Par John Williamson, directeur des revenus (CRO))
Pendant quinze ans, le marché du renseignement sur les menaces externes a fonctionné selon un principe simple : analyser le dark web, détecter les menaces, alerter le client, et recommencer. Les entreprises qui ont dominé cette période, comme Recorded Future et ZeroFox, ont construit des plateformes impressionnantes. Elles ont répertorié des milliards de menaces, généré des milliers d’alertes et rédigé des rapports détaillés.
Et les entreprises continuaient malgré tout à subir des violations de données.
En 2021, j'ai réorienté ma carrière en cybersécurité, passant des services gérés au renseignement sur les cybermenaces, afin de vendre des services de surveillance du dark web, au moment même où ce dernier devenait le principal terrain d'opérations des cybercriminels. J'ai rapidement constaté une tendance : les équipes de sécurité des entreprises étaient ravies lorsque nous découvrions des fuites de données, le plus souvent des identifiants d'employés sur Tor, I2P, Freenet et autres réseaux du dark web. La couverture était impressionnante et les informations sur les acteurs malveillants précieuses. Puis, trois mois après le déploiement, on nous appelait : « Nous sommes submergés d'alertes et avons du mal à les prioriser. Pouvez-vous nous aider à y voir plus clair ? »
Le réglage n'a jamais résolu le problème. Car la véritable difficulté ne résidait pas dans la fiabilité des alertes, mais dans le fait que le processus de veille sur les menaces supposait une capacité humaine illimitée pour traiter les données. Chaque alerte nécessitait l'intervention d'un analyste pour enquêter, la valider, créer un ticket, attendre la réponse du service informatique, puis prendre des mesures correctives. Cette approche, impliquant plusieurs équipes, engendrait des délais de plusieurs jours, voire de plusieurs semaines. Le problème, c'est que les acteurs malveillants agissaient plus vite.
L'envoi d'alertes critiques et opportunes directement à un SIEM, un canal Slack ou même des e-mails prioritaires s'est avéré inefficace, car le délai de correction persistait dans ces processus nécessitant une intervention humaine. L'exposition des identifiants et des identités a été présentée comme un simple problème de visibilité, alors qu'elle révélait en réalité bien plus : un problème de rapidité de correction.
La rupture structurelle avec le renseignement sur les menaces de première génération
Puis un événement est survenu qui a fait basculer ce problème dans une autre dimension – un développement insidieux que, même aujourd'hui, une grande partie du marché de la cybersécurité n'a pas encore saisi, malgré son ampleur.
Le logiciel malveillant voleur d'informations L'économie n'a pas seulement crû, elle s'est industrialisée. Redline, Vidar, Raccoon, Lumma : il ne s'agit pas d'outils APT sophistiqués, mais de quelques exemples parmi une liste croissante de fournisseurs proposant des abonnements à 150 $ par mois de logiciels malveillants à la demande. Les barrières à l'entrée pour les entreprises ont disparu.
Courtiers en accès initial Flare monétise les identifiants d'entreprise, les cookies de session et les jetons MFA actifs dans les 48 heures suivant leur vol. Le délai entre l'infection d'un employé et la présence d'un acteur malveillant au sein du réseau est passé de plusieurs jours à quelques heures. Flare collecte environ 1.7 million de jetons MFA. journaux de vol d'informations on Chaînes de télégramme surélevées que pour les marchés du dark web chaque semaine. Et ces journaux ont révélé une tendance inquiétante concernant l'exposition des identités d'entreprise à l'approche de 2026 : la proportion d'infections permettant un accès aux identités d'entreprise a augmenté à partir d'environ De 6 % en janvier 2024 à près de 14 % de l'ensemble des grumes en novembre 2025, et cette croissance s'est poursuivie depuis..
Les responsables de la cybersécurité ne peuvent plus résoudre manuellement un problème d'automatisation. L'exposition des identités est devenue la nouvelle surface d'attaque, mais le problème de remédiation est structurel, et non tactique.
Les fournisseurs de renseignements sur les menaces de première génération étaient des pionniers, et ils ont réalisé évaluations Pour le prouver. Cependant, leurs efforts de collecte de données se sont concentrés sur deux indicateurs principaux seulement : la couverture des sources et la fiabilité des alertes, deux causes certes louables. Mais un volume de détections sans rapidité de correction ne fait qu'engendrer une saturation d'alertes. Ajouter des informations plus précises sans modifier le flux de travail sous-jacent ne fait qu'amplifier le problème au lieu de le résoudre.
La prolifération des logiciels malveillants voleurs d'informations et l'économie souterraine qu'elle a engendrée ont mis en lumière cette faiblesse structurelle.
Gestion de l'exposition de l'identité : de « souhaitable » à « indispensable »
De nombreuses plateformes développent des améliorations itératives sur une architecture qui n'a pas permis de faire du renseignement sur les menaces une nécessité universelle. De l'exploration améliorée du dark web à la détection des usurpations d'identité sur les réseaux sociaux, en passant par de nouvelles sources de données et la priorisation par l'IA, il s'agit certes de progrès incrémentaux. Cependant, la vérité est qu'il ne s'agit que de simples ajustements apportés à des systèmes conçus pour un paysage de menaces qui n'existe plus.
Flare a construit un Gestion de l'exposition aux menaces (TEM) Une architecture technologique reposant sur un postulat différent : la détection sans remédiation automatisée n’est que du théâtre. Flare représente un nouveau paradigme en matière de renseignement sur les cybermenaces – et non de simples nouveautés. must-have la cyber-sécurité.
L'approche de Flare Gestion de l'exposition de l'identité (IEM) La différence est fondamentale. Nous ne nous contentons pas de vous informer que vos identifiants sont compromis ; nous vous donnons les moyens d’agir immédiatement et automatiquement.
Ceci est rendu possible grâce à une intégration transparente avec Microsoft Entra ID (et très prochainement avec Okta, Ping Identity et tous les autres fournisseurs d'identité), permettant aux équipes de sécurité d'automatiser la remédiation. Lorsque Flare détecte une authentification compromise dans un journal de vol d'identité, aucun ticket n'est généré. La plateforme vérifie la validité du mot de passe, puis active une réinitialisation de mot de passe ou d'autres actions via l'API du fournisseur d'identité en quelques secondes. Aucune intervention humaine n'est requise. Plus besoin d'attendre le tri de l'équipe de sécurité ni d'espérer que les employés répondent à l'e-mail de réinitialisation.
L'identifiant est invalidé avant que l'attaquant puisse le monétiser. Cela change tout.
Les MSSP modernes d'aujourd'hui s'en rendent également compte.
Les fournisseurs de sécurité gérés les plus performants ont bien compris cette évolution. Ils ne cherchent pas à surveiller davantage de flux de renseignements sur les menaces, mais plutôt une infrastructure de remédiation qu'ils peuvent intégrer à leurs services.
L'architecture API-first de Flare permet aux MSSP d'intégrer la gestion automatisée des risques d'exposition d'identité à leur infrastructure de services. Lorsqu'une authentification compromise est détectée, la correction est automatique grâce à l'intégration avec leur fournisseur d'identité : aucune intervention de l'équipe informatique du client, aucune attente de réponse des employés, aucun suivi manuel de la finalisation de la correction.
Cela transforme le modèle de service des MSSP. Au lieu de vendre « nous vous alerterons plus rapidement », ils vendent « nous neutraliserons automatiquement la menace ». La proposition de valeur passe de la détection à la résolution, et l'efficacité opérationnelle est considérablement améliorée.
Les fournisseurs de services de sécurité gérés (MSSP) qui adopteront cette architecture remporteront des contrats d'entreprise face à leurs concurrents qui fonctionnent encore avec des modèles basés sur les alertes. Flare devient la couche d'infrastructure qui sépare la sécurité gérée de nouvelle génération des services traditionnels.
Le fossé des données
Même avec une automatisation de pointe associée à une veille sur les menaces, il est impossible d'arrêter une menace invisible. Flare offre une visibilité acquise grâce à près de dix ans d'infrastructure de collecte sur le dark web, constituant ainsi la base d'une télémétrie inégalée qui alimente sa remédiation automatisée. Aujourd'hui, la plateforme surveille en temps réel plus de 58 000 chaînes Telegram, forums d'acteurs malveillants, places de marché et bases de données de voleurs de données.
Chaque semaine, 50 millions d'identifiants sont échangés sur ces plateformes, à une vitesse vertigineuse. L'établissement des relations d'accès nécessaires prend des années, et la sécurité opérationnelle requise pour maintenir une présence dans des environnements hostiles est complexe. La technologie éprouvée de reconnaissance de formes de Flare permet de distinguer le signal du bruit. Un identifiant apparaissant aujourd'hui peut être sans signification. Cependant, si ce même identifiant apparaît auprès de trois acteurs malveillants différents sur une période de six mois, cela indique une compromission de la chaîne d'approvisionnement en identités.
La remédiation des atteintes à l'identité est une infrastructure critique
Flare ne vise pas seulement à concurrencer le marché du renseignement sur les menaces. Nous développons la catégorie Gestion de l'exposition des identités. Cette distinction est importante. Le renseignement sur les menaces représente un centre de coûts. L'infrastructure d'identité est essentielle au bon fonctionnement de l'entreprise. Le renseignement sur les menaces est évalué lors des audits annuels des outils de sécurité. L'infrastructure d'identité est intégrée à l'architecture IAM de l'entreprise et à la prestation de services MSSP.
Les entreprises qui ont dominé la précédente période ont optimisé leurs processus pour les analystes. Flare, quant à elle, mise sur l'intégration des fournisseurs d'identité et l'automatisation des services gérés. Clientèle différente. Contexte économique différent. Dynamique concurrentielle différente.
Je pense que Flare deviendra la couche de validation d'exposition qui s'intercale entre les fournisseurs d'identité et l'émission des identifiants. Avant de réinitialiser un mot de passe, Microsoft Entra consulte l'API de Flare pour vérifier si l'identité est actuellement exposée. Avant d'émettre un nouveau jeton de session, Okta valide le score de sécurité des identifiants par rapport à la base de données d'exposition de Flare.
Prenons l'exemple suivant : chez tous ses clients, Flare a constaté qu'à peine plus de 1 % des événements de validation d'identifiants se sont révélés être de vrais positifs, c'est-à-dire que le compte exposé et les identifiants associés étaient toujours actifs dans l'environnement du client. Ce taux de vrais positifs de 1 % se traduit par une réduction du risque de 100 % lorsqu'il est entièrement automatisé, sans intervention humaine. Aucun système d'alerte ne peut atteindre un tel niveau.
L'histoire se répète : l'économie du vol d'informations a créé la même vulnérabilité structurelle que celle des cartes de crédit avant que la détection des fraudes ne devienne la norme. Flare se positionne comme l'infrastructure de prévention de la fraude en matière d'identité. De même que les processeurs de paiement ne pourraient fonctionner sans systèmes de détection des fraudes, les fournisseurs d'identité ne peuvent fonctionner sans surveillance des expositions.
Il ne s'agit pas de renseignements sur les menaces vendus uniquement aux équipes de sécurité. Il s'agit d'une infrastructure dont les fournisseurs d'identité et les MSSP dépendent pour fonctionner en toute sécurité.
Pourquoi je rejoins Flare maintenant
Le moment est opportun. L'économie du vol d'informations a atteint un point critique en 2024-2025. Les fournisseurs de services de sécurité gérés (MSSP) recherchent activement des partenaires pour l'automatisation de la remédiation. Le cadre réglementaire se durcit : exigences en matière d'assurance cybersécurité, règles de divulgation de la SEC, lois étatiques sur la protection de la vie privée, règlement européen sur les services numériques (DSR) – tous ces éléments accroissent la responsabilité en cas de fuite d'identifiants.
Flare utilise cette architecture depuis des années. Les intégrations et l'automatisation sont fonctionnelles, et l'infrastructure de collecte de données est mature. Flare déploie un système opérationnel à grande échelle afin de faire de la gestion et de la correction des atteintes à l'identité une norme du secteur, tout en définissant les opérations de sécurité de nouvelle génération.
Le marché va rapidement se scinder. Les fournisseurs de services de sécurité gérés (MSSP) qui intègrent la remédiation automatisée remporteront des contrats d'entreprise au détriment de leurs concurrents qui continuent de générer des tickets d'incident. Les entreprises qui déploient une infrastructure de remédiation réduiront les risques de violation de données tandis que leurs concurrents seront submergés par les alertes.
Le paysage des menaces va continuer de s'accélérer, les logiciels malveillants voleurs d'informations devenant toujours plus performants et moins coûteux. Le problème de l'exposition des identifiants va s'aggraver avant de s'améliorer. Les entreprises qui fonctionnent encore avec des systèmes d'alerte généreront davantage de bruit et apporteront moins de valeur ajoutée.
J'ai rejoint Flare car je suis convaincu que nous construisons l'infrastructure qui façonnera la sécurité des identités pour la prochaine décennie. Non pas une meilleure veille sur les menaces, mais une infrastructure qui permette aux fournisseurs d'identité d'opérer en toute sécurité dans un monde où les identifiants sont compromis à grande échelle.
La première génération s'est achevée. Flare définit la suite.
Parlons de la prochaine génération de gestion de l'exposition aux menaces
Si vous êtes un responsable de la sécurité qui souhaite explorer l'avenir du renseignement sur les menaces et prioriser la remédiation, nous voulons vous inviter à nous contacter. parler avec vous, ou vous pouvez Découvrez gratuitement les menaces externes auxquelles votre organisation est exposée.Nous sommes en train de construire quelque chose d'exceptionnel, pas seulement une technologie, mais une meilleure approche d'un problème qui ne fait qu'empirer.
