Fonctionnalités
Comment un indicateur entre dans le flux
La chaîne de décision Cybora : sources, comportement, corrélation, risque opérationnel, aging et livraison au firewall.
Dernière mise à jour: 29 juin 2026
Sur cette page
Un flux Cybora n’est pas une collection brute d’adresses IP, de domaines et d’URL. Chaque indicateur fourni passe par une évaluation qui relie les signaux de menace techniques à la force exécutoire opérationnelle. Cette chaîne de décision est ce qui sépare une grande liste d’un flux que les administrateurs peuvent défendre dans les politiques de pare-feu de production.
Le principe de base est simple :
Chaîne de décision
Les étapes individuelles sont intentionnellement décrites de manière à ce que les administrateurs puissent les suivre. Les seuils concrets, les poids, les sources partenaires et les règles de notation internes restent protégés car ils font partie de la qualité du flux et ne doivent pas être exploités par des attaquants ou copiés par des concurrents.
1. Les sources fournissent des signaux, pas des décisions finales
Cybora utilise différentes sources de signaux : OSINT, flux commerciaux de renseignements sur les menaces, pots de miel, capteurs, observations réelles de pare-feu provenant d’environnements de production et signaux d’identité soigneusement évalués tels que des échecs répétés de connexions au cloud.
Aucune source n’est parfaite en soi. OSINT peut être large et rapide, mais obsolète ou peu contextuel. Les flux commerciaux ajoutent une couverture, mais ne sont pas automatiquement prêts pour le pare-feu. Les pots de miel détectent les premiers bruits Internet, tandis que les pare-feu de production montrent quelle infrastructure touche de vrais périmètres d’entreprise avec de vrais services.
Cybora traite donc les sources comme des signaux d’entrée. Seules la normalisation, la déduplication, l’évaluation du comportement et la corrélation les transforment en candidats flux utilisables.
2. La normalisation rend les signaux comparables
Avant qu’un signal puisse être évalué, il doit être techniquement classé. Les adresses IP, les domaines et les URL sont des types d’indicateurs différents et appartiennent ensuite à différentes fonctions de pare-feu.
Au cours de cette phase, les signaux sont standardisés, les doublons sont réduits et les problèmes de format évidents sont résolus. Ce n’est pas glamour, mais c’est important : un pare-feu ne peut fonctionner de manière fiable que lorsque le flux est fourni dans un format clair et que chaque indicateur est utilisé au bon endroit.
Pour en savoir plus sur le format de sortie, consultez Format de flux natif du pare-feu.
3. Le comportement explique pourquoi un indicateur est important
Un simple signal de réputation n’en dit pas assez. Pour les politiques de pare-feu de production, le comportement observé est important :
- numérisation de masse
- exploiter les tentatives contre les services exposés
- botnet ou communication de commande et de contrôle
- phishing ou diffusion de logiciels malveillants
- attaques répétées d’identifiants
- activité suspecte sur plusieurs points d’observation
Cette classification rend le flux plus opérationnel. Un administrateur peut mieux comprendre si un indicateur représente un bruit automatisé généralisé, une infrastructure d’attaquant active ou un signal de campagne plus fort.
Plus d’informations à ce sujet sont documentées dans Signaux basés sur le comportement.
4. La corrélation augmente la confiance
Un seul signal peut être du bruit. Un indicateur devient beaucoup plus fort lorsque plusieurs points d’observation indépendants prennent en charge la même infrastructure.
Exemples :
- la même adresse IP apparaît dans OSINT et les flux commerciaux
- un capteur voit l’analyse tandis que les pare-feu de production observent également la même source
- les signaux d’identité se répètent dans des environnements indépendants
- un domaine correspond au comportement de phishing et est également confirmé par des sources supplémentaires
La corrélation ne signifie pas ajouter aveuglément autant de listes que possible. La question clé est de savoir si différents signaux soutiennent de manière plausible et indépendante le même risque.
Plus d’informations à ce sujet sont documentées dans Confirmé sur des points d’observation indépendants.
5. Les dommages collatéraux déterminent l’adéquation du pare-feu
Un indicateur peut être techniquement suspect et néanmoins trop risqué pour un blocage définitif. Cybora traite les éléments suivants avec une prudence particulière :
- grands fournisseurs de cloud et d’hébergement
- CDN et proxys inverses
- SaaS, messagerie, VPN ou infrastructure d’identité partagée
- réseaux de fournisseurs dynamiques
- domaines avec une utilisation principale légitime et des sous-chemins compromis
Plus le risque d’affecter le trafic légitime est élevé, plus les preuves doivent être solides. Il s’agit de l’une des différences les plus importantes entre l’analyse intelligente et un flux pour les politiques de pare-feu de production.
Plus d’informations à ce sujet sont documentées dans Risque de faux positifs inférieur, plus de confiance opérationnelle.
6. Le vieillissement maintient le flux à jour
L’infrastructure des menaces change. Les adresses IP sont réattribuées, les domaines changent de propriétaire, les systèmes compromis sont nettoyés et les anciennes campagnes perdent leur pertinence. Un flux ne s’améliore pas simplement parce qu’il grandit.
Cybora n’évalue donc pas seulement si un indicateur était autrefois suspect. Ce qui compte, c’est l’actualité des données probantes, si elles ont été observées à plusieurs reprises et si le rôle de l’indicateur semble toujours plausible. Les preuves périmées perdent du poids de manière contrôlée.
Plus d’informations à ce sujet sont documentées dans Signaux actuels au lieu de preuves obsolètes.
7. Livraison sous forme de flux prêt pour le pare-feu
Si un indicateur convient au flux concerné, il est fourni dans un format simple prêt pour le pare-feu : un indicateur par ligne, récupérable via HTTPS, séparé en flux IP, domaine et URL.
La position au sein d’un flux peut être comprise comme une priorisation opérationnelle. Les indicateurs présentant des preuves plus solides, une plus grande fraîcheur et des dommages collatéraux attendus moindres sont présentés plus haut dans la liste. Chaque entrée livrée doit toujours répondre aux critères internes du flux concerné.
Le pare-feu récupère le flux selon son propre intervalle d’interrogation et l’utilise dans des fonctions natives de liste externe, de liste dynamique, d’alias ou de flux de menaces.
Ce qui reste volontairement interne
Cybora documente le principe, pas la recette exacte. Restent internes :
- règles concrètes de notation et de pondération
- seuils et fenêtres horaires
- sources de partenaires individuelles et détails des clients
- logique de détection des tentatives d’abus et d’évasion
- règles exactes d’admission, de priorisation et de retrait
Pour les administrateurs, le point clé est le suivant : un indicateur n’entre pas dans le flux simplement parce qu’il a été mentionné quelque part. Il est évalué comme un signal, comparé à d’autres observations, évalué pour son applicabilité en production, puis livré dans un format que les pare-feu peuvent utiliser directement.