ces fonctionnalités soutiennent une gestion efficace des risques.
Il s'accompagne d'une méthodologie (par exemple, définition des critères de risque) et d'un processus de risque conformes aux normes 27001 et 27005 et tenant compte des exigences spécifiques des régulateurs, telles que celles définies par la CSSF et l'ILR.
Couvrant les besoins des clients historiques, y compris les infrastructures critiques, OpenTRICK est compatible avec le module d'évaluation des risques SERIMA et peut exporter les informations au format json sur la base d'un fichier csv mettant en correspondance le nom de l'actif et du risque utilisé par le client avec les noms correspondants définis par le régulateur.
Partie intégrante d'OpenTRICK, TRICK Cockpit est l'instrument de surveillance des risques en temps réel, conçu pour contrôler les aspects de cybersécurité des compteurs intelligents et d'autres infrastructures critiques, par exemple les réseaux de distribution d'eau. Il combine des analyses de risques de sécurité avec des éléments mesurables en temps réel sur l'infrastructure opérationnelle, et fournit un système central de gestion et de supervision de la sécurité.
Les éléments de mesure typiques sont les alertes générées par les systèmes de pare-feu, les résultats de l'analyse des fichiers entrants, l'intégrité des fichiers de configuration des équipements, la comparaison des versions des programmes installés avec la liste des dernières versions considérées comme sûres, l'analyse du trafic sur certains réseaux. A cette fin, l'infrastructure sera modélisée sous forme de composants et de mesures de sécurité (décrits selon des normes reconnues telles que ISO/IEC 27002, et inspirés par ISO/IEC 27004, indicateurs pour évaluer le bon fonctionnement des mesures de sécurité...).
Le module d'évolution des risques peut être utilisé par une organisation pour comparer les paramètres de risque au fil des ans, par un régulateur pour comparer différentes entités réglementées, ou par un groupe pour afficher les résultats de différentes filiales.
Comme OpenTRICK est un logiciel libre, il peut être facilement installé et maintenu par le client et toutes les données des clients peuvent être transférées de la plateforme hébergée par itrust, app.trickservice.com, vers la plateforme du client.
Cette étape est recommandée dès que les paramètres doivent être mis à jour sur la base de données provenant de systèmes de suivi internes tels que WaZuh, IDPS-ESCAPE, SATRAP-DL...
A la fin d'un projet, les données encodées dans TRICK Service, peuvent être exportées en sqlite, Word, Excel, ou json, afin d'éviter une dépendance à la plateforme TRICK Service ou même à l'outil OpenTRICK.
itrust consulting a publié sur GitHub un ensemble d'outils pour l'évaluation et la gestion des risques, les rapports d'audit, le suivi des indicateurs clés de performance et la gestion des politiques et des procédures spécifiques aux services en nuage afin de mettre en œuvre et d'évaluer les exigences et les risques de sécurité pour les infrastructures et les services en nuage, et toutes les publications sont également ajoutées à la liste des publications.
CS-GRAM, abréviation de "Cloud Services-Governance, Risk management, Audit, and Monitoring", un ensemble d'outils fournissant des fonctions de gouvernance de la sécurité dans le nuage telles que des politiques, des modèles d'évaluation des risques, des modèles d'audit et des indicateurs clés de performance, est un sous-projet du projet CyFORT, qui signifie "Cloud Cybersecurity Fortress of Open Resources and Tools for Resilience".
ARIANA (sur GitHub), abréviation de " Assistance for Reporting on Information system Audits with Normative Assessment ", est conçu comme un module complémentaire aux applications Microsoft Word et Excel et fournit un processus simple et fiable pour créer des politiques, créer ou mettre à jour des rapports d'audit, gérer des enregistrements basés sur Excel et Word des activités de traitement conformes au GDPR, et fournir des utilitaires Word et Excel supplémentaires utiles aux consultants dans leur travail quotidien, publié sur le site web de l'itrust consulting.
OpenARIANA (sur GitHub), a été développé pour répondre à la tâche répétitive de création de politiques, en particulier de politiques de systèmes de gestion de la sécurité de l'information (ISMS), publié sur le site web de l'itrust consulting.
DRAW (sur GitHub), est utilisé pour représenter graphiquement les actifs et leurs dépendances correspondantes et les synchroniser avec TRICK Service, publié sur le site web de l'itrust consulting.
Trick2MonarcApi (sur GitHub), une API Java pour MONARC, qui permet d'importer des informations sur les risques provenant d'autres outils sophistiqués de gestion des risques, tels que TRICK Service, en facilitant les modifications du fichier de données JSON de MONARC, publié sur le site web de l'itrust consulting.
La suite d'outils pour la conception et le développement assistés par ordinateur a été récemment publiée par itrust Abstractions Lab sur GitHub.
C5-DEC, abréviation de "Common Criteria for Cybersecurity, Cryptography, Clouds - Design, Evaluation and Certification", est un sous-projet du projet CyFORT, qui lui-même signifie "Cloud Cybersecurity Fortress of Open Resources and Tools for Resilience".
Dans le cadre du projet de recherche CyFORT1, itrust consulting a publié aujourd'hui OpenARIANA2, développé pour succéder au logiciel interne ARIANA, un complément Microsoft Word qui aide l'utilisateur, entre autres, à générer des politiques et des rapports d'audit.
OpenARIANA a été développé pour répondre à la tâche répétitive de création de politiques, en particulier de politiques de la sécurité de l'information. Ces documents sont souvent constitués d'un texte standardisé qui doit être adapté et complété aux exigences de chaque client. En s'intégrant comme onglet dans Microsoft Word, OpenARIANA rationalise le processus de création et de personnalisation des documents dans les milieux professionnels. Il offre une interface conviviale qui améliore la productivité et réduit les efforts manuels, ce qui rend l'adaptation des politiques standardisées aux besoins spécifiques des clients à la fois efficace et fiable.
L'outil lit séquentiellement le texte de chaque ligne d'un tableau Excel - construit à partir d'un règlement ou d'une norme - et applique le style défini dans les en-têtes de colonnes. L'outil peut manipuler des balises pour créer des énumérations et des puces ou des styles personnalisés. L'outil permet également de remplacer d'autres balises par des données personnalisées, comme "#Organisation" par le nom de l'organisation qui a créé le document.
itrust maintient un référentiel de normes SMSI comme ISO 2700x dans un format structuré compatible avec OpenARIANA. Les utilisateurs qui souhaitent accéder à ces normes peuvent nous contacter à l'adresse openariana@itrust.lu. Veuillez inclure une preuve d’acquisition de la norme, telle qu'une facture de paiement. Après vérification, nous fournirons gratuitement la norme sous forme structurée. Normes actuellement disponibles : ISO/IEC 27001:2022, 27002:2022, 27005:2022, 27701:2019, 22301:2019.
En tant que sous-projet de CyFORT, CS-GRAM3 fournit un ensemble d'outils comprenant OpenARIANA, offrant des fonctions de gouvernance de la sécurité du cloud telles que des politiques, des modèles d'évaluation des risques, des modèles d'audit et des indicateurs de performance clés (KPI). Il vise à intégrer l'utilisation de l'Open Security Controls Assessment Language (OSCAL), développé par le NIST. OSCAL est un cadre normalisé, centré sur les données, qui permet de documenter et d'évaluer les contrôles de sécurité. Cela nous rapprochera de notre objectif d'automatiser l'évaluation de la sécurité, l'audit et la surveillance continue. Enfin, le contenu de l'ISO, généralement exprimé en langage naturel, sera converti dans un format lisible par machine, en s'appuyant sur des données structurées pour faciliter l'intégration avec les outils existants.
____________
1 Cloud Cybersecurity Fortress of Open Resources and Tools for Resilience.
2 Open Assistance for Reporting on Information system Audits with Normative Assessment.
3 Cloud Services-Governance, Risk management, Audit, and Monitoring.
|
Nous vous souhaitons de paisibles fêtes de Noël et une bonne année 2024
|
 |