Parcourir les docs

Fonctionnalités

Des flux de menaces organisés au lieu de listes brutes risquées

Comment Cybora dérive un flux de menaces prêt pour le pare-feu à partir d'OSINT, de flux commerciaux, de capteurs et de signaux réels.

Dernière mise à jour: 26 juin 2026

Sur cette page

Un bon flux de pare-feu ne consiste pas simplement à avoir la plus grande liste possible. Les données brutes contiennent des doublons, des entrées obsolètes, des sources contradictoires, des catégories peu claires et des signaux trop risqués pour un blocage de la production. Cybora organise ces signaux avant de les transmettre sous forme de flux.

La curation est la valeur réelle du service. Cela réduit le travail qu’un administrateur devrait autrement effectuer manuellement : comparer les sources, normaliser les entrées, supprimer les données obsolètes, vérifier les cibles à risque et transformer le résultat dans un format que le pare-feu peut réellement utiliser.

La chaîne de conservation

Cybora suit une chaîne technique simple :

Source -> observed behavior -> independent evidence -> confidence -> collateral damage -> aging -> feed delivery

Cette chaîne est volontairement plus forte qu’une seule signal de réputation. Un indicateur devient plus précieux lorsqu’il est récent, observé à plusieurs reprises, lié à un comportement clair et ne crée pas de risque évident pour l’infrastructure commerciale légitime.

Le contexte comportemental est déterminant. Une IP n’est pas simplement « mauvaise » parce qu’elle apparaît dans une liste. Ce qui compte, c’est de savoir si l’entreprise se démarque grâce à l’analyse, aux tentatives d’exploitation, aux communications par botnet, au phishing, à la diffusion de logiciels malveillants ou aux attaques répétées d’identifiants. Plus d’informations à ce sujet sont documentées dans Signaux basés sur le comportement.

Pourquoi les listes brutes sont problématiques

Les listes publiques peuvent être très utiles, mais elles sont rarement optimisées directement pour les politiques de pare-feu de production. Les problèmes courants incluent :

  • adresses IP ou domaines obsolètes qui sont désormais utilisés légitimement
  • types d’indicateurs mixtes dans un seul fichier
  • informations manquantes sur la fraîcheur du signal
  • trop peu de contexte pour l’hébergement mutualisé, les CDN ou les fournisseurs de cloud
  • des listes plus grandes que la capacité de certains modèles de pare-feu

Cybora n’accepte pas aveuglément de telles sources. Ils sont traités comme des signaux d’entrée et non comme des listes de blocage terminées.

Quelles sources sont incluses

Cybora continue d’utiliser les listes publiques OSINT et les flux commerciaux de renseignements sur les menaces comme signaux d’entrée importants. Ils sont complétés par des données de pots de miel et de capteurs propriétaires, de véritables signaux de pare-feu provenant des environnements de production participants et des signaux d’identité soigneusement évalués tels que des échecs répétés de connexions au cloud dans plusieurs environnements indépendants.

Chaque source a des forces et des limites. OSINT peut être large et rapide, mais obsolète ou peu contextuel. Les flux commerciaux ajoutent une couverture, mais ne sont pas non plus automatiquement prêts pour le pare-feu. Les pots de miel détectent les premiers bruits Internet, les vrais pare-feu montrent la réalité du périmètre de production et les signaux d’identité peuvent indiquer une pulvérisation de mots de passe ou un bourrage d’informations d’identification.

Cybora traite donc ces sources comme des signaux et non comme des décisions finales. Ils deviennent précieux grâce à la normalisation, la déduplication, la corrélation, l’évaluation de la fraîcheur et la vérification si un indicateur peut être utilisé dans une politique de pare-feu de production avec un risque acceptable.

Ce qui reste public et ce qui reste interne

Le principe public est important : Cybora combine plusieurs types de signaux, en vérifie la pertinence et ne fournit que des indicateurs prêts pour le pare-feu. Les pondérations concrètes, les seuils, les priorités des sources et les détails de chaque partenaire restent internes. Cela permet de garder le processus compréhensible sans exposer la logique de conservation réelle.

Le format de sortie technique est documenté dans Format de l’URL du flux et clé de licence.