|
 |
|
|
|
Interview avec Smart Cities.
La directive NIS2, législation européenne en matière de cybersécurité, prévoit des mesures juridiques devant renforcer la protection des réseaux et de l’information dans une Europe confrontée à des menaces et des actes malveillants toujours plus sophistiqués. Elle entrera en vigueur cet automne et les acteurs publics et privés concernés devront alors montrer patte blanche devant le régulateur chargé de sanctionner tout manquement y relatif. Carlo Harpes, fondateur et gérant d’itrust consulting, société experte en cybersécurité depuis 2007, nous éclaire sur les enjeux liés à leur mise en conformité et présente les outils spécialement développés par l’entreprise pour y répondre.
itrust consulting a publié la version de TRICK Service en open source et a ajouté à sa liste des publications. OpenTrick est une application qui soutient l’évaluation et le traitement des risques.
OpenTRICK (anciennement appelé TRICK Service) est un outil de gestion de risques complet, aidant à évaluer les risques et à planifier des actions, comme l’exige la norme ISO/IE 27001 concernant le Système de Management de la Sécurité de l’Information (SMSI).
OpenTRICK est un outil de gestion des risques à usage général conçu, développé et maintenu par itrust consulting. Il offre un large éventail de fonctionnalités telles que le support multi-utilisateurs, l'analyse quantitative et qualitative des scénarios de risque, l'évaluation de la maturité, les contrôles d'accès, l'importation/exportation dans Word ou Excel, la synchronisation avec des systèmes de ticketing tels que Redmine, JIRA, KIX... versioning de l'analyse des risques, définition des profils de risque, intégration de catalogues de contrôle de sécurité propres (tels que DORA, GDPR, ENISA Security Objectif promu par l'ILR pour l'auto-évaluation, ou des normes internationales telles que 22301, 27001, 27001, 27701, IEC62443, et PCI-DSS, utilisation de ces catalogues pour le traitement des risques basé sur la paramétrisation et l'estimation des ROSI et toutes ces fonctionnalités soutiennent une gestion efficace des risques.
Il s'accompagne d'une méthodologie (par exemple, définition des critères de risque) et d'un processus de risque conformes aux normes 27001 et 27005 et tenant compte des exigences spécifiques des régulateurs, telles que celles définies par la CSSF et l'ILR.
Couvrant les besoins des clients historiques, y compris les infrastructures critiques, OpenTRICK est compatible avec le module d'évaluation des risques SERIMA et peut exporter les informations au format json sur la base d'un fichier csv mettant en correspondance le nom de l'actif et du risque utilisé par le client avec les noms correspondants définis par le régulateur.
Partie intégrante d'OpenTRICK, TRICK Cockpit est l'instrument de surveillance des risques en temps réel, conçu pour contrôler les aspects de cybersécurité des compteurs intelligents et d'autres infrastructures critiques, par exemple les réseaux de distribution d'eau. Il combine des analyses de risques de sécurité avec des éléments mesurables en temps réel sur l'infrastructure opérationnelle, et fournit un système central de gestion et de supervision de la sécurité.
Les éléments de mesure typiques sont les alertes générées par les systèmes de pare-feu, les résultats de l'analyse des fichiers entrants, l'intégrité des fichiers de configuration des équipements, la comparaison des versions des programmes installés avec la liste des dernières versions considérées comme sûres, l'analyse du trafic sur certains réseaux. A cette fin, l'infrastructure sera modélisée sous forme de composants et de mesures de sécurité (décrits selon des normes reconnues telles que ISO/IEC 27002, et inspirés par ISO/IEC 27004, indicateurs pour évaluer le bon fonctionnement des mesures de sécurité...).
Le module d'évolution des risques peut être utilisé par une organisation pour comparer les paramètres de risque au fil des ans, par un régulateur pour comparer différentes entités réglementées, ou par un groupe pour afficher les résultats de différentes filiales.
Comme OpenTRICK est un logiciel libre, il peut être facilement installé et maintenu par le client et toutes les données des clients peuvent être transférées de la plateforme hébergée par itrust, app.trickservice.com, vers la plateforme du client.
Cette étape est recommandée dès que les paramètres doivent être mis à jour sur la base de données provenant de systèmes de suivi internes tels que WaZuh, IDPS-ESCAPE, SATRAP-DL...
A la fin d'un projet, les données encodées dans TRICK Service, peuvent être exportées en sqlite, Word, Excel, ou json, afin d'éviter une dépendance à la plateforme TRICK Service ou même à l'outil OpenTRICK.
itrust consulting a publié sur GitHub un ensemble d'outils pour l'évaluation et la gestion des risques, les rapports d'audit, le suivi des indicateurs clés de performance et la gestion des politiques et des procédures spécifiques aux services en nuage afin de mettre en œuvre et d'évaluer les exigences et les risques de sécurité pour les infrastructures et les services en nuage, et toutes les publications sont également ajoutées à la liste des publications.
CS-GRAM, abréviation de "Cloud Services-Governance, Risk management, Audit, and Monitoring", un ensemble d'outils fournissant des fonctions de gouvernance de la sécurité dans le nuage telles que des politiques, des modèles d'évaluation des risques, des modèles d'audit et des indicateurs clés de performance, est un sous-projet du projet CyFORT, qui signifie "Cloud Cybersecurity Fortress of Open Resources and Tools for Resilience".
ARIANA (sur GitHub), abréviation de " Assistance for Reporting on Information system Audits with Normative Assessment ", est conçu comme un module complémentaire aux applications Microsoft Word et Excel et fournit un processus simple et fiable pour créer des politiques, créer ou mettre à jour des rapports d'audit, gérer des enregistrements basés sur Excel et Word des activités de traitement conformes au GDPR, et fournir des utilitaires Word et Excel supplémentaires utiles aux consultants dans leur travail quotidien, publié sur le site web de l'itrust consulting.
OpenARIANA (sur GitHub), a été développé pour répondre à la tâche répétitive de création de politiques, en particulier de politiques de systèmes de gestion de la sécurité de l'information (ISMS), publié sur le site web de l'itrust consulting.
DRAW (sur GitHub), est utilisé pour représenter graphiquement les actifs et leurs dépendances correspondantes et les synchroniser avec TRICK Service, publié sur le site web de l'itrust consulting.
Trick2MonarcApi (sur GitHub), une API Java pour MONARC, qui permet d'importer des informations sur les risques provenant d'autres outils sophistiqués de gestion des risques, tels que TRICK Service, en facilitant les modifications du fichier de données JSON de MONARC, publié sur le site web de l'itrust consulting.
La suite d'outils pour la conception et le développement assistés par ordinateur a été récemment publiée par itrust Abstractions Lab sur GitHub.
C5-DEC, abréviation de "Common Criteria for Cybersecurity, Cryptography, Clouds - Design, Evaluation and Certification", est un sous-projet du projet CyFORT, qui lui-même signifie "Cloud Cybersecurity Fortress of Open Resources and Tools for Resilience".