Aller au contenu
Avanet
Threat Intelligence Feeds pour le pare-feu – Bloquer les attaques avant qu'elles ne frappent

Threat Intelligence Feeds pour le pare-feu – Bloquer les attaques avant qu'elles ne frappent

25. AOÛT 2025

Certains jours, en tant qu’administrateur informatique, on a l’impression d’être sous un feu constant : toutes les minutes, des bots et des cybercriminels tentent de trouver des failles dans le réseau. Un coup d’œil aux journaux du pare-feu montre un flot de tentatives de connexion suspectes venant du monde entier. Ne serait-il pas rassurant si les attaquants connus n’étaient même pas autorisés à frapper à la porte de votre propre réseau ? C’est exactement là que les Threat Feeds entrent en jeu – souvent appelés aussi Threat Intelligence Feeds ou Threat Intel Feeds en abrégé. Mais qu’est-ce qui se cache derrière, et pourquoi devriez-vous utiliser de tels flux sur le pare-feu ?

Pourquoi avez-vous besoin de Threat Feeds sur le pare-feu ?

Les Threat Feeds (en français environ flux de menaces) sont essentiellement des listes constamment mises à jour d’indicateurs de compromission connus (Indicators of Compromise - IoC) – par exemple, des adresses IP, des domaines ou des URL malveillants. Ces flux sont fournis par des sources spécialisées : organisations de sécurité, initiatives de l’industrie, communautés open source ou fournisseurs commerciaux de renseignement sur les menaces. Un pare-feu moderne peut importer de tels flux externes et ainsi bloquer automatiquement le trafic de données provenant de menaces connues avant même qu’une attaque n’ait lieu.

De nouvelles menaces apparaissent constamment, et aucun administrateur ne peut surveiller manuellement toutes les IP et domaines dangereux. Ici, un Threat Intelligence Feed fournit au pare-feu pratiquement des connaissances supplémentaires : il l’informe en continu sur les sources actuellement connues comme dangereuses. Ainsi, le pare-feu peut empêcher les connexions à ces cibles avant que les logiciels malveillants ou les attaquants ne causent des dommages. Dans les modèles de pare-feu plus récents (par ex. Sophos à partir de la version 21 avec Active Threat Response), la prise en charge de tels flux tiers est déjà fermement intégrée. Mais de nombreux autres fabricants ont également des fonctions similaires – le principe reste le même.

Les avantages d’un Threat Feed sur le pare-feu sont évidents :

  • Protection proactive : Les menaces connues sont bloquées avant qu’elles n’atteignent votre réseau et ne puissent causer des dommages.
  • Flexibilité : Vous pouvez utiliser des flux de diverses sources et les adapter à vos propres besoins – des flux communautaires gratuits aux flux premium hautement spécialisés.
  • Automatisation : Le pare-feu met à jour et utilise le flux automatiquement ; la mise à jour manuelle constante des listes de blocage n’est plus nécessaire, ce qui soulage considérablement les administrateurs.

En résumé, le pare-feu avec Threat Feed fonctionne comme un système d’alerte précoce qui intercepte les expéditeurs connus comme mauvais dès la limite du réseau. Cela augmente considérablement la sécurité de l’infrastructure et réduit en même temps notablement le trafic indésirable qui pénètre dans les systèmes internes.

Défense proactive : Arrêter les bots et les attaques à l’avance

Un exemple pratique de la valeur ajoutée des Threat Feeds est la défense contre les attaques basées sur des botnets. De nombreux mécanismes de sécurité (tels que le blocage après X tentatives échouées) détectent les attaques par force brute de manière relativement fiable si elles proviennent d’une seule adresse IP. Cependant, les attaquants modernes répartissent leurs tentatives sur de nombreux bots : chaque hôte infecté individuel tente, par exemple, seulement une ou deux tentatives de connexion, et ce sur une longue période. Aucune IP individuelle n’attire l’attention négativement localement – les attaques passent sous le radar et contournent les mécanismes de protection conventionnels tels que Fail2Ban ou les limites de connexion.

Ici, un Threat Intelligence Feed largement positionné joue sa force. Si les journaux de nombreux pare-feux sont évalués, on peut voir que certaines adresses IP montrent des activités suspectes réparties sur plusieurs systèmes. Si la même IP apparaît, par exemple, dans les journaux de connexion de dizaines d’entreprises différentes avec des tentatives échouées, c’est une indication claire d’une attaque coordonnée. De telles adresses sont alors marquées dans le Threat Feed et bloquées centralement. Votre propre pare-feu apprend de cela : dès qu’un de ces hôtes botnet essaie juste une fois avec vous, il est immédiatement identifié et repoussé – grâce à la connaissance du flux – sans qu’il puisse causer de dommages significatifs.

Télémétrie des pare-feux Avanet pour le Cybora Threat Intelligence Feed
Télémétrie des pare-feux Avanet pour le Cybora Threat Intelligence Feed

Figure : Le réseau mondial de pare-feux sert de système d’alerte précoce sensoriel. Si un pare-feu géré détecte une IP suspecte et la signale à la base de données cloud centrale, tous les participants connectés reçoivent cette information. L’IP malveillante est marquée dans le Threat Intelligence Feed et ainsi bloquée sur tous les pare-feux du réseau. De cette façon, tout le monde profite des expériences des autres. Cybora transforme ensuite ces données en un excellent Threat Feed pour nous.

Grâce à cette Threat Intelligence partagée, les attaques distribuées et insidieuses peuvent également être arrêtées de manière proactive. Chaque nouvelle adresse IP malveillante détectée atterrit dans le flux en peu de temps – et donc sur la liste de blocage de tous les pare-feux participants. En conséquence, le nombre de tentatives d’attaque réussies est considérablement réduit. Le pare-feu a moins de “bruit” à traiter, et les vraies attaques ont beaucoup plus de mal à passer inaperçues.

Intégration simple dans Sophos, Fortinet, Palo Alto & Co.

Heureusement, il est simple d’intégrer un Threat Feed dans les plateformes de pare-feu courantes. Bien que chez Avanet nous nous concentrions principalement sur Sophos Firewall, le feed peut être intégré tout aussi bien dans les solutions d’autres fabricants. Que ce soit Fortinet FortiGate, Palo Alto Networks, Check Point, OPNsense ou autres – la plupart des pare-feux modernes prennent en charge les listes de blocage/Threat Feeds externes et peuvent s’abonner à une liste d’IP/domaines via URL.

Ajouter des Threat Intelligence Feeds sur Sophos Firewall
Ajouter Threat Intelligence Feed sur Sophos Firewall

En utilisant Sophos XGS comme exemple, vous pouvez voir à quel point c’est facile : via l’interface web dans le menu “Third-Party Threat Feeds”, vous ajoutez un nouveau flux, spécifiez un nom, l’URL du flux et le type (IPv4, Domaine ou URL), sélectionnez Bloquer comme action – c’est fait. Cela fonctionne de manière similaire avec Fortinet ou Palo Alto, sauf que les fonctions sont nommées légèrement différemment là-bas (comme External Block List avec FortiGate ou External Dynamic List avec Palo Alto).

Généralement, seules quelques étapes sont nécessaires pour intégrer le Cybora Threat Feed :

  1. Obtenir l’URL du flux : D’abord, vous recevez l’URL du Threat Feed souhaité de notre part (par ex. pour le Basic Feed ou Premium).
  2. Entrer dans le pare-feu : Ouvrez la zone pour les Threat Feeds ou listes de blocage externes/personnalisés dans l’interface du pare-feu et ajoutez un nouveau flux/connecteur là-bas. Le nom et la description peuvent être choisis librement. Comme source, vous déposez l’URL du flux reçue.
  3. Définir les règles de filtrage : Spécifiez quel type d’indicateur est importé (adresses IPv4, domaines, URL) et ce que le pare-feu doit en faire – généralement bloquer. Ensuite, définissez l’intervalle d’interrogation (par ex. toutes les 6 heures) et enregistrez la configuration.

Après ces étapes, le pare-feu se connecte automatiquement au flux et charge les Indicateurs de Compromission actuels. À partir de ce moment, l’approvisionnement en Threat Intel s’exécute en arrière-plan : la liste des IP et domaines malveillants est régulièrement mise à jour, et le pare-feu bloque toutes les adresses qui y sont contenues de manière entièrement automatique. L’intégration ne prend souvent que quelques minutes – cependant, le gain de sécurité est énorme.

Threat Intelligence Feeds curatés par Cybora

Il existe maintenant de nombreuses listes de blocage et Threat Feeds disponibles gratuitement sur Internet. Alors pourquoi utiliser un feed de Cybora ? Le défi réside dans la qualité et l’actualité des données. Cybora a construit un Threat Intelligence Feed curaté, spécialement optimisé pour les pare-feux et constamment affiné. L’approche de Cybora combine de nombreuses sources et les filtre intelligemment pour fournir un résultat complet et fiable. Pour cela, nous utilisons entre autres :

  • Listes publiques de la communauté et OSINT : par ex. des listes de blocage connues de la communauté de sécurité qui collectent les menaces actuelles.
  • Threat Intelligence commerciale : flux de données achetés auprès de fournisseurs de sécurité spécialisés qui fournissent du matériel exclusif (par ex. sur de nouveaux domaines de logiciels malveillants).
  • Honeypots et capteurs propres : Cybora exploite des systèmes honeypot et utilise d’autres données de télémétrie pour détecter les attaquants, les IP, les domaines et les modèles d’attaque.
  • Télémétrie de pare-feux issus d’environnements clients : Les pare-feux gérés par Avanet peuvent fournir des journaux d’attaques et d’anomalies anonymisés, que Cybora intègre dans l’analyse et la curation du feed.

En fusionnant toutes ces informations, un flux de données constamment mis à jour d’indicateurs malveillants est créé, qui va bien au-delà des sources individuelles. Plus important encore : Cybora assure la curation et vérifie les données pour exclure largement les faux positifs. Au lieu de simplement déverser toutes les listes possibles sans examen – ce qui pourrait facilement bloquer faussement des services légitimes – nous nous concentrons sur la qualité plutôt que sur la quantité. Chaque IP ou domaine dans le Cybora Feed s’est réellement fait remarquer comme une attaque ou une infrastructure malveillante, souvent sur plusieurs systèmes indépendants. Cela vous permet de faire confiance au Cybora Feed et de l’activer sur le pare-feu en toute bonne conscience, sans avoir à craindre de bloquer inutilement le trafic légitime.

Le Cybora Threat Intelligence Feed est utilisé depuis un certain temps sur plusieurs pare-feux que nous gérons et a été testé dans différents environnements clients dans des conditions réelles. Dans des déploiements contrôlés, nous avons continuellement affiné la logique de curation, les intervalles de mise à jour et les contrôles de qualité. Le résultat est un feed stable et pratique qui fonctionne sur le pare-feu sans effort supplémentaire et est continuellement amélioré avec des retours opérationnels. Ainsi, les nouvelles installations bénéficient immédiatement des résultats du terrain.

Quatre paquets de Threat Feed pour chaque besoin

Tous les environnements n’ont pas besoin de la même profondeur de Threat Intelligence. Par conséquent, nous proposons le Cybora Threat Feed en quatre étapes d’extension – du paquet de base gratuit à la solution haut de gamme. Ainsi, chacun trouve le bon niveau de protection :

Basic

  • 0 CHF par an
  • Intervalle de mise à jour : toutes les 24 h
  • Flux IPv4 : ≈ 30 000 IP

Demander le flux

Standard

  • 179 $ par an
  • Intervalle de mise à jour : toutes les 6 h
  • Flux IPv4 : ≈ 45 000 IP
  • Support
  • 100 % de réduction pour les clients avec abonnement Sophos Firewall*

S’abonner

Premium

  • 349 $ par an
  • Intervalle de mise à jour : toutes les 1 h
  • Flux IPv4 : ≈ 120 000 IP
  • Flux Domaine / URL
  • Support

S’abonner

Ultimate

1999 $ par an

  • Intervalle de mise à jour : toutes les 15 min
  • Flux IPv4 : > 220 000 IP
  • Flux Domaine / URL
  • Support

S’abonner

  • Basic : Protection de base gratuite avec des listes de base communautaires. Contient environ 30 000 adresses IP malveillantes connues et est mis à jour toutes les 24 heures. Idéal pour les petits environnements qui souhaitent une protection de base solide à moindre coût.
  • Standard : Flux standard curaté avec une couverture plus large (env. 45 000 IP) et des mises à jour toutes les 6 heures. Intègre des sources fiables supplémentaires pour permettre une détection plus précise et réduire le nombre de faux positifs. Convient aux entreprises qui souhaitent augmenter notablement leur sécurité et réduire en même temps le trafic inutile.
  • Premium : Flux premium pour des exigences élevées, mis à jour toutes les heures. Comprend environ 120 000 mauvaises IP connues ainsi que – à partir du T4/2025 – des flux de domaines et d’URL étendus supplémentaires (plus de 30 listes curatées). Contient des données exclusives de nos honeypots, flux partenaires et analyses en temps réel. Pour les organisations qui ne veulent pas faire de compromis sur la sécurité.
  • Ultimate : Le paquet complet sans souci avec une couverture maximale. Contient tous les points de données disponibles (actuellement plus de 220 000 IP) et est mis à jour toutes les 15 minutes – presque en temps réel. Offre la plus haute protection possible et est particulièrement intéressant pour les infrastructures critiques ou les grandes entreprises qui souhaitent s’armer contre toute menace. (Ce paquet est proposé individuellement et s’adresse aux environnements très exigeants.)

Toutes les variantes du Cybora Threat Feed sont entièrement compatibles avec Sophos Firewall (à partir de v21 avec le pack de licence Xstream Protection correspondant) et les autres systèmes mentionnés. Vous pouvez commencer petit – par exemple avec le flux de base gratuit – et passer à des niveaux supérieurs si nécessaire si les exigences de sécurité augmentent. Pour les clients existants qui utilisent déjà notre abonnement Sophos Firewall, il y a des réductions sur les paquets de flux payants, donc une intégration vaut doublement la peine.

Conclusion – Essayez et ayez une longueur d’avance sur le danger

Les attaques deviennent chaque jour plus sophistiquées et nombreuses – mais vous n’avez pas à y faire face sans protection. Un Threat Intelligence Feed donne au pare-feu l’avantage nécessaire pour bloquer les sources de danger connues avant même qu’elles ne frappent à la porte. L’expérience montre : Une fois qu’un tel flux est activé, on est souvent surpris de voir combien de tentatives de connexion sont automatiquement empêchées dès les premiers jours. Toutes les demandes de bots, scanners et tentatives de connexion douteuses, qui devaient auparavant être laborieusement repoussées par des systèmes internes ou par des règles séparées, rebondissent désormais directement sur le pare-feu.

Alors pourquoi ne pas simplement expérimenter par vous-même la différence que cela fait ? Avec le Cybora Basic Feed, vous pouvez tester gratuitement et sans engagement combien de trafic indésirable se produit dans votre propre environnement – et combien est déjà étouffé dans l’œuf par le Threat Feed. Les résultats obtenus créent la confiance : vous voyez noir sur blanc quelle partie du trafic quotidien est réellement malveillante et ne sollicite désormais plus du tout l’infrastructure de sécurité.

En fin de compte, ce qui suit s’applique : “Votre pare-feu mérite plus de connaissances.” Un Threat Feed est un moyen efficace de fournir ces connaissances. En utilisant l’intelligence en essaim de milliers de sources, vous restez toujours une longueur d’avance sur les attaquants. Essayez-le – votre pare-feu (et votre tranquillité d’esprit) vous remercieront.

FAQ

Qu'est-ce qu'un Threat Feed ou Threat Intelligence Feed ?

Un flux de données mis à jour en continu avec des indicateurs d’attaques tels que des IP, des domaines ou des URL qui peuvent être bloqués automatiquement par le pare-feu.

En quoi un Threat Feed diffère-t-il des règles de pare-feu classiques ou de l'IPS ?

Les Threat Feeds fonctionnent sur la base de la réputation et de manière proactive avant qu’une attaque ne devienne apparente. Les règles et l’IPS réagissent principalement aux modèles dans le trafic. Les deux se complètent.

Quelles exigences de licence s'appliquent à Sophos ?

Pour l’intégration confortable de flux externes, Xstream Protection est généralement requis.

Quels pare-feux sont pris en charge ?

Sophos, Fortinet, Palo Alto, Check Point, OPNsense et d’autres plateformes prenant en charge les listes de blocage externes ou les External Dynamic Lists.

Depuis quand le feed Cybora est-il utilisé ?

Nous testons régulièrement différents Threat Feeds. Le feed de Cybora s’est jusqu’à présent le mieux distingué : il offre un excellent rapport qualité-prix et est spécialement optimisé pour une utilisation sur les pare-feux.

Quelle est la taille du réseau Threat Intel de Cybora ?

Des centaines de pare-feux clients en production ainsi que plusieurs serveurs honeypot répartis dans le monde entier sur cinq continents fournissent en continu des données de télémétrie. Ces données alimentent le Cybora Threat Feed sous forme curatée et sont mises à jour en permanence.

La transmission de données de télémétrie à Cybora se fait exclusivement après accord préalable avec le client concerné. De plus, nous anonymisons les données au préalable avant qu’elles ne soient intégrées à l’analyse et à la curation.

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.