Parcourir les docs

concepts

Confidentialité et flux de données

Comment Cybora gère généralement le pare-feu de production et les signaux d'identité sans exposer les environnements clients sensibles.

Dernière mise à jour: 29 juin 2026

Sur cette page

Cybora peut évaluer les signaux de renseignement sur les menaces provenant de différentes sources : OSINT, flux commerciaux, pots de miel, capteurs, observations réelles de pare-feu et signaux d’identité sélectionnés. Le pare-feu de production et les signaux de connexion sont particulièrement précieux, mais ils doivent être traités avec un soin particulier.

Le principe est simple : le signal de sécurité est important pour le flux, pas pour l’exposition d’un environnement client.

Quelles données sont techniquement pertinentes

Pour un flux de menaces de pare-feu, les observations permettant d’évaluer l’infrastructure externe sont les plus pertinentes. Les exemples incluent :

  • une adresse IP, un domaine ou une URL externe
  • comportement observé tel que l’analyse, la communication par botnet ou les échecs de connexion répétés
  • horodatage ou fraîcheur de l’observation
  • répétition dans des environnements indépendants
  • contexte technique pertinent pour la confiance et les dommages collatéraux

Les topologies internes des clients, les identités des utilisateurs, les journaux bruts complets ou les détails confidentiels des environnements individuels ne sont pas pertinents pour la diffusion de flux publics.

Minimisation des données et limitation des finalités

Les signaux de production doivent être traités d’une manière qui sert uniquement à l’évaluation des menaces. Cela signifie aussi peu de contexte que possible et autant de preuves techniques que nécessaire. Lorsque des signaux provenant d’environnements clients ou partenaires sont inclus, ils doivent être minimisés, correctement protégés et traités sans détails inutiles spécifiques au client.

Cybora ne publie pas de journaux bruts, de noms de clients, de seuils internes ou de pondérations sources. La documentation publique explique pourquoi un type de signal est précieux, mais pas quel environnement concret a produit qui a frappé.

Manipulez les signaux d’identité avec un soin particulier

Des échecs répétés de connexion au cloud dans plusieurs environnements indépendants peuvent indiquer une pulvérisation de mots de passe, un bourrage d’informations d’identification ou une infrastructure compromise. Dans le même temps, ces signaux sont sujets à des interprétations erronées : NAT, VPN, proxys, réseaux mobiles ou adresses IP partagées peuvent mélanger utilisation légitime et malveillante.

Les signaux d’identité ne doivent donc pas être compris comme des décisions de bloc isolées. Ils ne prennent du poids que lorsqu’ils correspondent à des preuves supplémentaires, à la répétition et au contexte. Plus d’informations à ce sujet sont documentées dans Signaux d’identité contre la pulvérisation de mots de passe et les attaques d’informations d’identification.

Ce que les administrateurs peuvent en tirer

Pour les administrateurs, le point important est que le flux ne soit pas construit à partir de la publication incontrôlée de données brutes. Le pipeline de données doit évaluer les signaux, les normaliser et les vérifier pour une utilisation par le pare-feu de production. Cela renforce la confiance sans exposer inutilement à quoi ressemblent les environnements individuels ou les règles internes utilisées par Cybora.

La diffusion du flux technique elle-même est documentée dans Format de l’URL du flux et clé de licence. Des conseils sur la gestion des URL et des clés de flux sont documentés dans URL de flux sécurisées.