Aller au contenu
Avanet
Threat Intelligence Feeds pour pare-feu – bloquer les attaques avant qu'elles ne frappent

Threat Intelligence Feeds pour pare-feu – bloquer les attaques avant qu'elles ne frappent

Certains jours, un administrateur IT a l’impression d’être sous un feu permanent : à intervalles de quelques minutes, des bots et des cybercriminels tentent de trouver des failles dans le réseau. Un coup d’œil aux logs du pare-feu montre une avalanche de tentatives de connexion suspectes venues du monde entier. Ne serait-il pas rassurant d’empêcher les attaquants connus d’arriver jusqu’à votre réseau ? C’est précisément là que les Threat Feeds entrent en jeu – souvent appelés Threat Intelligence Feeds ou, plus brièvement, Threat Intel Feeds. Mais de quoi s’agit-il exactement, et pourquoi utiliser de tels feeds sur un pare-feu ?

Pourquoi avez-vous besoin de Threat Feeds sur le pare-feu ?

Les Threat Feeds sont, en substance, des listes mises à jour en continu d’Indicators of Compromise (IoC) connus – par exemple des adresses IP, domaines ou URL malveillants. Ces feeds sont fournis par des sources spécialisées : organisations de sécurité, initiatives sectorielles, communautés open source ou fournisseurs commerciaux de Threat Intelligence. Un pare-feu moderne peut importer ces feeds externes et bloquer automatiquement le trafic provenant de menaces connues, avant même qu’une attaque ne se concrétise.

De nouvelles menaces apparaissent en permanence, et aucun administrateur ne peut garder manuellement une vue complète sur toutes les IP et tous les domaines dangereux. Un Threat Intelligence Feed apporte ici au pare-feu une connaissance supplémentaire : il l’informe en continu des sources actuellement considérées comme dangereuses. Le pare-feu peut ainsi bloquer les connexions vers ou depuis ces destinations avant que des malwares ou des attaquants ne causent des dégâts. Dans les modèles de pare-feu récents, par exemple Sophos à partir de la version 21 avec Active Threat Response, la prise en charge de feeds tiers est déjà intégrée. De nombreux autres fabricants proposent des fonctions similaires ; le principe reste le même.

Les avantages d’un Threat Feed sur le pare-feu sont évidents :

  • Protection proactive : Les menaces connues sont bloquées avant qu’elles n’atteignent votre réseau et ne puissent causer des dommages.
  • Flexibilité : Vous pouvez utiliser des feeds provenant de différentes sources et les adapter à vos propres besoins – depuis des feeds communautaires gratuits jusqu’à des feeds premium hautement spécialisés.
  • Automatisation : Le pare-feu met à jour et utilise le feed automatiquement ; la maintenance manuelle permanente de listes de blocage disparaît, ce qui soulage considérablement les administrateurs.

En résumé, un pare-feu enrichi par un Threat Feed fonctionne comme un système d’alerte précoce : les expéditeurs connus comme malveillants sont interceptés dès la frontière du réseau. Cela augmente nettement la sécurité de l’infrastructure et réduit en même temps le trafic indésirable qui atteint les systèmes internes.

Défense proactive : arrêter les bots et les attaques en amont

Un exemple concret de la valeur ajoutée des Threat Feeds est la défense contre les attaques basées sur des botnets. De nombreux mécanismes de sécurité, comme le blocage après X échecs, détectent assez fiablement les attaques par force brute lorsqu’elles proviennent d’une seule adresse IP. Les attaquants modernes répartissent toutefois leurs tentatives sur de nombreux bots : chaque hôte infecté ne tente par exemple qu’une ou deux connexions, et ce sur une longue période. Aucune IP ne se distingue localement de manière négative ; les attaques restent sous le radar et contournent les mécanismes classiques comme Fail2Ban ou les limites de connexion.

C’est là qu’un Threat Intelligence Feed à large couverture montre sa force. En analysant les logs de nombreux pare-feu, on peut identifier des adresses IP qui présentent des activités suspectes sur plusieurs systèmes. Si une même IP apparaît par exemple dans les logs de connexion de dizaines d’entreprises différentes avec des échecs répétés, c’est un indice clair d’une attaque coordonnée. Ces adresses sont alors marquées dans le Threat Feed et bloquées de manière centrale. Votre propre pare-feu en bénéficie : dès qu’un de ces hôtes de botnet tente ne serait-ce qu’une connexion chez vous, il est immédiatement identifié et bloqué grâce aux informations du feed, avant de pouvoir causer des dégâts notables.

Télémétrie des pare-feux Avanet pour le Cybora Threat Intelligence Feed
Télémétrie des pare-feux Avanet pour le Cybora Threat Intelligence Feed

Figure : Le réseau mondial de pare-feux sert de système d’alerte précoce sensoriel. Lorsqu’un pare-feu géré détecte une IP suspecte et la signale à la base de données cloud centrale, tous les participants connectés reçoivent cette information. L’IP malveillante est marquée dans le Threat Intelligence Feed et ainsi bloquée sur tous les pare-feux du réseau. Tous profitent ainsi de l’expérience des autres. Cybora transforme ensuite ces données pour nous en un Threat Feed de grande qualité.

Grâce à cette Threat Intelligence partagée, même les attaques distribuées et progressives peuvent être stoppées de manière proactive. Chaque nouvelle adresse IP malveillante détectée arrive rapidement dans le feed – et donc sur la liste de blocage de tous les pare-feux participants. Résultat : le nombre de tentatives d’attaque qui passent réellement diminue fortement. Le pare-feu doit traiter moins de « bruit », et les vraies attaques ont beaucoup plus de mal à passer inaperçues.

Intégration simple dans Sophos, Fortinet, Palo Alto & Co.

Heureusement, l’intégration d’un Threat Feed dans les plateformes de pare-feu courantes est simple. Chez Avanet, nous nous concentrons principalement sur Sophos Firewall, mais le feed peut tout aussi bien être intégré dans les solutions d’autres fabricants. Qu’il s’agisse de Fortinet FortiGate, Palo Alto Networks, Check Point, OPNsense ou d’autres plateformes, la plupart des pare-feux modernes prennent en charge des listes de blocage/Threat Feeds externes et peuvent s’abonner par URL à une liste d’IP ou de domaines.

Ajouter des Threat Intelligence Feeds sur Sophos Firewall
Ajouter Threat Intelligence Feed sur Sophos Firewall

L’exemple de Sophos XGS montre à quel point l’intégration est simple : dans l’interface web, via le menu “Third-Party Threat Feeds”, on ajoute un nouveau feed, on indique un nom, l’URL du feed et le type (IPv4, domaine ou URL), puis on choisit Bloquer comme action. C’est tout. Le principe est similaire chez Fortinet ou Palo Alto ; seules les fonctions portent d’autres noms, par exemple External Block List chez FortiGate ou External Dynamic List chez Palo Alto.

Généralement, seules quelques étapes sont nécessaires pour intégrer le Cybora Threat Feed :

  1. Obtenir l’URL du feed : vous recevez d’abord de notre part l’URL du Threat Feed souhaité, par exemple pour le Basic Feed ou Premium.
  2. Le saisir dans le pare-feu : dans l’interface du pare-feu, ouvrez la zone dédiée aux Threat Feeds externes/personnalisés ou aux listes de blocage, puis ajoutez un nouveau feed/connecteur. Le nom et la description peuvent être choisis librement. Comme source, indiquez l’URL reçue.
  3. Définir les règles de filtrage : indiquez le type d’indicateur importé (adresses IPv4, domaines, URL) et l’action que le pare-feu doit appliquer – généralement bloquer. Définissez ensuite l’intervalle de récupération, par exemple toutes les 6 heures, puis enregistrez la configuration.

Après ces étapes, le pare-feu se connecte automatiquement au feed et charge les Indicators of Compromise actuels. À partir de ce moment, l’alimentation Threat Intel fonctionne en arrière-plan : la liste des IP et domaines malveillants est régulièrement mise à jour, et le pare-feu bloque automatiquement toutes les adresses qu’elle contient. L’intégration ne prend souvent que quelques minutes, alors que le gain de sécurité est considérable.

Threat Intelligence Feeds curatés par Cybora

Il existe aujourd’hui de nombreuses listes de blocage et Threat Feeds librement disponibles sur Internet. Pourquoi utiliser un feed de Cybora ? Le défi réside dans la qualité et l’actualité des données. Cybora a construit un Threat Intelligence Feed curaté, spécialement optimisé pour l’utilisation sur des pare-feu et affiné en continu. L’approche de Cybora combine de nombreuses sources et les filtre intelligemment afin de produire un résultat complet et fiable. Nous utilisons notamment :

  • Listes communautaires et OSINT publiques : par exemple des listes de blocage reconnues dans la communauté sécurité, qui collectent les menaces actuelles.
  • Threat Intelligence commerciale : des feeds de données achetés auprès de fournisseurs de sécurité spécialisés, qui apportent des informations exclusives, par exemple sur de nouveaux domaines de malwares.
  • Honeypots et capteurs propres : Cybora exploite des systèmes honeypot et utilise d’autres données de télémétrie pour identifier des attaquants, IP, domaines et modèles d’attaque.
  • Télémétrie de pare-feux issus d’environnements clients : les pare-feux gérés par Avanet peuvent fournir des logs d’attaques et d’anomalies anonymisés, que Cybora intègre dans l’analyse et la curation du feed.

La consolidation de toutes ces informations crée un flux de données constamment mis à jour avec des indicateurs malveillants qui dépasse largement les sources individuelles. Plus important encore : Cybora effectue la curation et vérifie les données afin de limiter autant que possible les faux positifs. Au lieu de verser sans contrôle toutes les listes disponibles dans un même ensemble – ce qui pourrait facilement bloquer à tort des services légitimes – nous privilégions la qualité plutôt que la quantité. Chaque IP ou domaine du Cybora Feed s’est réellement manifesté comme attaque ou infrastructure malveillante, souvent sur plusieurs systèmes indépendants. On peut donc faire confiance au Cybora Feed et l’activer sur le pare-feu avec sérénité, sans craindre de bloquer inutilement du trafic légitime.

Le Cybora Threat Intelligence Feed est utilisé depuis un certain temps sur plusieurs pare-feux que nous gérons et a été éprouvé dans différents environnements clients en conditions réelles. Lors de rollouts contrôlés, nous avons continuellement affiné la logique de curation, les intervalles de mise à jour et les contrôles qualité. Le résultat est un feed stable et opérationnel, qui agit sur le pare-feu sans effort supplémentaire et continue de s’améliorer grâce aux retours du terrain. Les nouvelles installations bénéficient ainsi immédiatement des enseignements déjà collectés.

Quatre packs Threat Feed pour chaque besoin

Tous les environnements n’ont pas besoin du même niveau de profondeur en Threat Intelligence. Nous proposons donc le Cybora Threat Feed en quatre niveaux – du pack de base gratuit à la solution haut de gamme. Chacun peut ainsi choisir le niveau de protection adapté :

Basic

  • 0 CHF par an
  • Intervalle de mise à jour : toutes les 24 h
  • Feeds IPv4 : ≈ 30 000 IP

Demander le feed

Standard

  • 179 $ par an
  • Intervalle de mise à jour : toutes les 6 h
  • Feeds IPv4 : ≈ 45 000 IP
  • Support
  • 100 % de réduction pour les clients avec abonnement Sophos Firewall*

S’abonner

Premium

  • 349 $ par an
  • Intervalle de mise à jour : toutes les 1 h
  • Feeds IPv4 : ≈ 120 000 IP
  • Feeds domaine / URL
  • Support

S’abonner

Ultimate

1999 $ par an

  • Intervalle de mise à jour : toutes les 15 min
  • Feeds IPv4 : > 220 000 IP
  • Feeds domaine / URL
  • Support

S’abonner

  • Basic : protection de base gratuite avec des listes de base communautaires. Contient environ 30 000 adresses IP malveillantes connues et est mis à jour toutes les 24 heures. Idéal pour les petits environnements qui veulent une protection solide à coût nul.
  • Standard : feed standard curaté avec une couverture plus large (env. 45 000 IP) et des mises à jour toutes les 6 heures. Il intègre des sources fiables supplémentaires afin d’améliorer la précision de détection et de réduire les faux positifs. Adapté aux entreprises qui veulent renforcer sensiblement leur sécurité tout en réduisant le trafic inutile.
  • Premium : feed premium pour exigences élevées, mis à jour toutes les heures. Il comprend environ 120 000 IP malveillantes connues ainsi que, à partir du T4/2025, des feeds domaine et URL étendus (plus de 30 listes curatées). Il contient des données exclusives issues de nos honeypots, de feeds partenaires et d’analyses en temps réel. Pour les organisations qui ne veulent pas faire de compromis sur la sécurité.
  • Ultimate : le pack complet avec couverture maximale. Il contient tous les points de données disponibles (actuellement plus de 220 000 IP) et est mis à jour toutes les 15 minutes, quasiment en temps réel. Il offre le niveau de protection le plus élevé et s’adresse particulièrement aux infrastructures critiques ou aux grandes entreprises qui souhaitent se prémunir contre tout type de menace. Ce pack est proposé individuellement et vise les environnements très exigeants.

Toutes les variantes du Cybora Threat Feed sont entièrement compatibles avec Sophos Firewall (à partir de v21 avec le bundle de licence Xstream Protection correspondant) et avec les autres systèmes mentionnés. Il est possible de commencer modestement, par exemple avec le Basic Feed gratuit, puis de passer à des niveaux supérieurs si les exigences de sécurité augmentent. Les clients existants qui utilisent déjà notre abonnement Sophos Firewall bénéficient en outre de réductions sur les packs payants, ce qui rend l’intégration doublement intéressante.

Conclusion – essayer et garder une longueur d’avance

Les attaques deviennent chaque jour plus sophistiquées et plus nombreuses, mais il n’est pas nécessaire d’y faire face sans protection. Un Threat Intelligence Feed donne au pare-feu l’avance nécessaire pour bloquer les sources de danger connues avant même qu’elles ne frappent à la porte. L’expérience montre qu’une fois un tel feed activé, on est souvent surpris du nombre de tentatives de connexion automatiquement bloquées dès les premiers jours. Toutes les requêtes de bots, scanners et tentatives de connexion douteuses qui devaient auparavant être arrêtées laborieusement par des systèmes internes ou des règles séparées sont désormais stoppées directement au niveau du pare-feu.

Pourquoi ne pas constater vous-même la différence ? Avec le Cybora Basic Feed, vous pouvez tester gratuitement et sans engagement la quantité de trafic indésirable qui apparaît dans votre propre environnement – et la part déjà stoppée à la source par le Threat Feed. Les résultats créent de la confiance : vous voyez noir sur blanc quelle part du trafic quotidien est réellement malveillante et ne sollicite désormais plus votre infrastructure de sécurité.

Au final, une chose reste vraie : “Votre pare-feu mérite plus de connaissances.” Un Threat Feed est un moyen efficace de lui fournir ces connaissances. En exploitant l’intelligence collective de milliers de sources, vous gardez toujours une longueur d’avance sur les attaquants. Essayez-le – votre pare-feu, et votre tranquillité d’esprit, vous remercieront.

FAQ

Qu'est-ce qu'un Threat Feed ou Threat Intelligence Feed ?

Un flux de données mis à jour en continu avec des indicateurs d’attaques tels que des IP, des domaines ou des URL qui peuvent être bloqués automatiquement par le pare-feu.

En quoi un Threat Feed diffère-t-il des règles de pare-feu classiques ou de l'IPS ?

Les Threat Feeds fonctionnent sur la base de la réputation et de manière proactive avant qu’une attaque ne devienne apparente. Les règles et l’IPS réagissent principalement aux modèles dans le trafic. Les deux se complètent.

Quelles exigences de licence s'appliquent à Sophos ?

Pour l’intégration confortable de flux externes, Xstream Protection est généralement requis.

Quels pare-feux sont pris en charge ?

Sophos, Fortinet, Palo Alto, Check Point, OPNsense et d’autres plateformes prenant en charge les listes de blocage externes ou les External Dynamic Lists.

Depuis quand le feed Cybora est-il utilisé ?

Nous testons régulièrement différents Threat Feeds. Le feed de Cybora s’est jusqu’à présent le mieux distingué : il offre un excellent rapport qualité-prix et est spécialement optimisé pour une utilisation sur les pare-feux.

Quelle est la taille du réseau Threat Intel de Cybora ?

Des centaines de pare-feux clients en production ainsi que plusieurs serveurs honeypot répartis dans le monde entier sur cinq continents fournissent en continu des données de télémétrie. Ces données alimentent le Cybora Threat Feed sous forme curatée et sont mises à jour en permanence.

La transmission de données de télémétrie à Cybora se fait exclusivement après accord préalable avec le client concerné. De plus, nous anonymisons les données au préalable avant qu’elles ne soient intégrées à l’analyse et à la curation.

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.