|
 |
|
|
|
BeFresh, qui compte plus de 300 clients, est fière d'annoncer la certification ISO/IEC 27001:2022 de son système de management de la sécurité de l'information (SMSI) couvrant toutes ses activités, y compris le développement de logiciels comme les outils de facturation électronique, l'hébergement SaaS, l'exploitation d'un point d'accès certifié Peppol, hébergé dans un cloud privé au Luxembourg.
Benoît Frisch, directeur général : « Je suis vraiment satisfait de la rapidité avec laquelle nous avons atteint cet objectif — en moins de six mois —, ce qui inclut la mise en place d’un système de gestion de la sécurité de l’information SMSI, sa certification, des tests d’intrusion, ainsi que la mise en conformité avec le RGPD et la directive NIS2. Ce rythme remarquable a été en grande partie rendu possible grâce à l’expertise en sécurité d’itrust consulting et à la sécurité cloud offerte par Deep. »
Anna Chezganova, chef de projet chez itrust consulting, à propos de cette certification : « J'ai été ravie de mettre à profit les années d'expérience d'itrust consulting dans le cadre d'un projet conduit avec efficacité qui nous a permis d'obtenir la certification seulement six mois après son lancement. »
Carlo Harpes, CISO externe : « Une telle réussite n'est possible que grâce aux compétences en matière de gestion, d'informatique, de développement et de sécurité de tous les collaborateurs de BeFresh, qui ont permis des processus décisionnels rapides. »
Abdessamad Kahir, auditeur principal chez Certi-Trust : « Cet audit de certification a été très agréable, non seulement parce qu'il a été couronné de succès, mais aussi parce que la plupart des preuves requises nous ont été fournies de manière proactive et que nous avons reçu des réponses rapides et pertinentes à toutes nos questions. »
BeFresh est une société basée au Luxembourg, spécialisée dans la transformation numérique, notamment les ERP, les CRM et la facturation en tant que service, ainsi que dans le développement de solutions logicielles personnalisées. Fondée en 2019 et basée à Kockelscheuer, elle se positionne comme un partenaire technologique pour les organisations qui cherchent à moderniser leurs flux de travail, avec une expertise dans le domaine de l'automatisation des processus de facturation.
PME luxembourgeoise créée il y a 18 ans, spécialisée dans les systèmes de sécurité de l'information, itrust consulting aide ses clients des secteurs public et privé à protéger leurs informations contre toute divulgation, manipulation et indisponibilité. Ses services concernent la création, la mise en œuvre et l'audit de systèmes de gestion de la sécurité de l'information, l'évaluation et le traitement des risques à l'aide de son propre outil OpenTRICK, le déploiement d'experts en sécurité en cas de besoin (SECaaS, ou Security as a Service), le piratage à la demande des clients, la gestion des incidents de cybersécurité (voir malware.lu CERT) ou la conception et l'exploitation de solutions de sécurité pour les TIC telles que Wazuh, RADAR, C5‑DEC…
Nous sommes ravis d’annoncer le lancement de hestIA, un assistant IA d’entreprise conçu pour les organisations qui ont besoin de capacités d’IA souveraines, vérifiables et à accès contrôlé, sans avoir à recourir à des prestataires externes
Le nom hestIA est tiré d’Hestia, la déesse grecque du foyer. Vénérée pour la bonté de sa nature modeste et son rôle de gardienne de la flamme sacrée, Hestia symbolise un lieu de sécurité, de gestion responsable et de confiance. Dans le même esprit, notre plateforme est conçue pour maintenir les activités de votre organisation en toute sécurité au sein de notre infrastructure — en gardant efficacement votre travail « chez nous », où vos données sont protégées, gérées et toujours sous votre contrôle.
hestIA offre une interface conversationnelle intuitive — comparable à ChatGPT ou Microsoft Copilot — disponible dès aujourd’hui sous forme de service hébergé sur une infrastructure basée au Luxembourg et exploitée par itrust consulting. Contrairement aux services d’IA à usage général, hestIA ne transmet pas de données à des fournisseurs d’IA externes : toutes les inférences du modèle sont effectuées sur les propres systèmes d’itrust consulting.
Au-delà des capacités d'IA à usage général, hestIA permet aux organisations de créer et de gérer des collections de documents structurés que le système interroge à l'aide de la génération augmentée par la recherche (RAG). Les réponses s'appuient sur les documents propres à l'organisation et incluent des citations en ligne, offrant ainsi aux utilisateurs un lien clair et vérifiable entre les réponses et leurs sources.
hestIA est hébergé sur une infrastructure située au Luxembourg, au sein de l'Union européenne. L'ensemble du traitement — inférence de modèles, indexation de documents et traitement des requêtes — est effectué sur les propres systèmes d'itrust consulting. Aucune donnée n'est transmise à des fournisseurs externes d'IA, ce qui fait de hestIA une solution conçue pour aider les organisations traitant des données au sein de l'UE à se conformer au RGPD. Les organisations utilisant le service au-delà de la phase d'évaluation sont régies par un accord de traitement des données (DPA) conclu avec itrust consulting, établissant une relation de traitement des données claire et vérifiable.
Les organisations peuvent créer et gérer des collections de documents couvrant n'importe quel domaine d'activité. Lorsque les utilisateurs posent des questions, hestIA extrait les passages pertinents de ces collections et renvoie des réponses accompagnées de citations directes vers les documents sources. Les formats de fichiers pris en charge incluent PDF, DOCX, XLSX/XLSM, PPTX, TXT et CSV.
L'accès aux documents est automatiquement contrôlé au moment de la requête en fonction de niveaux de classification alignés sur les politiques de gouvernance de l'information propres à l'organisation — tels que public, interne, confidentiel ou restreint. Les bases de connaissances peuvent être partagées avec des organisations partenaires ou d'autres locataires, ce qui permet un échange de connaissances interorganisationnel contrôlé tout en conservant l'autorité totale.
Le service est disponible en français, en allemand et en anglais. Les utilisateurs peuvent interagir avec hestIA dans la langue de leur choix, et les collections de documents peuvent être classées par langue afin de garantir que les requêtes soient associées au contenu approprié. Une piste d'audit complète enregistre toutes les activités, répondant ainsi aux exigences en matière de responsabilité et de contrôle.
hestIA est disponible dès aujourd'hui. Les organisations peuvent s'inscrire pour accéder immédiatement à la plateforme à des fins de test et d'évaluation. L'utilisation officielle est régie par un accord de traitement des données (DPA) disponible sur demande. Pour toute question, veuillez contacter info@itrust.lu.
Le code source de hestIA sera rendu public dans un avenir proche, ce qui permettra à toute organisation d'héberger la plateforme de manière indépendante.
Les fonctionnalités suivantes sont prévues pour les prochaines versions :
Gestion de l'inventaire des actifs : taxonomie et ontologie conformes aux normes ISO 55000:2024 et ISO/IEC 27001, permettant la classification des actifs, la vérification de la cohérence, la validation de l'inventaire et le suivi du cycle de vie
Pipeline de génération de documents : production efficace de documents administratifs à partir de modèles approuvés et de la base de connaissances de l'organisation
Agent d'assistance à l'audit : audit assisté par l'IA par rapport à des normes et des cadres configurables, couvrant l'identification des écarts, la détection des non-conformités et les suggestions d'atténuation
La plateforme est cofinancée par le ministère des Affaires étrangères. Son utilisation est gratuite pendant la phase pilote, qui s'étend jusqu'à mi-2027. À l'issue de cette phase, le coût sera inclus dans l'offre de services comprenant OpenTRICK et l'hébergement sur notre plateforme cloud.itrust.lu, pour un coût total de 100 € par mois.
Nous sommes heureux d'annoncer deux nouvelles versions open source qui, ensemble, complètent un pipeline d'opérations de sécurité entièrement automatisé et guidé par l'intelligence, bouclant ainsi la boucle entre la détection et la réponse aux menaces, à la fois basées sur des règles et guidées par l'IA.
IDPS-ESCAPE (v0.7 + v0.8) marque la plus importante avancée fonctionnelle depuis le lancement de RADAR :
Moteur de risque RADAR — un modèle de fusion pondérée fondé sur des principes qui combine les signaux de détection d'anomalies, le risque basé sur les signatures et les scores CTI en temps réel pour générer une réponse automatisée en trois étapes : notification, correction avec création d'un dossier et isolation complète d’un système hôte
Intégration de DECIPHER — un client pleinement opérationnel qui interroge le CTI depuis le MISP, fusionne les scores dans le modèle de risque de RADAR et ouvre automatiquement des cas d'incident Flowintel structurés — aucune intervention manuelle du SOC n'est nécessaire
SONAR — un moteur de détection d'anomalies multivariées pour Wazuh, alimenté par l'algorithme d'apprentissage profond MTAD-GAT, doté d'un système de scénarios basé sur YAML pour des workflows de détection reproductibles et sans code, ainsi que d'un mode de débogage pour les cycles d'entraînement et de détection hors ligne sans instance Wazuh activeles without a live Wazuh instance
SATRAP-DL (v0.4) présente l'autre facette de cette intégration :
DECIPHER — un microservice REST open source permettant l'évaluation automatisée de la gravité et de la fiabilité des alertes de sécurité sur la base d'indicateurs de compromission (IOC), s'appuyant sur la « cyber threat intelligence » MISP et la création priorisée de dossiers Flowintel
PyFlowintel — une bibliothèque Python épurée encapsulant l'API Flowintel, permettant la gestion programmatique des dossiers
Déploiement en une seule commande de la pile complète : DECIPHER + MISP + Flowintel
Ensemble, ces deux versions bouclent le cycle MAPE-K de bout en bout : RADAR détecte une menace → DECIPHER l'enrichit avec des informations de renseignement sur le cybercrime (CTI) en temps réel → un score de risque déclenche la réponse automatisée appropriée → un dossier d'incident Flowintel classé par ordre de priorité est ajouté à la file d'attente de l'analyste. Entièrement open source.
Nous sommes ravis d'annoncer la sortie de C5-DEC CAD v1.2, notre boîte à outils open source dotée d'IA, destinée à la conception sécurisée, au développement et à l'évaluation de systèmes, assistés par ordinateur.
C5-DEC CAD regroupe les outils des Critères communs (CC), la traçabilité SSDLC, les workflows de conformité, l'évaluation de la sécurité des systèmes cyber-physiques, la cryptographie et la gestion des ressources au sein d'une plateforme centrée sur un référentiel unique.
C5-DEC CAD aide les équipes à mettre en œuvre un cycle de travail complet de sécurité intégrée en un seul et même endroit :
Assistance technique pour les Critères communs, avec des flux de travail structurés pour les connaissances et les spécifications
Exigences de bout en bout, artefacts de conception, tests et traçabilité intégrés à notre sous-système SpecEngine
Outils SSDLC pratiques pour la conformité, la modélisation des menaces, l'analyse des risques, la documentation et la génération de preuves via notre DocEngine
Nouveautés de la version 1.2 :
Module de conformité CRA : liste de contrôle de l'annexe I, génération de la documentation technique de l'annexe VII, déclaration de conformité UE de l'annexe V, avec prise en charge des classes « Default », « Class I », « Class II » et « Critical »
Gestion du cycle de vie des SBOM : génération basée sur Syft (CycloneDX/SPDX), validation, comparaison, traçabilité et vérification croisée CRA
Module de cryptographie natif : PQC, contrôles d'intégrité SHA-256, signature/chiffrement GnuPG, partage de secrets de Shamir et signatures numériques
CPSSA étendu : génération de modèles de menaces (compatible OWASP pytm/Threagile), analyse quantitative des risques basée sur FAIR, rapports basés sur STRIDE
Améliorations de SpecEngine et DocEngine : visualisation plus riche de la traçabilité, navigateur de spécifications interactif, statistiques de traçabilité, pipeline de rendu Mermaid, utilitaires d'hygiène des artefacts de conception et modèles de rapports/présentations prêts pour le CRA
Également dans la version 1.2 : finalisation du contenu de la base de connaissances CC:2022, renforcement de la sécurité de Docker et extension considérable de la suite de tests.
La loi NIS 2 et une loi sur la résilience ont enfin été adoptées aujourd'hui, à l'unanimité, par le Parlement luxembourgeois. À partir du 10 mai, toutes les entités privées considérées comme importantes ou essentielles (c'est à elles de le déterminer, voir le lien ci-dessous) et toutes les entités publiques (toutes, y compris les communes, les syndicaux, les ministères…) DOIVENT disposer d'une appréciation des risques et d'un plan de traitement des risques approuvés par la direction, ainsi que de plusieurs politiques visant à renforcer la cybersécurité, adressant la gestion des actifs, la sécurité des ressources humaines, le contrôle d'accès,… Un travail colossal pour lequel itrust consulting est prêt à vous aider. Voici notre stratégie : tout d'abord un plan de traitement des risques de haut niveau pour se mettre en conformité après une semaine, puis une version affinée et améliorée à soumettre au régulateur, ces deux tâches pouvant être réalisées grâce à nos outils gratuits OpenTRICK and OpenARIANA.
Interview avec LG.
Les administrations communales sont-elles préparées face aux défis de la cybersécurité et de la loi NIS2 ? Comment s’y prendre ? Interview avec Lynn Pinto, DPO, Camar Houssein, responsable SECaaS, et Carlo Harpes, gérant de l’itrust consulting s.à r.l. et président du comité (luxembourgeois) de normalisation en sécurité.
Comment les administrations ont-elles été préparées à ce nouveau défi ?
Carlo : Le texte de la directive NIS2 est publié depuis 2022 ; le Luxembourg a choisi l’option d’une transposition aussi simple et minimaliste que possible ; toutes les entités pratiquant les soumissions publiques sont visées ; elles devront maîtriser les risques de cybersécurité, reporter leurs dépendances, l’état de leur sécurité et le résultat de leur traitement des risques à l’ILR. En plus, elles doivent remonter les incidents et peuvent recevoir des injonctions de l’ILR, si nécessaire pour maîtriser des risques.
Le ministre Léon Gloden, les a encouragés à prendre ce défi au sérieux, à ne pas attendre la loi pour se préparer. Le lendemain du vote, chaque entité doit avoir une analyse de risque approuvée qui justifie qu’elle a trouvé le bon équilibre entre investir en mesures de sécurité et accepter des risques résiduels ; elle doit montrer régulièrement son plan d’amélioration à l’ILR.
Que reste à faire par les entités ?
Camar : Nous sommes d’accord avec l’ILR que la loi NIS2 n’exige rien de plus qu’un dirigeant responsable. Pourtant il impose une politique de sécurité des ressources humaines, une gestion (formalisée) des accès, une gestion des actifs, c’est-à-dire une inventorisation, classification et attribution de responsabilité liée à ces actifs, et le plus dur, une appréciation et un traitement des risques tenant compte des normes en vigueur, virtuellement inconnues dans le secteur. Nous pouvons facilement former une personne à estimer les risques, mais cette estimation reste incertaine, même pour un expert. Mon responsable dit toujours que mener une analyse de risque est un art plutôt qu’une science, car ce processus doit produire des résultats argumentés et « reproductibles ».
Les administrations qui sont déjà conformes au RGPD ont-elles une longueur d’avance ?
Lynn : Oui clairement, encore trouvons-nous toujours des entités qui y sont mal préparées : sans registre des activités de traitement ou avec registre incomplet, sans notice d’information facilement accessible aux personnes concernées, et ceci après 7 ans d’entré en vigueur et une CNPD qui a engagé plus de 60 fonctionnaires pour contrôler et enseigner. Récemment nous sommes encore tombés sur des secrétaires communaux qui sont aussi DPO, donc en situation de conflit d’intérêts, ce qui montre l’insouciance des décideurs à respecter les lois et règlements.
Qui en est responsable ?
Carlo : Le Collège du bourgmestre et des échevins, bien que nous ayons souvent de la compassion pour eux, tant ils sont submergés par ce type d’exigences. Notez que plus de 100 décideurs politiques communaux ont démissionné depuis le début du mandat il y a 3 ans. Ils ne peuvent pas maîtriser tout domaine technique et le personnel en place est réticent aux changements, et refuse parfois à accepter des responsabilités, et ce malgré une sécurité d’emploi extraordinaire. A ceci s’ajoute un support trop rudimentaire des entités institutionnelles, l’autonomie communale étant une excuse partiellement valable. Et pour NIS2, une liste d’exigences du régulateur mal élaborée.
Pouvez-vous illustrer cette spécificité luxembourgeoise ?
Camar : NIS2 exige de s’orienter vers les normes de sécurité en vigueur pour trouver les bonnes protections. Ces mesures nous sont bien connues, et souvent déjà implémentées par nos clients : il s’agit d’ISO/IEC 27002 pour les mesures générales, 27001 pour le management la gouvernance, 27701 pour la protection des données, 22301 pour la continuité, aujourd’hui appelée résilience… Ces connaissances n’existent pas dans l’outil d’analyses de risques promu par l’ILR et chaque entité devra les étudier et ajouter manuellement. Alors qu’on pourrait laisser un libre choix sur l’outil comme le fait la CSSF, l’ILR impose un format très particulier, défini par un outil luxembourgeois et une guidance qui présente des signes d’immaturité. Les opérateurs d’électricité en Allemagne se sont engagés à une certification indépendante basée sur 27001, 27002, 27019, par des entités accréditées par l’État. Ceci crée un écosystème avec des mécanismes de contrôle bien rodé (par L’OLAS), à des prix similaires, mais avec des garanties et un niveau de sécurité bien supérieur à nos auto-évaluations.
Autre problème, cette auto-évaluation n’utilise pas la norme 27002, mais un guide européen peu répandu et n’est pas intégrée dans l’outil d’analyse de risque.
Comme intensifier la collaboration ?
Carlo : Un modèle de collaboration est notre projet commun pour Diekirch et Ettelbruck qui mutualisent les coûts de notre assistance CISO, et qui sont déjà conformes pour les services industriels. Certaines autres veulent mutualiser un poste de CISO tout comme certaines mutualisent déjà le service agent municipal.
Nous avons aussi proposé à l’ILNAS de créer un comité de normalisation pour les Communes, de façon que le secteur élabore des bases communes pour leurs activités, non seulement en cybersécurité.
Finalement l’ILR a annoncé de se concerter avec les prestataires de service en cybersécurité qui sont les accélérateurs pour la mise en œuvre et les concepteurs de solutions plus performantes que ceux actuellement en place, mais cette collaboration n’a jamais démarré.
Que reste-t-il à produire pour NIS2, si le RGPD est déjà implémenté ?
Lynn : Il « suffit » de généraliser la procédure des gestions des incidents, de créer ou planifier un système de gestion de la sécurité, donc une organisation avec idéalement la désignation d’un CISO interne ou externe qui surveille la sécurité dans l’IT et les métiers, de former les dirigeants, de mettre en applications quelques politiques de sécurité supplémentaires inspirées des normes et façonnées au besoin d’une petite administration, puis de documenter et de gérer les risques.
Quel en est le prix à payer pour la conformité à NIS2 ?
Camar : Il est simple de devenir « conforme », à condition que le personnel accepte de nouvelles responsabilités, est disponible en moyenne une journée pour y être formé et lire la documentation, contribue à remonter les problèmes et les corriger. Et de disposer d’un budget de 15 à 30 k€ d’assistance externe pour créer une documentation initiale, coacher le personnel, et guider les dirigeants dans le traitement des risques.
Mais conforme ne veut pas dire sécurisé, et accepter une responsabilité ne veut pas dire avoir le temps et les compétences pour prendre les bonnes décisions. Atteindre un bon niveau de sécurité peut prendre des années, mais NIS2 n’impose pas de délai. En d’autres mots, la conformité NIS2 n’assure pas la sécurité, mais permet aux dirigeants de prendre les bonnes décisions pour plus de cybersécurité.
Quelles expériences avez-vous pu collecter ?
Carlo : Après 15 analyses soumises à l’ILR, nous connaissons leurs méthodes et exigences. Ayant implémenté la protection des données auprès de 15 communes avec des budgets limités, nous connaissons le contexte, et nous avons réussi de les mettre en conformité.
Nous avons conçu un outil gratuit, OpenTRICK, pour simplifier la gestion des risques. Il importe les actifs de notre inventaire ; il documente les paramètres de risques, le niveau de conformité pour le plan de traitement des risques et pour l’auto-évaluation, il exporte les informations dans le format et la précision demandée de l’ILR. Il facilite le suivi dans un outil de tickets, comme Redmine, soit in-house ou dans un espace hébergé chez nous : redmine.opentrick.eu.
L’observation de règles de sécurité nécessite cependant un effort et une attention supplémentaire, mais à voir les vulnérabilités et pratiques actuelles, les améliorations demandées valent bien leur prix.
Et l’intelligence artificielle (IA) est-elle utile ici ?
Lynn : Dans le cadre de CyFORT, nous offrons bientôt une IA gratuite pour les administrations communales pour les aider à inventorier les actifs IT et améliorer les documents, pour les entraîner et encourager l’interopérabilité entre communes, plutôt qu’avec des multinationales.
itrust consulting a bénéficié des IA à plusieurs niveaux : pour améliorer notre documentation, dans notre outil RADAR, pour trouver les premières traces d’un piratage… Mais le plus préoccupant demeure les avantages qu’en tirent les fraudeurs : Les arnaques deviennent de plus en plus sophistiquées et personnalisées sur les faiblesses des victimes.
Quels sont les plus grands défis en matière de cybersécurité ?
Carlo : Conformité n’est pas sécurité. Il est simple de se mettre en conformité, il est difficile et coûteux de sécuriser une infrastructure. Nous préconisons les quick-win : la formation du personnel, les vérifications indépendantes de la configuration des systèmes, le recours à des logiciels libres et ainsi l’investissement en compétences locales plutôt qu’en licence IT de produits IT mal exploités.
Le plus difficile est de changer les habitudes, d’accepter qu’on doive justifier ses choix, de remplacer la confiance par des vérifications, surtout en matière de gestion de l’IT où les erreurs sont simplement humaines, et souvent facilitées par un manque de temps. Voilà pourquoi, le secteur doit collaborer et chercher des synergies.
Article pour Lëtzebuerger Gemengen
Alors que la directive NIS2 impose aux organisations européennes un niveau de maturité nettement plus élevé en matière de surveillance de sécurité, les PME se retrouvent face à un défi disproportionné : répondre aux obligations de détection, de remédiation et de documentation, tout en fonctionnant avec des ressources limitées. Dans ce contexte, itrust Abstractions Lab et itrust consulting introduit une pile technologique ouverte articulée autour de deux systèmes complémentaires développés dans le contexte du projet CyFORT.
Pour lire tout l'article, cliquez ici.
Abstractions Lab annonce la publication de la version 0.6 d'IDPS-ESCAPE, désormais disponible sur GitHub. Cette version poursuit l'évolution initiée avec l'introduction du sous-système RADAR dans la version 0.4 et renforce considérablement la position d'IDPS-ESCAPE en tant que plateforme SOAR (Security Orchestration, Automation, and Response) ouverte, modulaire et axée sur la recherche.
Après l'extension fonctionnelle apportée tout au long de la série v0.5, la version v0.6 met l'accent sur la consolidation, la robustesse et la maintenabilité. Cette version améliore les scénarios opérationnels de RADAR, renforce la transparence grâce à une documentation détaillée et refactorise la couche d'automatisation afin de prendre en charge l'évolution à long terme et la reproductibilité. L'ensemble de scénarios actuel comprend la détection basée sur les signatures pour les connexions suspectes, la détection basée sur une liste blanche GeoIP et un scénario de détection des anomalies utilisant RRCF pour surveiller les changements de volume des journaux.
Cliquez ici pour lire l'article complet
|
Nous vous souhaitons de paisibles fêtes de Noël et une bonne année 2026 L’envoi de nos voeux par mail nous permet de reverser notre
|
|
|
La CNIL¹ a publié une étude intitulée « Quels bénéfices économiques du DPO en entreprise ? », qui montre que la désignation d'un délégué à la protection des données (DPO) n’est pas seulement une obligation ou une protection juridique : c’est aussi un levier économique pour l’entreprise.
Voici un aperçu des principaux avantages identifiés par l'étude :
Trouvez l’étude complète de la CNIL ici : https://www.cnil.fr/fr/quels-benefices-economiques-du-dpo-en-entreprise
[1] La Commission Nationale de l'Informatique et des Libertés est l'autorité française chargée de la protection des données.
