Articles catégorisés: Actualités

itrust Abstractions Lab a publié la version Beta de C5-DEC sur Github

Écrit July 2024 par & déposé dans Actualités, Publications.

Cette version comprend de nombreuses nouvelles fonctionnalités, principalement pour aider aux évaluations selon les critères communs et à la création efficace de la documentation technique tout au long du cycle de vie du développement de logiciels sécurisés (SSDLC).

Quelles sont les nouveautés?
Explorez les normes des Critères Communs à travers une interface web au lieu de scanner les documents.


Les normes des Critères communs pour l’évaluation de la sécurité des produits informatiques sont officiellement publiées sous la forme d’un ensemble de documents PDF et au format XML. Nous avons utilisé ce dernier afin qu’au lieu de lire de longs documents PDF, vous puissiez désormais parcourir dynamiquement les exigences, classes, familles, composants et éléments des CC de manière conviviale via une interface utilisateur graphique (GUI) basée sur le web et fonctionnant sur votre ordinateur. Les versions CC 3.1R5 et 2022R1 sont prises en charge.

Comme l’interface utilisateur graphique incluse dans la version Alpha, l’interface utilisateur graphique vous permet d’obtenir le contenu filtré en Markdown pour un traitement ultérieur en fonction de vos besoins.

 Créer des listes de contrôle d'évaluation au format tableau.

Le module CC Lab de l’interface graphique vous permet de sélectionner des classes ou des composants d’assurance CC spécifiques pour générer et exporter une liste de contrôle d’évaluation des unités de travail dans un document structuré sous forme de tableau (ods, xlsx). Un concept supplémentaire d’unités de travail atomiques (AWI) est inclus dans la feuille de calcul, afin d’aider les laboratoires à décomposer et à organiser leur travail.

Créer des rapports techniques d'évaluation (ETR) en Markdown.


L’interface de ligne de commande (CLI) a été étendue avec des commandes qui vous permettent de générer des fichiers Markdown indépendants contenant l’analyse d’évaluation d’une famille d’assurance spécifique, à partir de la feuille de calcul d’une liste de contrôle d’évaluation de votre choix. Ces fichiers sont des parties/sections d’un rapport d’évaluation et peuvent être intégrés dans notre modèle Markdown ETR (inclus dans la version) pour compiler un document ETR complet.

Publier des documents en Markdown dans d'autres formats grâce à notre intégration avec Quarto.

 

Utilisez le DocEngine pour créer des documents au format PDF, Word et autres à partir de fichiers Markdown. Cela vous permet d’écrire toute votre documentation technique, vos rapports d’évaluation et autres documents dans un format open-source pour une compatibilité avec les environnements de développement (GitHub, GitLab, etc.) et de les publier par la suite dans de multiples formats selon vos besoins.

 

Nous vous invitons à consulter tous les détails dans le dépôt GitHub et à explorer le logiciel.

Nous serons heureux de recevoir vos commentaires à l’adresse info@abstractionslab.lu.


Réussir sa transition vers NIS2: conseils et solutions signés itust consulting

Écrit July 2024 par & déposé dans Actualités.

Interview avec Smart Cities.


La directive NIS2, législation européenne en matière de cybersécurité, prévoit des mesures juridiques devant renforcer la protection des réseaux et de l’information dans une Europe confrontée à des menaces et des actes malveillants toujours plus sophistiqués. Elle entrera en vigueur cet automne et les acteurs publics et privés concernés devront alors montrer patte blanche devant le régulateur chargé de sanctionner tout manquement y relatif. Carlo Harpes, fondateur et gérant d’itrust consulting, société experte en cybersécurité depuis 2007, nous éclaire sur les enjeux liés à leur mise en conformité et présente les outils spécialement développés par l’entreprise pour y répondre.

« En matière de cybersécurité, chacun est responsable, surtout les dirigeants, y compris les fonctionnaires ayant prêté serment »


Publication de OpenTRICK comme outil open source

Écrit June 2024 par & déposé dans Actualités.

itrust consulting a publié la version de TRICK Service en open source et a ajouté à sa liste des publications. OpenTrick est une application qui soutient l’évaluation et le traitement des risques. 

OpenTRICK (anciennement appelé TRICK Service) est un outil de gestion de risques complet, aidant à évaluer les risques et à planifier des actions, comme l’exige la norme ISO/IE 27001 concernant le Système de Management de la Sécurité de l’Information (SMSI).

Open TRICK

Écrit June 2024 par & déposé dans Actualités, Produits Open Source.

OpenTRICK est un outil de gestion des risques à usage général conçu, développé et maintenu par itrust consulting. Il offre un large éventail de fonctionnalités telles que le support multi-utilisateurs, l’analyse quantitative et qualitative des scénarios de risque, l’évaluation de la maturité, les contrôles d’accès, l’importation/exportation dans Word ou Excel, la synchronisation avec des systèmes de ticketing tels que Redmine, JIRA, KIX… versioning de l’analyse des risques, définition des profils de risque, intégration de catalogues de contrôle de sécurité propres (tels que DORA, GDPR, ENISA Security Objectif promu par l’ILR pour l’auto-évaluation, ou des normes internationales telles que 22301, 27001, 27001, 27701, IEC62443, et PCI-DSS, utilisation de ces catalogues pour le traitement des risques basé sur la paramétrisation et l’estimation des ROSI et toutes ces fonctionnalités soutiennent une gestion efficace des risques.

Il s’accompagne d’une méthodologie (par exemple, définition des critères de risque) et d’un processus de risque conformes aux normes 27001 et 27005 et tenant compte des exigences spécifiques des régulateurs, telles que celles définies par la CSSF et l’ILR.

Couvrant les besoins des clients historiques, y compris les infrastructures critiques, OpenTRICK est compatible avec le module d’évaluation des risques SERIMA et peut exporter les informations au format json sur la base d’un fichier csv mettant en correspondance le nom de l’actif et du risque utilisé par le client avec les noms correspondants définis par le régulateur.

Partie intégrante d’OpenTRICK, TRICK Cockpit est l’instrument de surveillance des risques en temps réel, conçu pour contrôler les aspects de cybersécurité des compteurs intelligents et d’autres infrastructures critiques, par exemple les réseaux de distribution d’eau. Il combine des analyses de risques de sécurité avec des éléments mesurables en temps réel sur l’infrastructure opérationnelle, et fournit un système central de gestion et de supervision de la sécurité.

Les éléments de mesure typiques sont les alertes générées par les systèmes de pare-feu, les résultats de l’analyse des fichiers entrants, l’intégrité des fichiers de configuration des équipements, la comparaison des versions des programmes installés avec la liste des dernières versions considérées comme sûres, l’analyse du trafic sur certains réseaux. A cette fin, l’infrastructure sera modélisée sous forme de composants et de mesures de sécurité (décrits selon des normes reconnues telles que ISO/IEC 27002, et inspirés par ISO/IEC 27004, indicateurs pour évaluer le bon fonctionnement des mesures de sécurité…).

Le module d’évolution des risques peut être utilisé par une organisation pour comparer les paramètres de risque au fil des ans, par un régulateur pour comparer différentes entités réglementées, ou par un groupe pour afficher les résultats de différentes filiales.

Comme OpenTRICK est un logiciel libre, il peut être facilement installé et maintenu par le client et toutes les données des clients peuvent être transférées de la plateforme hébergée par itrust, app.trickservice.com, vers la plateforme du client.
Cette étape est recommandée dès que les paramètres doivent être mis à jour sur la base de données provenant de systèmes de suivi internes tels que WaZuh, IDPS-ESCAPE, SATRAP-DL…

A la fin d’un projet, les données encodées dans TRICK Service, peuvent être exportées en sqlite, Word, Excel, ou json, afin d’éviter une dépendance à la plateforme TRICK Service ou même à l’outil OpenTRICK.