Les 14 principales plateformes de renseignement sur les menaces pour 2026

26 décembre 2025

Introduction : L'évolution du renseignement sur les menaces

Le marché du renseignement sur les menaces a connu une transformation significative. Alors que le renseignement traditionnel sur les cybermenaces (CTI) se concentrait principalement sur les indicateurs de compromission (IOC) — adresses IP, hachages de fichiers et domaines malveillants —, les menaces les plus sophistiquées d'aujourd'hui exigent une approche fondamentalement différente.

L’apparition des logiciels malveillants voleurs d’informations et la croissance continue de l’écosystème de la cybercriminalité ont contraint les entreprises et les fournisseurs à élargir leur définition du renseignement sur les menaces et à modifier l’orientation de ce à quoi ressemble un programme CTI réussi. 

Le vol d'identifiants, les logiciels malveillants voleurs d'informations et les attaques basées sur l'usurpation d'identité représentent désormais la majorité des vecteurs d'accès initiaux lors des violations de données en entreprise. Selon l'indice IBM X-Force 2025 sur le renseignement sur les menaces, les courriels d'hameçonnage visant à voler des informations ont augmenté de 84 % en 2024 par rapport à 2023, 70 % des attaques ciblant les infrastructures critiques. Cette évolution a créé une nouvelle catégorie de renseignement sur les menaces que nous appelons renseignement identitaireet les programmes de sécurité les plus efficaces combinent désormais les deux approches.

Ce guide présente les principales entreprises de renseignement sur les menaces en 2025, des plateformes traditionnelles axées sur les indicateurs de compromission (IOC) aux fournisseurs de renseignements sur l'identité, en passant par les outils open source. Nous vous aiderons à déterminer l'approche, ou la combinaison d'approches, la mieux adaptée à votre programme de sécurité.

Comparaison rapide

Aperçu des principales plateformes de renseignement sur les menaces

Comparer les capacités en matière de renseignement sur les systèmes de compromission informatique (IOC), de renseignement sur l'identité et de surveillance du dark web

Plateforme Idéal pour Tarif Intel IOC Renseignements sur l'identité Marchés en ligne
Flare #1 Plateforme TEM, IEM Surveillance des identifiants et des journaux de vol $$
Gris Ensembles de données BRUIT ET ÉMEUTES Réduction du bruit lié au contexte IP et aux alertes Gratuit–$$
LevelBlue OTX Ouvrir l'échange de menaces Partage gratuit de l'IOC par la communauté Gratuit
CrowdStrike Renseignements sur l'adversaire du Falcon Renseignements intégrés EDR $ $ $
Mandiant Google Threat Renseignements Renseignements fondés sur les IR $ $ $
Cisco Talos Services informatiques Talos Renseignements sur les menaces réseau
IBM X-Force X-Force Exchange Recherche et collaboration en entreprise $ $ $
KELA Plateforme de cyber-renseignement Cybercriminalité et profilage des acteurs $$
Cyble Vision, TIP, Blaze AI Surveillance du dark web alimentée par l'IA $$
anomalie ThreatStream Agrégation multi-sources des IOC $ $ $
MenaceConnect TI Ops, quantificateur de risque Automatisation des flux de travail CTI $ $ $
abuse.ch ThreatFox, URLhaus, MalwareBazaar Flux gratuits de logiciels malveillants et d'indicateurs de compromission Gratuit
VirusTotal Google Threat Renseignements Analyse multi-AV des fichiers et URL Gratuit–$$$
DMU CONSEIL Open Source Astuce et partage auto-hébergés Gratuit
Capacités solides
Capacité modérée
Capacité de base
Intégration limitée / via intégration
Pas un objectif

Cette comparaison reflète notre évaluation éditoriale basée sur les informations publiques disponibles en décembre 2025. Les capacités des fournisseurs évoluent constamment. Nous vous invitons à nous faire part de vos corrections ou mises à jour. contactez-nous. avec tout commentaire.

Comprendre le renseignement sur les menaces modernes

Avant d'aborder les fournisseurs en détail, il est essentiel de comprendre l'évolution du paysage du renseignement sur les menaces. Les plateformes modernes combinent de plus en plus les capacités traditionnelles des indicateurs de compromission (IOC) avec le renseignement axé sur l'identité.

Renseignements sur les menaces traditionnels basés sur les IOC met l'accent sur:

  • Adresses IP d'infrastructures malveillantes connues
  • Hachages de fichiers d'échantillons de logiciels malveillants
  • Indicateurs du domaine de commandement et de contrôle (C2)
  • Règles YARA et signatures de détection
  • Les tactiques, techniques et procédures (TTP) des acteurs de la menace sont répertoriées dans MITRE ATT&CK.

Renseignements sur l'identité met l'accent sur:

  • Identifiants volés suite à des fuites de données et des infections par des voleurs d'informations
  • Cookies de session et jetons d'authentification
  • Exposition aux identifiants des employés et des clients
  • Activités sur le marché du dark web impliquant votre organisation
  • Surveillance des canaux Telegram pour détecter les fuites de données

Les programmes de sécurité les plus aboutis reconnaissent que ces capacités sont complémentaires, et non concurrentes. Les flux IOC détectent les menaces connues dans votre environnement, tandis que le renseignement sur les identités repère les fuites d'identifiants qui précèdent les attaques ciblées.

Les 14 meilleures entreprises de renseignement sur les menaces en 2025

1. Flare — Idéal pour le renseignement sur l'identité et la surveillance des identifiants

Catégorie: Gestion des renseignements sur l'identité et l'exposition aux menaces
Meilleur pour: Les organisations qui privilégient la surveillance des identifiants, l'analyse des journaux des voleurs et le renseignement sur le dark web
Prix : Essai gratuit disponible sur abonnement
Produits clés: Plateforme Flare TEM, Gestion de l'exposition des identités (IEM), Flux de menaces

Flare s'est imposé comme le leader du renseignement identitaire, se positionnant comme un Plateforme de gestion de l'exposition aux menaces plutôt qu'un fournisseur traditionnel de TI. La plateforme met l'accent sur un déploiement rapide (installation en 30 minutes seulement) et un système de notation à 5 points pour la priorisation des alertes.

Fonctionnalités clés:

  • Surveillance des journaux des voleurs : Flare collecte chaque semaine plus d'un million de nouveaux journaux de vol d'identifiants provenant de marchés du dark web et de chaînes Telegram, détectant les identifiants volés par des familles de logiciels malveillants telles que RedLine, Raccoon, Vidar et Lumma.
  • Couverture Telegram : Surveillance de plus de 58 000 chaînes Telegram axées sur les listes de combinaisons, les journaux de voleurs et la fraude – un élément crucial, car 77 millions de publications contenant des liens Telegram ont été partagées sur des forums de cybercriminalité en 2024.
  • Renseignements en temps réel sur le Dark Web : Surveillance exhaustive de centaines de forums du dark web, de réseaux Tor et I2P, de plus de 50 sites de partage de contenu et de sites de fuite de Rançongiciels, avec près d'une décennie de données archivées.
  • Gestion de l'exposition de l'identité : L'intégration de Microsoft Entra ID permet la validation et la correction automatisées des identifiants : lorsque des identifiants compromis apparaissent dans les journaux de vol de données, Flare peut forcer automatiquement la réinitialisation des mots de passe.

Pourquoi Flare est classé n°1 :

Flare répond à la réalité des attaques modernes : les adversaires n’ont plus besoin de failles zero-day ni de logiciels malveillants sophistiqués lorsqu’ils peuvent simplement acheter des identifiants valides sur les marchés du dark web. Une étude de Forrester sur l’impact économique total a révélé un retour sur investissement de 321 % et une économie de plus de 1 300 heures d’analystes par an et par client.

L'accent mis par la plateforme sur l'analyse de données exploitables — avec des mesures correctives claires pour chaque exposition détectée — la distingue des fournisseurs qui livrent des données brutes sans contexte opérationnel. L'intégration de Microsoft Entra ID pour la correction automatisée différencie Flare des plateformes de simple surveillance.

Intégrations: Microsoft Azure Sentinel (solution complète avec classeurs et playbooks), Splunk, Microsoft Teams, Slack, Jira, API REST avec SDK

Idéal pour: Les organisations victimes d'attaques basées sur des identifiants, celles ayant une exposition B2C importante, les entreprises préoccupées par les infections par des voleurs d'informations au sein de leur personnel ou de leur clientèle.

Renseignements sur l'identité

Vos identifiants sont-ils déjà présents sur le Dark Web ?

Alors que les flux IOC détectent les menaces connues, le renseignement sur l'identité repère les fuites d'identifiants qui précèdent les attaques. Flare surveille des millions de journaux de vol d'identité chaque semaine, vous permettant ainsi de remédier aux problèmes avant que les attaquants ne passent à l'acte.

Plus d'un million de journaux de voleurs collectés chaque semaine
Plus de 58 000 chaînes Telegram surveillées
Essayez gratuitement

2. GreyNoise — Idéal pour le filtrage du bruit Internet et le contexte IP

Catégorie: Veille en matière de réputation IP, triage des alertes
Meilleur pour: Les équipes SOC sont submergées d'alertes provenant d'analyses opportunistes.
Prix : Offre Communauté gratuite, forfaits Entreprise disponibles

GreyNoise s'est taillé une place unique en résolvant un problème auquel tous les SOC sont confrontés : distinguer les attaques ciblées du bruit de fond constant des analyses Internet. Leur grille d'observation mondiale fonctionne 5 000 capteurs répartis dans plus de 80 pays, traitant quotidiennement 500 millions de sessions pour classifier l'activité de numérisation.

Fonctionnalités clés:

  • Renseignements de première partie sur la propriété intellectuelle : Toutes les informations proviennent du réseau de capteurs interne de GreyNoise — sans aucun flux externe — fournissant des données de référence sur l'activité de balayage d'Internet.
  • Ensemble de données BRUIT : Classification en temps réel des adresses IP scrutant activement Internet, permettant de distinguer l'exploitation de masse des attaques ciblées.
  • Ensemble de données RIOT : Base de données « À exclure » ​​identifiant les adresses IP appartenant à des services commerciaux légitimes (Slack, Google, Microsoft) qui devraient être ajoutées à la liste blanche afin d’éviter les faux positifs.
  • Suivi de l'exploitation des vulnérabilités : Affirme détecter les tentatives d'exploitation 80 % plus rapidement que les ajouts CISA KEV

Statistiques citées publiquement :

  • Plus de 80 000 utilisateurs, dont plus de 400 agences gouvernementales
  • 60 % des entreprises du classement Fortune 1000 utilisent GreyNoise
  • Les équipes SOC ont signalé une réduction de 25 % des alertes.
  • Plus de 300 000 adresses IP uniques ont été suivies lors d'une seule campagne de botnet RDP (octobre 2025).

Pourquoi GreyNoise se distingue :

Contrairement aux renseignements sur les menaces traditionnels qui vous disent « cette adresse IP est malveillante », GreyNoise répond à une question plus nuancée : « cette adresse IP analyse-t-elle tout le monde ou me cible-t-elle spécifiquement ? » L'approche du « patient zéro » consiste à détecter les tentatives d'exploitation grâce aux capteurs GreyNoise avant qu'elles n'atteignent les réseaux des clients.

Intégrations: Microsoft Sentinel, Splunk, IBM QRadar, CrowdStrike Next-Gen SIEM, Elastic, plus de 15 plateformes SOAR, MISP, OpenCTI, Anomali, ThreatConnect, Microsoft Copilot for Security

Idéal pour: Équipes d'opérations de sécurité confrontées à un volume élevé d'alertes, organisations souhaitant réduire les faux positifs, équipes priorisant la correction des CVE.

3. LevelBlue Open Threat Exchange (OTX) — Meilleure plateforme IOC gratuite et communautaire

Catégorie: Renseignements sur les menaces communautaires, partage des IOC
Meilleur pour: Des équipes de sécurité à budget limité, des organisations contribuant à la défense collective
Prix : Gratuit

Open Threat Exchange fonctionne comme le plus grande plateforme communautaire gratuite de veille sur les menacesAvec plus de 180 000 participants répartis dans plus de 140 pays et contribuant quotidiennement à plus de 19 millions d'indicateurs de menaces, la plateforme a changé de nom : AlienVault est devenu AT&T Cybersécurité, puis LevelBlue en 2024.

Fonctionnalités clés:

  • Système d'impulsions : Collections d'IOC (indicateurs de compromission) gérées par la communauté et liées à des campagnes, des familles de logiciels malveillants ou des acteurs de la menace spécifiques, mises à jour toutes les 15 minutes sur USM Anywhere.
  • Communauté massive : 450 000 abonnés OTX, dont un tiers sont des fournisseurs de cybersécurité — validation de la qualité des données
  • Types complets d'IOC : Adresses IP, domaines, URL, hachages, chemins de fichiers, CVE, règles CIDR et indicateurs MUTEX
  • Sécurité des terminaux OTX : Analyse par agent libre des points de terminaison pour la détection des IOC
  • Recherche chez LevelBlue Labs : Recherches sélectionnées par des analystes spécialisés (anciennement Alien Labs)

Pourquoi OTX se distingue :

La force d'OTX réside dans sa communauté. Lorsqu'un chercheur découvre une nouvelle infrastructure malveillante, il peut publier un rapport Pulse qui profite immédiatement à des milliers d'organisations. Ce modèle collaboratif accélère le partage des renseignements sur les menaces bien au-delà de ce qu'un fournisseur seul pourrait réaliser – et il est entièrement gratuit.

Intégrations: Compatible avec LevelBlue USM Anywhere, Splunk, Elastic, Graylog, ArcSight, FortiSOAR, Google SecOps SOAR, les serveurs STIX/TAXII et l'API DirectConnect avec SDK Python/Java.

Idéal pour: Équipes de sécurité soucieuses de leur budget, organisations recherchant une large couverture des CIO, personnes souhaitant contribuer à la défense communautaire.

4. CrowdStrike Falcon Intelligence — Idéal pour le renseignement sur les menaces intégré à l'EDR

Catégorie: Renseignements sur les menaces intégrés aux terminaux
Meilleur pour: Organisations utilisant CrowdStrike EDR recherchant une intégration native de l'intelligence artificielle
Prix : Intégré à la plateforme CrowdStrike Falcon

La solution de renseignement sur les menaces de CrowdStrike combine de manière unique la télémétrie des terminaux et les capacités traditionnelles d'analyse des menaces. La plateforme Falcon traite des milliards d'événements télémétriques provenant de capteurs déployés, générant ainsi des renseignements basés sur l'activité d'attaque réelle et non uniquement sur des leurres. CrowdStrike a reçu le meilleur score dans la catégorie Offre actuelle dans The Forrester Wave Q3 2023.

Fonctionnalités clés:

  • Profils des adversaires : Renseignements détaillés sur plus de 265 acteurs de la menace, avec analyse comportementale et conventions de dénomination (par exemple, « Fancy Bear », « Scattered Spider »).
  • Surveillance du Dark Web: Plus de 8 ans de données historiques du dark web, couvrant les forums criminels, la messagerie cryptée (Telegram, QQ) et les sites de partage de contenu.
  • Renseignements sur les identifiants : Plus de 20 000 notifications du marché russe ont été analysées en 2022, et plus de 100 000 notifications de typosquatting sont étudiées chaque année.
  • Des milliers de rapports de renseignement : Le niveau Premium inclut un rapport annuel détaillé portant sur plus de 500 interventions de réponse à incident.
  • IA de menace : Agentic, une plateforme de renseignement sur les menaces, a annoncé en août 2025 une analyse automatisée.

Pourquoi CrowdStrike se distingue :

L'intégration étroite entre la télémétrie des terminaux et le renseignement sur les menaces crée une boucle de rétroaction : les détections alimentent le renseignement et ce dernier enrichit les détections. Pour les clients de CrowdStrike, cela élimine les difficultés d'intégration des renseignements tiers. La fusion de la télémétrie EDR avec le renseignement sur les menaces permet une corrélation automatisée entre les attaques observées et les tactiques, techniques et procédures (TTP) des adversaires.

Intégrations: Intégration native à la plateforme Falcon (EDR, XDR, protection des identités). Intégrations externes avec Splunk, Chronicle, Microsoft Sentinel, IBM QRadar et ThreatConnect via des applications préconfigurées.

Idéal pour: Les clients existants de CrowdStrike, les organisations souhaitant une solution EDR et de renseignements sur les menaces unifiée, celles qui exigent l'attribution des acteurs pour les menaces détectées.

5. Mandiant Threat Intelligence — Idéal pour le renseignement en réponse aux incidents

Catégorie: Renseignements sur les menaces basés sur la réponse aux incidents
Meilleur pour: Les organisations qui valorisent les renseignements tirés des interventions de première ligne en cas d'incident
Prix : Service par abonnement (désormais intégré à Google Cloud)

Mandiant (rachetée par Google en septembre 2022) apporte un avantage unique : ses analyses sont éclairées par 200,000+ heures par an Forrester a souligné que Mandiant est « en passe de devenir le fournisseur de renseignements sur les menaces le plus pertinent et le plus influent ». Le rapport M-Trends 2025 représente plus de 450 000 heures d’enquêtes de conseil.

Fonctionnalités clés:

  • Renseignements de première ligne : Les indicateurs de compromission (IOC) et les tactiques, techniques et procédures (TTP) sont issus d'interventions actives en matière de réponse aux incidents – des enquêtes sur les violations de données qui fournissent des données factuelles inaccessibles par la seule collecte technique.
  • Suivi des acteurs menaçants : Plus de 500 analystes du renseignement sur les menaces, répartis dans 30 pays, surveillent activement plus de 390 acteurs malveillants.
  • Surveillance des menaces numériques : Surveillance du dark web, incluant les marchés clandestins, les sites de partage de contenu, les forums et les canaux cryptés privés.
  • Intégration Google : Unifiée avec l'infrastructure de VirusTotal et de Google pour une détection à grande échelle — des milliards de tentatives d'hameçonnage visibles

Statistiques citées publiquement :

  • Durée médiane de séjour dans le monde : 11 jours en 2024 (d’après M-Trends 2025)
  • Plus de 500 analystes du renseignement sur les menaces répartis dans 30 pays
  • Plus de 390 acteurs de menace activement surveillés
  • Plus de 450 000 heures d'enquêtes de conseil

Pourquoi Mandiant se distingue :

Grâce à son modèle de renseignement basé sur la réponse aux incidents, Mandiant a souvent une visibilité sur les attaques avant même qu'elles ne soient rendues publiques. L'association de l'expertise humaine en réponse aux incidents et de l'IA Gemini de Google permet de créer un renseignement qui concilie la puissance des machines et le regard des enquêteurs.

Intégrations: Intégré nativement à Google SecOps (Chronicle) avec des règles de détection personnalisées, un plug-in de navigateur pour la superposition des menaces sur n'importe quelle console Web, un accès API pour l'intégration SIEM/SOAR.

Idéal pour: Les organisations des secteurs ciblés (finance, santé, infrastructures critiques), celles qui accordent une grande importance aux renseignements sur les menaces étatiques, les clients à la recherche de données sur les menaces prêtes pour la réponse aux incidents.

6. Cisco Talos Intelligence — Idéal pour le renseignement sur les menaces centrées sur le réseau

Catégorie: Renseignements sur les menaces réseau, recherche sur les logiciels malveillants
Meilleur pour: Les organisations disposant d'une infrastructure de sécurité Cisco, celles qui ont besoin de renseignements axés sur le réseau
Prix : Inclus avec les produits de sécurité Cisco ; accès autonome disponible

Cisco Talos représente la plus grande équipe de renseignement sur les menaces commercialesCe système traite les données télémétriques issues de l'immense parc installé de produits de sécurité Cisco. Son volume de traitement de données dépasse celui de la plupart de ses concurrents.

Statistiques citées publiquement :

  • 800 milliards d'événements de sécurité détecté quotidiennement
  • 7.2 billions d'attaques évitées chaque année
  • 2 000 domaines bloqués par seconde
  • 9 millions de courriels bloqués par heure
  • 32 milliards de pages Web dans la base de données de réputation
  • 80 millions de courriels analysé quotidiennement
  • Des centaines de chercheurs du monde entier

Fonctionnalités clés:

  • Services de réputation : Les recherches de réputation des fichiers, des adresses IP et des domaines sont mises à jour toutes les 30 minutes.
  • Signatures de Snort : Plus de 2 500 règles IPS open source chaque année, étendant ainsi leur portée au-delà des clients Cisco.
  • Analyse du bac à sable : Environ 100 000 logiciels malveillants s'exécutent quotidiennement dans un environnement sandbox dynamique.
  • Pièges à menaces : SSH, telnet, systèmes industriels et honeypots de routeurs Cisco pour la détection précoce des menaces
  • ClamAV : Signatures antivirus open source utilisées dans le monde entier

Pourquoi Talos se distingue :

Talos est un renseignement intégré à l'ensemble du portefeuille de sécurité de CiscoPare-feu sécurisé, Umbrella, protection des terminaux, messagerie, XDR et Meraki offrent une protection immédiate sans intégration supplémentaire. Les projets open source Snort et ClamAV renforcent la confiance de la communauté et étendent la protection au-delà des clients payants.

Intégrations: Intégré nativement à tous les produits de sécurité Cisco, application native Splunk Enterprise Security, intégration open source de Snort et ClamAV.

Idéal pour: Les clients de Cisco, les organisations disposant de systèmes IDS/IPS, celles qui privilégient la détection des menaces au niveau du réseau.

7. IBM X-Force — Idéal pour la recherche et l'analyse des menaces en entreprise

Catégorie: Renseignements sur les menaces en entreprise, recherche
Meilleur pour: Clients IBM Security, organisations nécessitant des capacités de recherche approfondies
Prix : Inclus avec les produits IBM Security ; niveau gratuit X-Force Exchange disponible

IBM X-Force combine une plateforme collaborative de veille sur les menaces avec des capacités de recherche étendues couvrant près de 30 ans de données sur la vulnérabilitéLa plateforme surveille quotidiennement plus de 150 milliards d'événements de sécurité dans plus de 130 pays. Remarque : IBM a vendu QRadar SaaS à Palo Alto Networks en 2024 ; les services X-Force restent disponibles sous l'égide d'IBM.

Statistiques citées publiquement :

  • 860,000 XNUMX+ adresses IP avec des scores de réputation
  • Plus de 32 milliards de pages web/images analysé
  • Plus de 100 000 vulnérabilités dans la base de données
  • augmentation de 84% dans les courriels d'hameçonnage des voleurs d'informations (2024 vs 2023)
  • 70% des attaques infrastructures critiques ciblées en 2024
  • Les 10 principaux détaillants (6 sur 10) et les banques (5 sur 10) participent à X-Force Exchange.

Fonctionnalités clés:

  • Échange X-Force : Plateforme collaborative TIP basée sur le cloud permettant le partage de renseignements entre plus de 1 000 organisations
  • Indice annuel du renseignement sur les menaces : Rapport de recherche phare présentant une analyse complète du paysage des menaces
  • Recherche sur le Dark Web : Couverture des plateformes de certification et des discussions sur la cybersécurité.
  • Services de relations investisseurs : Intervention en cas d'incident dans 170 pays, fournissant des données d'attaques réelles.
  • X-Force Rouge : Tests de sécurité offensifs pour la découverte proactive des vulnérabilités

Pourquoi X-Force se démarque :

X-Force Exchange permet partage collaboratif de renseignements Avec la participation d'importantes institutions financières et de grandes enseignes de distribution. La base de données de vulnérabilités de la plateforme, couvrant près de 30 ans d'histoire, offre un contexte historique unique.

Intégrations: Prise en charge native d'IBM QRadar SIEM et SOAR, STIX/TAXII 2.0 pour les plateformes tierces, intégration certifiée avec Palo Alto XSOAR.

Idéal pour: Clients d'IBM Security, entreprises exigeant des évaluations formelles des menaces, organisations opérant dans des secteurs fortement réglementés.

8. KELA — Idéal pour la cybercriminalité et le renseignement clandestin

Catégorie: Renseignements sur la cybercriminalité, surveillance du Dark Web
Meilleur pour: Organisations axées sur les menaces à motivation financière, équipes de fraude
Prix : Sur abonnement

KELA met l'accent sur « le point de vue de l’attaquant », KELA fournit des renseignements contextualisés du point de vue de l'adversaire. Fondée par des experts chevronnés du renseignement, KELA se concentre sur le profilage des acteurs malveillants et les capacités d'enquête grâce à un accès anonyme à des sources clandestines.

Fonctionnalités clés:

  • Profilage des acteurs menaçants : Consolide les identités sur différentes plateformes, en reliant les pseudonymes de forum, les comptes de réseaux sociaux et les portefeuilles Bitcoin — des études de cas montrent le suivi de plus de 497 messages de forum pour des utilisateurs individuels.
  • Module INVESTIGATE : Chasse aux menaces avec accès proxy anonyme pour des enquêtes en temps réel dans les sources clandestines
  • GARDE D'IDENTITÉ : Protection des identifiants contre les données de machines infectées grâce aux intégrations webhook
  • MONITEUR: Gestion de la surface d'attaque avec détection continue de l'exposition
  • Données historiques détaillées : Vaste lac de données contenant des renseignements traités provenant de forums et de marchés clandestins.

Pourquoi KELA se distingue :

Les capacités de profilage des acteurs malveillants de KELA sont particulièrement performantes, permettant aux équipes de sécurité de comprendre les profils des adversaires sur de multiples plateformes. L'accès anonyme par proxy permet d'enquêter en toute sécurité sur les forums criminels sans exposer l'infrastructure des analystes.

Intégrations: Applications officielles Splunk (KELA IoC, KELA Monitor), disponibilité sur AWS Marketplace, webhooks pour Identity Guard, API REST.

Idéal pour: Organismes de services financiers, équipes de prévention de la fraude, entreprises préoccupées par les attaques de rançongiciels.

9. Cyble — Idéal pour l'analyse du Dark Web et la veille de marque basée sur l'IA

Catégorie: Renseignements sur les menaces basés sur l'IA, protection contre les risques numériques
Meilleur pour: Organisations nécessitant une surveillance automatisée du dark web et une protection de marque
Prix : Sur abonnement

Cyble se présente comme « IA native » et a obtenu le Classement n° 1 sur Gartner Peer Insights (4.8/5) pour les produits de renseignement sur les cybermenaces. La plateforme offre plus de 13 fonctionnalités dans une solution unifiée couvrant le renseignement sur les cybermenaces, la protection contre les risques numériques, la gestion de la surface d'attaque et la sécurité physique.

Statistiques citées publiquement :

  • Plus de 900 000 sources de cybercriminalité surveillé 24h/7j
  • Plus de 4 000 acteurs de la menace surveillance continue
  • Plus de 2 milliards d'adresses IP scannés quotidiennement dans 150 ports
  • Plus de 20 milliards d'enregistrements du dark web indexé mensuellement
  • Télémétrie du dark web de plus de 15 To traités mensuellement
  • Plus de 1.3 million de cartes compromises détecté par mois
  • Plus de 500 milliards de pages suivi quotidiennement
  • Réclamations Déploiements 10x plus rapides détection des menaces et prédiction des attaques jusqu'à 6 mois à l'avance

Fonctionnalités clés:

  • IA de Cyble Blaze : IA agentique pour la détection et l'analyse autonomes des menaces
  • Cartographie MITRE ATT&CK : Cartographie explicite des indicateurs de compromission (IOC) aux familles de logiciels malveillants, aux acteurs de la menace et aux tactiques, techniques et procédures (TTP)
  • Scanner Odin : Analyse de la surface d'attaque à l'échelle d'Internet sur odin.io
  • Risque lié aux tiers : Surveillance de la chaîne d'approvisionnement et de l'exposition des fournisseurs
  • Services de démantèlement : Suppression gérée des sites d'hameçonnage et des comptes usurpés

Pourquoi Cyble se distingue :

L'approche de Cyble, axée sur l'IA, permet de traiter des sources qu'il serait impossible de surveiller manuellement. Le mappage explicite MITRE ATT&CK apporte un contexte opérationnel absent des flux de données bruts, et son classement Gartner Peer Insights témoigne de la satisfaction client.

Intégrations: Distribution de flux Splunk, Microsoft Sentinel, IBM QRadar, Fortinet, LogRhythm, RSA, Securonix, Cortex XSOAR, Cyware, MISP et TAXII. Disponible sur AWS et Azure Marketplace.

Idéal pour: Les organisations à la recherche de renseignements automatisés, celles qui ont des besoins en matière de protection de leur marque, les entreprises dotées de chaînes d'approvisionnement complexes.

10. Anomali ThreatStream — Idéal pour l'agrégation d'IOC multi-sources

Catégorie: Plateforme de renseignement sur les menaces (TIP)
Meilleur pour: Les organisations qui consolident de multiples sources de renseignements
Prix : Sur abonnement

Marchés anormaux « le plus grand référentiel mondial de renseignements sur les menaces organisés », Leur plateforme ThreatStream agrège plus de 200 sources de renseignements via un modèle de place de marché. Les différents niveaux d'IA de ThreatStream ont été lancés en juin 2025.

Fonctionnalités clés:

  • Agrégation massive de flux : Plus de 100 flux OSINT pré-intégrés et plus de 200 flux premium via Anomali Marketplace (dont Mandiant, Recorded Future, Proofpoint, Flashpoint, GreyNoise, VirusTotal).
  • Algorithme MACULA ML : Notation automatisée et suppression des faux positifs à partir de sources agrégées
  • Cercles de confiance Anomali : Partage de renseignements entre plus de 2 000 organisations
  • Copilote anormal : Assistant IA générative prenant en charge plus de 80 langues
  • Déploiement flexible: Environnements cloud, VM, sur site ou isolés du réseau, avec des analyses à la vitesse du pétaoctet et plus de 7 ans de stockage à chaud

Pourquoi Anomali se distingue :

Le modèle de marché offre accès unique Intégration à des dizaines de flux commerciaux et OSINT, avec normalisation et déduplication des données issues de différentes sources. Accès aux renseignements sur le dark web et les identifiants via l'intégration de Mandiant DTM. Déploiement en environnement isolé (air-gap) compatible avec les environnements classifiés.

Intégrations: Splunk, Microsoft Sentinel, IBM QRadar, Cortex XSOAR, Splunk SOAR, ServiceNow. Prise en charge native de STIX/TAXII. API REST complète avec kits de développement logiciel (SDK) Python/Java.

Idéal pour: Les organisations disposant de plusieurs abonnements CTI, les équipes de sécurité développant des capacités TIP, celles qui ont besoin de flux de travail de renseignement personnalisés.

11. ThreatConnect — Idéal pour l'automatisation et l'orchestration des flux de travail CTI

Catégorie: Plateforme de renseignement sur les menaces avec capacités SOAR
Meilleur pour: Organisations automatisant l'opérationnalisation du renseignement sur les menaces
Prix : Sur abonnement

ThreatConnect met l'accent sur « opérationnaliser » Il s'agit de fournir des renseignements plutôt que de simplement les collecter, avec des capacités uniques pour quantifier le risque cybernétique en termes financiers. Dataminr a annoncé son intention d'acquérir ThreatConnect. pour 290 millions de dollars en octobre 2025.

Statistiques communiquées par les clients :

  • 97 % rapport sur l'amélioration de l'efficacité des systèmes SIEM/SOAR/EDR
  • 90 % Gain de temps > 50 %
  • 67 % rapporte une réduction de plus de 50 % du MTTR
  • Environ 300 clients entreprises et gouvernements

Fonctionnalités clés:

  • Bibliothèque de menaces automatisée CAL™ : Renseignements basés sur l'IA/ML qui distillent plus de 60 sources OSINT (blogs, rapports) en flux structurés avec télémétrie communautaire
  • Quantificateur de risque : Traduit les renseignements sur les menaces en termes commerciaux – quantifiant l'exposition en dollars pour justifier les investissements en sécurité
  • Visualiseur ATT&CK : Représentation visuelle du TTP liée à l'évaluation du risque financier
  • Polarité: Extension de navigateur fournissant une superposition de contexte sur n'importe quelle console Web
  • SOAR natif : Les capacités d'orchestration intégrées éliminent les exigences de plateformes distinctes

Pourquoi ThreatConnect se distingue :

Risk Quantifier traduit les renseignements sur les menaces en termes commerciaux : la quantification de l’exposition en dollars permet aux équipes de sécurité de justifier leurs investissements auprès de la direction. L’intégration de TIP et SOAR sur une plateforme unique simplifie la mise en œuvre des renseignements sur les menaces.

Intégrations: Splunk, Microsoft Sentinel, IBM QRadar, ArcSight, Elastic, ServiceNow, Jira. Fonctionnalités SOAR natives intégrées à la plateforme.

Idéal pour: Les organisations qui développent des programmes de CTI, les équipes de sécurité qui automatisent les flux de travail de renseignement, celles qui participent à des communautés de partage de renseignements sur les menaces.

12. abuse.ch (ThreatFox, URLhaus, MalwareBazaar) — Meilleurs flux gratuits de logiciels malveillants et d'indicateurs de compromission (IOC)

Catégorie: Renseignements sur les menaces en sources ouvertes, recherche sur les logiciels malveillants
Meilleur pour: Chercheurs en sécurité, organisations à la recherche de flux IOC gratuits et de haute qualité
Prix : Gratuit (licence CC0)

abuse.ch fonctionne six projets interconnectés Ce projet de recherche à but non lucratif, mené à la Haute École spécialisée bernoise (Suisse), met à disposition gratuitement toutes les données sous licence CC0. Ces données proviennent de la contribution de plus de 15 000 chercheurs spécialisés. En partenariat avec Spamhaus, la protection est étendue à 4.5 milliards de boîtes mail dans le monde.

Statistiques citées publiquement :

  • MalwareBazaar : Plus de 1 022 666 échantillons de logiciels malveillants confirmés ; 100 millions de requêtes API par mois
  • URLhaus : Plus de 3 654 915 URL malveillantes détectées ; 175 millions de requêtes API par mois
  • SSLBL : Empreintes JA3 issues de plus de 25 000 000 fichiers PCAP de logiciels malveillants
  • Plus de 5.3 millions d'éléments de renseignement sur les menaces total partagé

Fonctionnalités clés:

  • MalwareBazaar : Répertoire d'échantillons de logiciels malveillants avec analyse et classification — seuls les logiciels malveillants vérifiés et confirmés sont acceptés (aucun fichier bénin ni logiciel publicitaire)
  • URLhaus : Flux en temps réel d'URL malveillantes utilisées pour la distribution de logiciels malveillants, avec vérification active avant inclusion dans la liste de blocage
  • ThreatFox : Base de données IOC avec attribution et contexte des familles de logiciels malveillants
  • Suivi Feodo : Suivi de l'infrastructure C2 des botnets (Emotet, Dridex, QakBot, etc.)
  • YARAify : Répertoire de règles YARA de la communauté

Pourquoi abuse.ch se distingue :

Le rapport qualité-prix est imbattable. Ces flux sont utilisés par des fournisseurs commerciaux, des FAI et des CERT du monde entier. abuse.ch n'accepte que les logiciels malveillants vérifiés et confirmés, avec une URL active et une vérification du serveur de commande et de contrôle (C2), avant leur inscription sur la liste de blocage, minimisant ainsi les faux positifs qui affectent d'autres sources gratuites.

Intégrations: API REST pour toutes les plateformes, exportations MISP, règles IDS Suricata/Snort, exportations DNS RPZ, intégration Elastic Security, flux en temps réel via Spamhaus Technology (ZMQ/Kafka).

Idéal pour: Chercheurs en sécurité, équipes SOC élaborant des règles de détection, organisations aux budgets limités.

13. VirusTotal — Idéal pour l'analyse des fichiers et des URL

Catégorie: Analyse des logiciels malveillants, enrichissement des indicateurs de compromission
Meilleur pour: Analystes de sécurité ayant besoin de vérifications rapides de la réputation des fichiers/URL
Prix : Formule gratuite disponible ; la formule Premium offre des fonctionnalités avancées et un accès à l’API.

VirusTotal agrège les résultats d'analyse de Plus de 70 moteurs antivirus et a évolué en Informations sur les menaces Google Suite à son rachat par Google, la plateforme reçoit quotidiennement des centaines de milliers de fichiers soumis par des organisations du monde entier.

Fonctionnalités clés:

  • Balayage multi-moteurs : Des verdicts de détection agrégés provenant de plus de 70 fournisseurs de sécurité offrent une détection consensuelle qu'aucun antivirus ne peut égaler.
  • Cartographie MITRE ATT&CK : Les rapports de bac à sable sont automatiquement associés aux tactiques et techniques.
  • Suivi des acteurs menaçants : Profils complets via l'intégration de Mandiant dans Google Threat Intelligence
  • Analyse comportementale: Plusieurs environnements de test intégrés (Jujubox, Observer, Zenbox, NSFOCUS POMA) pour l'analyse dynamique
  • Graphiques de relations : Cartographie visuelle des relations d'infrastructure
  • Capacités de chasse : YARA Livehunt pour la mise en relation en temps réel, Retrohunting pour l'analyse historique

Pourquoi VirusTotal se distingue :

L'espace agrégation de verdicts multi-fournisseurs Elle offre une détection consensuelle qu'aucun moteur antivirus individuel ne peut égaler. L'intégration de Mandiant enrichit l'analyse brute des fichiers avec des renseignements ciblés sur les acteurs malveillants, et les contributions massives de la communauté garantissent une couverture d'échantillons inégalée.

Intégrations: API REST (v3 suivant jsonapi.org), intégrations SIEM natives (Splunk, Microsoft Sentinel, Elastic), connecteurs SOAR, module d'extension MISP officiel, SDK Python vt-py.

Idéal pour: Analystes de sécurité, intervenants en cas d'incident, toute personne ayant besoin de vérifications rapides de la réputation des fichiers/URL.

14. MISP — Meilleure plateforme de renseignement sur les menaces open source

Catégorie: Partage de renseignements sur les menaces en sources ouvertes
Meilleur pour: Organisations développant des capacités TIP personnalisées, ISAC, agences gouvernementales
Prix : Gratuit (open source)

MISP (Malware Information Sharing Platform) sert de plateforme de renseignement sur les menaces open source de factoUtilisé par les CERT, les CSIRT et les entreprises du monde entier, MISP est développé et maintenu par le CIRCL (Centre de réponse aux incidents informatiques du Luxembourg). Il permet le partage fédéré des données tout en assurant le contrôle des données organisationnelles. FIRST exploite une instance MISP globale pour ses membres.

Fonctionnalités clés:

  • Modèle de données flexible: Système d'attributs extensible pour tout type de renseignement, avec des contrôles de partage précis au niveau des événements, des attributs et des groupes de partage.
  • Corrélation intégrée : Détection automatique des relations, y compris le hachage flou (ssdeep), pour l'identification des fichiers similaires.
  • MITRE ATT&CK complet : Clusters Galaxy natifs pour une couverture complète du framework
  • Conformité aux normes: Compatibilité native avec STIX 1.x/2.x, ISO/IEC 27010:2015, RGPD et NISD
  • Plus de 100 modules d'extension : Intégrations d'enrichissement pour VirusTotal, Shodan, PassiveTotal et bien d'autres
  • Intégration des aliments commerciaux : Broadcom/Symantec DeepSight, Kaspersky et autres sources de qualité supérieure

Pourquoi MISP se distingue :

Pour les organisations exigeant une maîtrise totale de leur infrastructure de veille sur les menaces, MISP offre des fonctionnalités de niveau entreprise sans frais de licence. Son modèle décentralisé leur permet de préserver la souveraineté de leurs données tout en participant aux communautés de veille. Cette communauté active contribue en permanence à l'élaboration de nouvelles fonctionnalités, intégrations et données sur les menaces.

Intégrations: API complète avec documentation OpenAPI, STIX/TAXII via MISP-Taxii-Server, exportations IDS natives (Snort, Suricata, Zeek), publication en temps réel ZMQ/Kafka, intégration de la gestion des cas TheHive, analyse des logiciels malveillants Cuckoo et Joe Sandbox.

Idéal pour: Agences gouvernementales et CERT, infrastructures de partage de bâtiments ISAC, organisations disposant de ressources de développement pour la personnalisation.

Choisir la bonne approche en matière de renseignement sur les menaces

Il n'existe pas de solution unique en matière de renseignement sur les menaces. Voici comment élaborer votre programme :

Commencez par vos principaux vecteurs de menace

Si le vol d'identifiants et la prise de contrôle de comptes sont vos principales préoccupations : Privilégiez les plateformes de renseignement d'identité comme Flare qui surveillent les identifiants exposés et les journaux de voleurs, avec des fonctionnalités telles que l'intégration de Microsoft Entra ID pour une remédiation automatisée.

Si vous vous concentrez sur la détection des logiciels malveillants et des serveurs de commande et de contrôle : Les flux IOC traditionnels provenant de fournisseurs comme Recorded Future ou de sources communautaires comme OTX et abuse.ch fournissent les indicateurs dont vos outils de détection ont besoin.

Si la fatigue liée aux alertes met votre SOC à genoux : Les renseignements contextuels de GreyNoise (avec 5 000 capteurs dans plus de 80 pays) aident à distinguer les attaques ciblées du bruit sur Internet, les clients faisant état d’une réduction de 25 % des alertes.

Si vous craignez d'être la cible d'un Rançongiciels : La surveillance du dark web assurée par KELA ou Cyble permet de recevoir une alerte précoce lorsque votre organisation apparaît dans des discussions criminelles.

Tenir compte des exigences d'intégration

Vos renseignements sur les menaces n'ont de valeur que si vous êtes capable de les exploiter. Assurez-vous que les fournisseurs que vous avez choisis s'intègrent aux systèmes suivants :

  • Plateformes SIEM (Splunk, Microsoft Sentinel, IBM QRadar, etc.)
  • Solutions EDR
  • Plateformes SOAR
  • Pare-feu et outils de sécurité réseau

Développez votre intelligence

La plupart des organisations matures utilisent plusieurs sources de renseignement :

  1. Renseignements sur l'identité (Flare) pour la surveillance de l'exposition des identifiants et des journaux de voleurs
  2. Flux RSS du CIO (OTX, abuse.ch, flux commerciaux) pour les indicateurs de logiciels malveillants et d'infrastructure
  3. Intelligence contextuelle (Bruit gris) pour l'enrichissement des alertes et le filtrage du bruit
  4. Intelligence stratégique (Recorded Future, Mandiant) pour la compréhension des acteurs de la menace

Foire aux questions

Quelle est la différence entre le renseignement sur les menaces et les flux IOC ?

Le renseignement sur les menaces est une discipline plus vaste qui consiste à collecter, analyser et exploiter les informations relatives aux menaces. Les flux d'indicateurs de compromission (IOC) constituent un résultat du renseignement sur les menaces : il s'agit de listes d'indicateurs spécifiques (adresses IP, domaines, hachages) utilisables pour la détection. Les plateformes modernes de renseignement sur les menaces fournissent à la fois des IOC tactiques et un contexte stratégique sur les acteurs malveillants, leurs campagnes et leurs tactiques, techniques et procédures (TTP).

Qu’est-ce que le renseignement d’identité en cybersécurité ?

L'intelligence d'identité se concentre sur la surveillance des identifiants volés, des jetons de session et des données d'authentification utilisés par les attaquants pour accéder aux systèmes. Contrairement aux indicateurs de compromission (IOC) traditionnels qui signalent les attaques en cours, l'intelligence d'identité détecte les fuites d'identifiants avant qu'elles ne soient exploitées, permettant ainsi une action préventive plutôt qu'une détection réactive. Selon IBM X-Force, les courriels d'hameçonnage utilisés par les voleurs d'informations ont augmenté de 84 % en 2024.

Comment choisir entre les renseignements sur les menaces gratuits et commerciaux ?

Des sources gratuites comme OTX (plus de 180 000 participants), abuse.ch (plus de 5.3 millions d'IOC) et MISP offrent une excellente couverture de base pour les IOC et les indicateurs de logiciels malveillants. Les plateformes commerciales apportent une valeur ajoutée grâce à leurs sources de données propriétaires (notamment le dark web), un contexte et un enrichissement plus poussés, un support professionnel et une intégration simplifiée. La plupart des organisations ont intérêt à combiner les deux.

Comment les plateformes de veille sur les menaces s'intègrent-elles aux SIEM ?

La plupart des systèmes d'information sur les menaces (TIP) prennent en charge les protocoles standards comme STIX/TAXII pour le partage d'indicateurs, ainsi que les intégrations API directes avec les principales plateformes SIEM. L'intégration consiste généralement à ingérer les indicateurs de compromission (IOC) dans le module de veille sur les menaces du SIEM, où ils sont corrélés aux données de journalisation afin de générer des alertes en cas de correspondance.

Quelle est la différence entre une plateforme TIP et une plateforme SOAR ?

Une plateforme de renseignement sur les menaces (TIP) se concentre sur l'agrégation, l'enrichissement et la gestion des données relatives aux menaces. Une plateforme d'orchestration, d'automatisation et de réponse de sécurité (SOAR) automatise les flux de travail de sécurité et la réponse aux incidents. Certaines plateformes, comme ThreatConnect, brouillent cette frontière en proposant les deux fonctionnalités.

À quelle fréquence les renseignements sur les menaces doivent-ils être mis à jour ?

Les flux d'informations des CIO doivent être mis à jour en continu, ou au moins quotidiennement, car l'infrastructure des menaces évolue rapidement. Les renseignements stratégiques (profils des acteurs, rapports sectoriels) sont généralement mis à jour de façon hebdomadaire ou mensuelle. L'essentiel est de veiller à ce que vos outils de détection disposent toujours d'indicateurs à jour, tout en conservant le contexte historique nécessaire aux investigations.

Conclusion

Le renseignement sur les menaces ne se limite plus aux simples flux d'indicateurs de compromission (IOC). Si les indicateurs traditionnels restent importants pour la détection, la montée en puissance des attaques par usurpation d'identité exige une nouvelle approche axée sur le renseignement sur l'identité.

Flare est à la pointe de cette évolution en surveillant les sources mêmes où apparaissent les identifiants volés : plus d’un million de nouveaux journaux de voleurs sont collectés chaque semaine sur les places de marché du dark web et auprès de plus de 58 000 canaux Telegram. Combinés aux flux d’indicateurs de compromission (IOC) traditionnels de fournisseurs tels que GreyNoise (5 000 capteurs, 500 millions de sessions quotidiennes), OTX (plus de 180 000 contributeurs) et des plateformes d’entreprise comme Recorded Future (plus de 13 milliards d’entités indexées), ces flux permettent aux équipes de sécurité d’obtenir une visibilité complète sur les menaces actives et leurs précurseurs.

Le meilleur programme de veille sur les menaces ne consiste pas à choisir un seul fournisseur, mais à superposer des capacités complémentaires qui répondent aux menaces spécifiques à votre organisation.

Prêt à ajouter l'intelligence d'identité à votre architecture de sécurité ?

Flare surveille des millions de journaux de vol d'informations et de sources du dark web pour détecter les identifiants exposés avant que les attaquants ne puissent les exploiter. Découvrez les informations déjà divulguées concernant votre organisation.

Commencez votre essai gratuit →

Partager l'article