Parcourir les docs

Getting Started

Introduction à Cybora

Découvrez ce que fournit Cybora, comment fonctionnent les threat feeds pour firewall et comment déployer Cybora proprement en production.

Dernière mise à jour: 15 juin 2026

Sur cette page

Cybora fournit des flux de threat intelligence sélectionnés pour les firewalls et les équipements de sécurité réseau. Le principe est simple : votre firewall récupère un flux via HTTPS, importe les indicateurs dans un objet ou une liste native, puis utilise cette liste dans la policy.

Cybora complète vos contrôles de sécurité existants. Le service peut réduire l’exposition à des infrastructures malveillantes connues au périmètre, mais il ne remplace pas l’IPS, l’EDR, la sécurité DNS, la supervision SIEM ni une policy firewall revue correctement.

Ce que fournit Cybora

Cybora publie des flux de threat intelligence adaptés aux firewalls sous forme de fichiers TXT servis via HTTPS. La sortie reste volontairement simple : un indicateur par ligne, sans enveloppe spécifique à un fournisseur, payload JSON ou format propriétaire.

Selon votre plan, Cybora peut couvrir des catégories d’indicateurs telles que les adresses IPv4, les domaines et les URLs. Le format de fichier reste identique. Ce qui change, c’est la catégorie d’indicateur dans le flux et la fonctionnalité native du firewall qui le consomme.

La mise en place reste ainsi proche du workflow natif du fournisseur firewall et évite les agents personnalisés ou les intégrations API complexes dans le cas standard. La partie propre au firewall est l’endroit où la configuration se fait dans le produit, pas un format de fichier spécifique à Cybora.

Le schéma de déploiement habituel est le suivant :

  1. Copiez l’URL HTTPS du flux Cybora pour la catégorie d’indicateur couverte par votre plan.
  2. Ajoutez l’URL à la fonctionnalité native de liste externe, alias, liste dynamique ou threat feed du firewall.
  3. Définissez un intervalle de polling compatible avec votre plan Cybora et les recommandations du fournisseur.
  4. Référencez la liste importée dans la policy firewall, DNS, web ou sécurité lorsque la plateforme le permet.
  5. Vérifiez que le firewall peut récupérer le flux TXT, lire les entrées et appliquer l’action prévue.

Concepts communs

La plupart des déploiements Cybora partagent quelques concepts :

  • Une clé de licence identifie l’abonnement au flux. Sauf indication contraire dans votre plan, une clé est prévue pour un équipement firewall ou un edge HA logique.
  • L’URL du flux contient la clé de licence et identifie la catégorie d’indicateur ainsi que le périmètre d’accès.
  • Le firewall interroge l’URL selon un planning récurrent.
  • Le firewall stocke les indicateurs récupérés dans un objet, une liste, un alias, une catégorie ou un objet de flux natif.
  • La policy décide si le trafic correspondant est bloqué, rejeté, journalisé ou seulement surveillé.
  • Un polling excessif peut déclencher une limitation de débit ou un blocage temporaire. L’intervalle de refresh doit donc rester dans les limites autorisées par le plan.

Déploiement recommandé

Commencez par un déploiement contrôlé. Confirmez que le firewall peut atteindre l’URL du flux, importer le nombre attendu d’entrées et référencer l’objet importé dans la policy. Activez la journalisation avant d’appliquer le flux largement.

Lorsque le firewall le permet, commencez en mode monitoring ou avec un périmètre de policy limité. Analysez les correspondances, vérifiez que le trafic critique métier n’est pas affecté, puis passez progressivement au blocage lorsque le comportement est compris.