La plateforme de renseignement qui Agit réellement.

Le renseignement sur les cybermenaces (CTI) consiste à collecter, traiter et analyser des données relatives aux cybermenaces existantes ou émergentes afin de permettre une défense proactive. Il transforme les données brutes sur les menaces — indicateurs de compromission, discussions sur le dark web, identifiants divulgués, profils d'acteurs malveillants — en informations exploitables permettant aux organisations d'anticiper, de détecter et de contrer les attaques avant qu'elles ne causent des dommages.

Les quatre types sont : Stratégique (analyse du contexte des risques et de l’impact sur l’activité au niveau de la direction), Opérationnel (détails spécifiques de la campagne, y compris les motivations et le calendrier des acteurs de la menace), Tactique (tactiques, techniques et procédures cartographiées selon des cadres comme MITRE ATT&CK) et Technique (indicateurs lisibles par machine comme les adresses IP malveillantes, les hachages de fichiers, les identifiants divulgués et les journaux de voleurs utilisés pour la détection et le blocage automatisés).

Le cycle de vie du renseignement sur les menaces est un processus continu en six phases : orientation (définition des besoins), collecte (rassemblement de données provenant du dark web, de sources OSINT et de sources commerciales), traitement (normalisation et interprétation des données brutes), analyse (création de renseignements contextualisés), diffusion (transmission aux parties prenantes et aux systèmes automatisés) et retour d’information (évaluation de l’efficacité et amélioration du programme). Chaque phase alimente les précédentes pour une amélioration continue.

Le renseignement sur les menaces consiste à collecter, analyser et communiquer des données sur les menaces : qui sont les adversaires, quelles méthodes ils utilisent et quels indicateurs surveiller. La gestion de l’exposition aux menaces (TEM) va plus loin en ajoutant la détection et la correction automatisées des vulnérabilités organisationnelles réelles, telles que les fuites d’identifiants, la divulgation de secrets et l’usurpation d’identité de marque. Alors que le renseignement sur les menaces en ligne (CTI) vous indique les menaces à surveiller, la TEM identifie vos vulnérabilités spécifiques et agit automatiquement en conséquence.

Les forums, places de marché et canaux Telegram du dark web sont des plateformes où les acteurs malveillants échangent des identifiants volés, vendent des accès aux réseaux d'entreprise, coordonnent des campagnes de rançongiciels et distribuent des outils d'exploitation. La surveillance de ces sources permet de détecter rapidement les vulnérabilités d'une organisation, souvent plusieurs jours ou semaines avant qu'une attaque ne se concrétise. En 2025, plus de 3.3 milliards d'identifiants compromis ont circulé sur les plateformes clandestines, ce qui rend la surveillance du dark web essentielle à tout programme de cybersécurité sérieux.

Les plateformes CTI traditionnelles se concentrent sur la collecte et le signalement des données relatives aux menaces. Flare étend la CTI à la gestion de l'exposition aux menaces : elle détecte les expositions réelles de votre organisation sur plus de 58 000 canaux Telegram, des centaines de forums du dark web et des marchés de journaux de voleurs de données, puis corrige automatiquement les problèmes grâce à des intégrations avec Entra ID, SIEM, SOAR et les systèmes de gestion des incidents. Flare se déploie en moins de 30 minutes et réduit le délai entre le renseignement et l'action de plusieurs jours à quelques secondes.

Les journaux de vol de données sont des paquets de données collectés par des logiciels malveillants voleurs d'informations (comme RedLine, Raccoon, Vidar et Lumma) sur les appareils infectés. Ils contiennent des mots de passe enregistrés, des cookies de session, des données de remplissage automatique du navigateur et des jetons d'authentification. Ces journaux sont particulièrement dangereux car ils incluent souvent des cookies de session actifs permettant aux attaquants de contourner complètement l'authentification multifacteurs. Flare collecte plus d'un million de nouveaux journaux de vol de données chaque semaine et les compare automatiquement aux identités de votre entreprise.

Flare surveille plus de 58 000 chaînes Telegram, des centaines de forums et de places de marché du dark web, plus de 50 sites de partage de fichiers, des sites de fuite de rançongiciels, des marchés de journaux de vol de données, des listes de courtiers en accès initial et des sources web classiques. La plateforme conserve près de dix ans de données archivées à des fins de contexte historique, d'analyse des tendances et de profilage des acteurs malveillants.