|
 |
|
|
|
Nous sommes heureux d'annoncer deux nouvelles versions open source qui, ensemble, complètent un pipeline d'opérations de sécurité entièrement automatisé et guidé par l'intelligence, bouclant ainsi la boucle entre la détection et la réponse aux menaces, à la fois basées sur des règles et guidées par l'IA.
IDPS-ESCAPE (v0.7 + v0.8) marque la plus importante avancée fonctionnelle depuis le lancement de RADAR :
Moteur de risque RADAR — un modèle de fusion pondérée fondé sur des principes qui combine les signaux de détection d'anomalies, le risque basé sur les signatures et les scores CTI en temps réel pour générer une réponse automatisée en trois étapes : notification, correction avec création d'un dossier et isolation complète d’un système hôte
Intégration de DECIPHER — un client pleinement opérationnel qui interroge le CTI depuis le MISP, fusionne les scores dans le modèle de risque de RADAR et ouvre automatiquement des cas d'incident Flowintel structurés — aucune intervention manuelle du SOC n'est nécessaire
SONAR — un moteur de détection d'anomalies multivariées pour Wazuh, alimenté par l'algorithme d'apprentissage profond MTAD-GAT, doté d'un système de scénarios basé sur YAML pour des workflows de détection reproductibles et sans code, ainsi que d'un mode de débogage pour les cycles d'entraînement et de détection hors ligne sans instance Wazuh activeles without a live Wazuh instance
SATRAP-DL (v0.4) présente l'autre facette de cette intégration :
DECIPHER — un microservice REST open source permettant l'évaluation automatisée de la gravité et de la fiabilité des alertes de sécurité sur la base d'indicateurs de compromission (IOC), s'appuyant sur la « cyber threat intelligence » MISP et la création priorisée de dossiers Flowintel
PyFlowintel — une bibliothèque Python épurée encapsulant l'API Flowintel, permettant la gestion programmatique des dossiers
Déploiement en une seule commande de la pile complète : DECIPHER + MISP + Flowintel
Ensemble, ces deux versions bouclent le cycle MAPE-K de bout en bout : RADAR détecte une menace → DECIPHER l'enrichit avec des informations de renseignement sur le cybercrime (CTI) en temps réel → un score de risque déclenche la réponse automatisée appropriée → un dossier d'incident Flowintel classé par ordre de priorité est ajouté à la file d'attente de l'analyste. Entièrement open source.
Nous sommes ravis d'annoncer la sortie de C5-DEC CAD v1.2, notre boîte à outils open source dotée d'IA, destinée à la conception sécurisée, au développement et à l'évaluation de systèmes, assistés par ordinateur.
C5-DEC CAD regroupe les outils des Critères communs (CC), la traçabilité SSDLC, les workflows de conformité, l'évaluation de la sécurité des systèmes cyber-physiques, la cryptographie et la gestion des ressources au sein d'une plateforme centrée sur un référentiel unique.
C5-DEC CAD aide les équipes à mettre en œuvre un cycle de travail complet de sécurité intégrée en un seul et même endroit :
Assistance technique pour les Critères communs, avec des flux de travail structurés pour les connaissances et les spécifications
Exigences de bout en bout, artefacts de conception, tests et traçabilité intégrés à notre sous-système SpecEngine
Outils SSDLC pratiques pour la conformité, la modélisation des menaces, l'analyse des risques, la documentation et la génération de preuves via notre DocEngine
Nouveautés de la version 1.2 :
Module de conformité CRA : liste de contrôle de l'annexe I, génération de la documentation technique de l'annexe VII, déclaration de conformité UE de l'annexe V, avec prise en charge des classes « Default », « Class I », « Class II » et « Critical »
Gestion du cycle de vie des SBOM : génération basée sur Syft (CycloneDX/SPDX), validation, comparaison, traçabilité et vérification croisée CRA
Module de cryptographie natif : PQC, contrôles d'intégrité SHA-256, signature/chiffrement GnuPG, partage de secrets de Shamir et signatures numériques
CPSSA étendu : génération de modèles de menaces (compatible OWASP pytm/Threagile), analyse quantitative des risques basée sur FAIR, rapports basés sur STRIDE
Améliorations de SpecEngine et DocEngine : visualisation plus riche de la traçabilité, navigateur de spécifications interactif, statistiques de traçabilité, pipeline de rendu Mermaid, utilitaires d'hygiène des artefacts de conception et modèles de rapports/présentations prêts pour le CRA
Également dans la version 1.2 : finalisation du contenu de la base de connaissances CC:2022, renforcement de la sécurité de Docker et extension considérable de la suite de tests.
La loi NIS 2 et une loi sur la résilience ont enfin été adoptées aujourd'hui, à l'unanimité, par le Parlement luxembourgeois. À partir du 10 mai, toutes les entités privées considérées comme importantes ou essentielles (c'est à elles de le déterminer, voir le lien ci-dessous) et toutes les entités publiques (toutes, y compris les communes, les syndicaux, les ministères…) DOIVENT disposer d'une appréciation des risques et d'un plan de traitement des risques approuvés par la direction, ainsi que de plusieurs politiques visant à renforcer la cybersécurité, adressant la gestion des actifs, la sécurité des ressources humaines, le contrôle d'accès,… Un travail colossal pour lequel itrust consulting est prêt à vous aider. Voici notre stratégie : tout d'abord un plan de traitement des risques de haut niveau pour se mettre en conformité après une semaine, puis une version affinée et améliorée à soumettre au régulateur, ces deux tâches pouvant être réalisées grâce à nos outils gratuits OpenTRICK and OpenARIANA.
Interview avec LG.
Les administrations communales sont-elles préparées face aux défis de la cybersécurité et de la loi NIS2 ? Comment s’y prendre ? Interview avec Lynn Pinto, DPO, Camar Houssein, responsable SECaaS, et Carlo Harpes, gérant de l’itrust consulting s.à r.l. et président du comité (luxembourgeois) de normalisation en sécurité.
Comment les administrations ont-elles été préparées à ce nouveau défi ?
Carlo : Le texte de la directive NIS2 est publié depuis 2022 ; le Luxembourg a choisi l’option d’une transposition aussi simple et minimaliste que possible ; toutes les entités pratiquant les soumissions publiques sont visées ; elles devront maîtriser les risques de cybersécurité, reporter leurs dépendances, l’état de leur sécurité et le résultat de leur traitement des risques à l’ILR. En plus, elles doivent remonter les incidents et peuvent recevoir des injonctions de l’ILR, si nécessaire pour maîtriser des risques.
Le ministre Léon Gloden, les a encouragés à prendre ce défi au sérieux, à ne pas attendre la loi pour se préparer. Le lendemain du vote, chaque entité doit avoir une analyse de risque approuvée qui justifie qu’elle a trouvé le bon équilibre entre investir en mesures de sécurité et accepter des risques résiduels ; elle doit montrer régulièrement son plan d’amélioration à l’ILR.
Que reste à faire par les entités ?
Camar : Nous sommes d’accord avec l’ILR que la loi NIS2 n’exige rien de plus qu’un dirigeant responsable. Pourtant il impose une politique de sécurité des ressources humaines, une gestion (formalisée) des accès, une gestion des actifs, c’est-à-dire une inventorisation, classification et attribution de responsabilité liée à ces actifs, et le plus dur, une appréciation et un traitement des risques tenant compte des normes en vigueur, virtuellement inconnues dans le secteur. Nous pouvons facilement former une personne à estimer les risques, mais cette estimation reste incertaine, même pour un expert. Mon responsable dit toujours que mener une analyse de risque est un art plutôt qu’une science, car ce processus doit produire des résultats argumentés et « reproductibles ».
Les administrations qui sont déjà conformes au RGPD ont-elles une longueur d’avance ?
Lynn : Oui clairement, encore trouvons-nous toujours des entités qui y sont mal préparées : sans registre des activités de traitement ou avec registre incomplet, sans notice d’information facilement accessible aux personnes concernées, et ceci après 7 ans d’entré en vigueur et une CNPD qui a engagé plus de 60 fonctionnaires pour contrôler et enseigner. Récemment nous sommes encore tombés sur des secrétaires communaux qui sont aussi DPO, donc en situation de conflit d’intérêts, ce qui montre l’insouciance des décideurs à respecter les lois et règlements.
Qui en est responsable ?
Carlo : Le Collège du bourgmestre et des échevins, bien que nous ayons souvent de la compassion pour eux, tant ils sont submergés par ce type d’exigences. Notez que plus de 100 décideurs politiques communaux ont démissionné depuis le début du mandat il y a 3 ans. Ils ne peuvent pas maîtriser tout domaine technique et le personnel en place est réticent aux changements, et refuse parfois à accepter des responsabilités, et ce malgré une sécurité d’emploi extraordinaire. A ceci s’ajoute un support trop rudimentaire des entités institutionnelles, l’autonomie communale étant une excuse partiellement valable. Et pour NIS2, une liste d’exigences du régulateur mal élaborée.
Pouvez-vous illustrer cette spécificité luxembourgeoise ?
Camar : NIS2 exige de s’orienter vers les normes de sécurité en vigueur pour trouver les bonnes protections. Ces mesures nous sont bien connues, et souvent déjà implémentées par nos clients : il s’agit d’ISO/IEC 27002 pour les mesures générales, 27001 pour le management la gouvernance, 27701 pour la protection des données, 22301 pour la continuité, aujourd’hui appelée résilience… Ces connaissances n’existent pas dans l’outil d’analyses de risques promu par l’ILR et chaque entité devra les étudier et ajouter manuellement. Alors qu’on pourrait laisser un libre choix sur l’outil comme le fait la CSSF, l’ILR impose un format très particulier, défini par un outil luxembourgeois et une guidance qui présente des signes d’immaturité. Les opérateurs d’électricité en Allemagne se sont engagés à une certification indépendante basée sur 27001, 27002, 27019, par des entités accréditées par l’État. Ceci crée un écosystème avec des mécanismes de contrôle bien rodé (par L’OLAS), à des prix similaires, mais avec des garanties et un niveau de sécurité bien supérieur à nos auto-évaluations.
Autre problème, cette auto-évaluation n’utilise pas la norme 27002, mais un guide européen peu répandu et n’est pas intégrée dans l’outil d’analyse de risque.
Comme intensifier la collaboration ?
Carlo : Un modèle de collaboration est notre projet commun pour Diekirch et Ettelbruck qui mutualisent les coûts de notre assistance CISO, et qui sont déjà conformes pour les services industriels. Certaines autres veulent mutualiser un poste de CISO tout comme certaines mutualisent déjà le service agent municipal.
Nous avons aussi proposé à l’ILNAS de créer un comité de normalisation pour les Communes, de façon que le secteur élabore des bases communes pour leurs activités, non seulement en cybersécurité.
Finalement l’ILR a annoncé de se concerter avec les prestataires de service en cybersécurité qui sont les accélérateurs pour la mise en œuvre et les concepteurs de solutions plus performantes que ceux actuellement en place, mais cette collaboration n’a jamais démarré.
Que reste-t-il à produire pour NIS2, si le RGPD est déjà implémenté ?
Lynn : Il « suffit » de généraliser la procédure des gestions des incidents, de créer ou planifier un système de gestion de la sécurité, donc une organisation avec idéalement la désignation d’un CISO interne ou externe qui surveille la sécurité dans l’IT et les métiers, de former les dirigeants, de mettre en applications quelques politiques de sécurité supplémentaires inspirées des normes et façonnées au besoin d’une petite administration, puis de documenter et de gérer les risques.
Quel en est le prix à payer pour la conformité à NIS2 ?
Camar : Il est simple de devenir « conforme », à condition que le personnel accepte de nouvelles responsabilités, est disponible en moyenne une journée pour y être formé et lire la documentation, contribue à remonter les problèmes et les corriger. Et de disposer d’un budget de 15 à 30 k€ d’assistance externe pour créer une documentation initiale, coacher le personnel, et guider les dirigeants dans le traitement des risques.
Mais conforme ne veut pas dire sécurisé, et accepter une responsabilité ne veut pas dire avoir le temps et les compétences pour prendre les bonnes décisions. Atteindre un bon niveau de sécurité peut prendre des années, mais NIS2 n’impose pas de délai. En d’autres mots, la conformité NIS2 n’assure pas la sécurité, mais permet aux dirigeants de prendre les bonnes décisions pour plus de cybersécurité.
Quelles expériences avez-vous pu collecter ?
Carlo : Après 15 analyses soumises à l’ILR, nous connaissons leurs méthodes et exigences. Ayant implémenté la protection des données auprès de 15 communes avec des budgets limités, nous connaissons le contexte, et nous avons réussi de les mettre en conformité.
Nous avons conçu un outil gratuit, OpenTRICK, pour simplifier la gestion des risques. Il importe les actifs de notre inventaire ; il documente les paramètres de risques, le niveau de conformité pour le plan de traitement des risques et pour l’auto-évaluation, il exporte les informations dans le format et la précision demandée de l’ILR. Il facilite le suivi dans un outil de tickets, comme Redmine, soit in-house ou dans un espace hébergé chez nous : redmine.opentrick.eu.
L’observation de règles de sécurité nécessite cependant un effort et une attention supplémentaire, mais à voir les vulnérabilités et pratiques actuelles, les améliorations demandées valent bien leur prix.
Et l’intelligence artificielle (IA) est-elle utile ici ?
Lynn : Dans le cadre de CyFORT, nous offrons bientôt une IA gratuite pour les administrations communales pour les aider à inventorier les actifs IT et améliorer les documents, pour les entraîner et encourager l’interopérabilité entre communes, plutôt qu’avec des multinationales.
itrust consulting a bénéficié des IA à plusieurs niveaux : pour améliorer notre documentation, dans notre outil RADAR, pour trouver les premières traces d’un piratage… Mais le plus préoccupant demeure les avantages qu’en tirent les fraudeurs : Les arnaques deviennent de plus en plus sophistiquées et personnalisées sur les faiblesses des victimes.
Quels sont les plus grands défis en matière de cybersécurité ?
Carlo : Conformité n’est pas sécurité. Il est simple de se mettre en conformité, il est difficile et coûteux de sécuriser une infrastructure. Nous préconisons les quick-win : la formation du personnel, les vérifications indépendantes de la configuration des systèmes, le recours à des logiciels libres et ainsi l’investissement en compétences locales plutôt qu’en licence IT de produits IT mal exploités.
Le plus difficile est de changer les habitudes, d’accepter qu’on doive justifier ses choix, de remplacer la confiance par des vérifications, surtout en matière de gestion de l’IT où les erreurs sont simplement humaines, et souvent facilitées par un manque de temps. Voilà pourquoi, le secteur doit collaborer et chercher des synergies.
Article pour Lëtzebuerger Gemengen
Alors que la directive NIS2 impose aux organisations européennes un niveau de maturité nettement plus élevé en matière de surveillance de sécurité, les PME se retrouvent face à un défi disproportionné : répondre aux obligations de détection, de remédiation et de documentation, tout en fonctionnant avec des ressources limitées. Dans ce contexte, itrust Abstractions Lab et itrust consulting introduit une pile technologique ouverte articulée autour de deux systèmes complémentaires développés dans le contexte du projet CyFORT.
Pour lire tout l'article, cliquez ici.
Abstractions Lab annonce la publication de la version 0.6 d'IDPS-ESCAPE, désormais disponible sur GitHub. Cette version poursuit l'évolution initiée avec l'introduction du sous-système RADAR dans la version 0.4 et renforce considérablement la position d'IDPS-ESCAPE en tant que plateforme SOAR (Security Orchestration, Automation, and Response) ouverte, modulaire et axée sur la recherche.
Après l'extension fonctionnelle apportée tout au long de la série v0.5, la version v0.6 met l'accent sur la consolidation, la robustesse et la maintenabilité. Cette version améliore les scénarios opérationnels de RADAR, renforce la transparence grâce à une documentation détaillée et refactorise la couche d'automatisation afin de prendre en charge l'évolution à long terme et la reproductibilité. L'ensemble de scénarios actuel comprend la détection basée sur les signatures pour les connexions suspectes, la détection basée sur une liste blanche GeoIP et un scénario de détection des anomalies utilisant RRCF pour surveiller les changements de volume des journaux.
Cliquez ici pour lire l'article complet
|
Nous vous souhaitons de paisibles fêtes de Noël et une bonne année 2026 L’envoi de nos voeux par mail nous permet de reverser notre
|
|
|
La CNIL¹ a publié une étude intitulée « Quels bénéfices économiques du DPO en entreprise ? », qui montre que la désignation d'un délégué à la protection des données (DPO) n’est pas seulement une obligation ou une protection juridique : c’est aussi un levier économique pour l’entreprise.
Voici un aperçu des principaux avantages identifiés par l'étude :
Trouvez l’étude complète de la CNIL ici : https://www.cnil.fr/fr/quels-benefices-economiques-du-dpo-en-entreprise
[1] La Commission Nationale de l'Informatique et des Libertés est l'autorité française chargée de la protection des données.
Risk-aware Anomaly Detection-based Automated Response (Réponse automatisée basée sur la détection des anomalies et la prise en compte des risques)
L'équipe IDPS-ESCAPE est heureuse d'annoncer une mise à jour majeure du sous-système RADAR, qui offre de nouvelles capacités SOAR pour la détection et la réponse automatisées aux menaces dans les centres d'opérations de sécurité (SOC) modernes.
Cliquez ici pour lire l'article complet
itrust consulting est heureux d'annoncer le lancement de Whistleblowing as a Service. WBaaS garantit un moyen de signaler les violations de la loi au sein d'une entreprise sans répercussions pour l'employé, assurant ainsi la conformité à la loi du 16 mai 2023 concernant les entreprises de plus de 50 employés et les communes de plus de 10 000 habitants.
Le service comprend la mise en place d'un canal interne, et notre expert examinera tous les signalements effectués via la plateforme afin de vérifier l'anonymisation et la clarté des informations fournies. Seules les personnes autorisées et mandatées de l'organisation ciblée ont accès au signalement. Il est possible d'effectuer un signalement par téléphone ou lors d'une réunion, mais la méthode la plus simple consiste à le remplir sur la plateforme, qui garantit les normes de sécurité les plus élevées.
Pour plus d’informations, cliquez ici.
