Ce site est une expérimentation en cours sur les possibilités d’automatisation de la veille en cybersécurité, rendue possible grâce aux modèles de langage (LLM).
Objectif
L’objectif est d’explorer des solutions qui facilitent la création de workflows efficaces, en utilisant des technologies telles que Python, l’API Anthropic (Claude), Streamlit, Hugo, GitHub et Netlify pour:
- Réceptionner depuis des flux RSS et traduire automatiquement des articles, analyses et recherches infosec,
- Proposer leur contenu en français avec un résumé structuré,
- Extraire les IOCs et TTPs éventuellement présentes,
- Classer les informations par catégorie, par pays et par thème,
- Les soumettre à validation humaine via une interface simple,
- Les publier automatiquement sur un site web structuré, RSS et sur le Fediverse,
- Corréler automatiquement les entités CTI (acteurs, TTPs, CVEs, malwares) et visualiser leurs relations à travers un graphe de connaissances interactif.
Sources
📝 Les contenus originaux appartiennent à leurs auteurs respectifs. Les sources sont systématiquement citées.
Flux RSS utilisés
- cyberveille.decio.ch : mon flux de veille infosec multilingue et sélectionné à la main, utilisé comme source principale.
- eCrime.CH : trés bon flux orienté ransomwares et menaces cybercriminelles.
- Google Alert: Cyberangriff en CH : flux d’alertes Google (allemand) sur les attaques informatiques en Suisse par la presse alémanique.
- Oversecurity : très bon agrégateur & flux RSS spécialisé en cybersécurité maintenu par Andrea Draghetti.
- Newsletter SOC : agrégateur de news de renseignement sur la menace publié par mon équipe.
- Risky Business Newsletter : ma source préférée pour sa vision globale, la pertinence de ses analyses de tendances et la qualité de sa curation des articles et événements notables en cybersécurité.
- BlueTeamSec (infosec.pub) : flux provenant de la communauté lemmy de veille pointue d’Ollie Whitehouse pour les équipes Blue/Purple Team → https://infosec.pub/c/blueteamsec
- Cyberveille (infosec.pub) : canal francophone dérivé de ce projet, orienté veille cyber généraliste et accessible. → https://infosec.pub/c/cyberveille
APIs utilisées
- CVECrowd : API pour récupérer les vulnérabilités (CVE) les plus discutées sur le Fediverse.
- eCrime.ch : suivi structuré des victimes ransomware — incidents documentés filtrés sur la Suisse, intégrés dans le tableau de bord CTI Suisse.
OpenAI (ChatGPT)→ Anthropic (Claude) : analyse, synthèse, traduction des contenus et extraction CTI structurée.- Vulnerability Lookup : API complète permettant d’enrichir les articles CVE avec des données techniques & qualitatives fiables et à jour.
- AbuseIPDB : vérification de la réputation des adresses IP mentionnées dans les articles.
- VirusTotal : vérification multi-moteurs des hashes, domaines et IPs extraits des IOCs.
- abuse.ch (ThreatFox, URLhaus, MalwareBazaar) : vérification des IOCs dans les bases de données communautaires de malwares et menaces.
- Rösti : base communautaire de ~300 sources infosec reconnues, utilisée pour la vérification dynamique de la réputation des sources d’articles.
- orkl.eu : bibliothèque CTI communautaire — liens de référence vers les fiches d’acteurs de menace.
- Malpedia (Fraunhofer FKIE) : base de référence académique sur les acteurs de menace et familles de malware, utilisée pour les liens de pivot.
- OFCS / NCSC (Centre national pour la cybersécurité) : statistiques fédérales hebdomadaires sur les signalements d’incidents en Suisse, intégrées dans le tableau de bord CTI Suisse.
Avertissement
⚠️ Malgré l’intervention humaine lors de la validation, et les efforts pour éviter les hallucinations des LLM, des erreurs, imprécisions ou distorsions peuvent subsister par rapport au contenu original.
Ce projet a justement pour but d’évaluer la fiabilité des modèles LLM dans un contexte réel de veille.
Schéma de fonctionnement
Section CTI — Threat Intelligence
Depuis mars 2026, CyberVeille intègre une section CTI (Cyber Threat Intelligence) qui analyse automatiquement l’ensemble des articles publiés pour en extraire et corréler les entités clés :
- Graphe de relations interactif : visualisation des liens entre acteurs de menace, TTPs (MITRE ATT&CK), CVEs, malwares, secteurs ciblés et pays — Explorer le graphe →
- Profils d’acteurs : fiches détaillées des groupes APT et cybercriminels avec attribution géopolitique, techniques utilisées et secteurs ciblés — Voir les acteurs →
- Détection de corrélations : identification automatique des TTPs partagées entre acteurs, CVEs exploitées par plusieurs groupes, et ciblage convergent — Voir les corrélations →
- Tendances temporelles : suivi de l’évolution des menaces semaine par semaine — Voir les tendances →
Le moteur de corrélation s’appuie sur un graphe de connaissances multi-dimensionnel construit à partir des 3000+ articles publiés, sans dépendance à une base de données externe.
Indice de vérification factuelle
Chaque article publié est accompagné d’un indice de vérification factuelle (🟢 haute / 🟡 moyenne / 🔴 basse) calculé automatiquement à partir de 8 signaux objectifs et vérifiables, sans intervention du LLM :
| Signal | Pts max | Description |
|---|---|---|
| Source reconnue | 20 | Le domaine source figure dans une liste interne de ~60 éditeurs/CERTs de référence ou dans la base communautaire Rösti (~300 sources infosec) |
| Complétude du texte | 15 | Longueur du texte analysé et extraction du contenu intégral |
| IOCs présents | 15 | Nombre et diversité des indicateurs extraits (IPs, hashes, domaines, CVEs) |
| IOCs vérifiés externellement | 15 | Confirmation des IOCs via AbuseIPDB, VirusTotal, ThreatFox, URLhaus et MalwareBazaar |
| TTPs MITRE ATT&CK | 15 | Techniques identifiées avec IDs valides (format Txxxx) |
| Date vérifiée | 10 | Date de publication extraite du HTML source (pas du flux RSS) |
| Acteurs nommés | 5 | Présence d’acteurs de menace identifiés (APT, groupes cybercriminels) |
| CVEs vérifiées | 5 | Existence confirmée des CVEs citées via l’API CIRCL Vulnerability Lookup |
Le score final est un pourcentage pondéré sur 100. Les seuils sont : haute (≥65), moyenne (≥35), basse (<35). Le détail du calcul est affiché en bas de chaque article.
Ce système est entièrement déterministe et transparent : aucune opinion, aucune IA générative. Le terme “confiance” a été volontairement évité — il s’agit de corroboration factuelle par des sources externes publiques, pas d’un jugement subjectif.
À faire
- Amélioration du moteur de recherche
Changelog
| Date | Évolution |
|---|---|
| Avril 2026 | Enrichissement du tableau de bord CTI Suisse (/cti/swiss/) : intégration des données OFCS/NCSC (statistiques fédérales hebdomadaires) et de l’API eCrime.ch (victimes ransomware). Calcul du niveau DEFCON basé sur 3 sources corrélées (articles CyberVeille, incidents NCSC, victimes eCrime.ch). |
| Avril 2026 | Ajout de l’indice de vérification factuelle : scoring déterministe à 8 signaux avec vérification externe des IOCs via AbuseIPDB, VirusTotal et abuse.ch. Liens de pivot sur les IOCs. Tableau de bord menaces Suisse avec niveau DEFCON. |
| Mars 2026 | Lancement de la carte Pew Pew (/map/) : visualisation en temps réel des attaques détectées par CrowdSec sur le honeypot Infomaniak. Arcs animés D3.js, tableau des IPs, export CSV. |
| Mars 2026 | Migration du pipeline de OpenAI (GPT) vers Anthropic (Claude) : prompt unifié, extraction CTI structurée, retry intelligent. |
| Mars 2026 | Lancement de la section CTI : graphe de relations interactif (D3.js), profils d’acteurs, détection de corrélations, tendances temporelles. Moteur de corrélation multi-dimensionnel (acteurs, TTPs, CVEs, malwares, secteurs, pays). |
| Janvier 2026 | Intégration de l’API eCrime.ch pour le suivi ransomware et rapports hebdomadaires automatisés. |
| Décembre 2025 | Ajout de l’extraction automatique des IOCs et TTPs via GPT, indexation CTI au build Hugo. |
| Octobre 2025 | Intégration des flux Lemmy (BlueTeamSec, Cyberveille) et publication sur Bluesky. |
| Août 2025 | Ajout des rapports CVE Crowd et Vulnerability Lookup (CIRCL). |
| Juillet 2025 | Publication automatique sur Mastodon (Fediverse). |
| Avril 2025 | Lancement du site : pipeline RSS → GPT → Streamlit → Hugo → Netlify. |
Le site n’intègre aucun traqueur tiers invasif. Les statistiques de fréquentation anonymisées sont collectées via Tinylytics.app, un service d’analyse respectueux de la vie privée.
🧪 Projet développé par Decio – contact bienvenue sur Mastodon.
Droits d’auteur & utilisation du contenu
Les contenus originaux publiés sur les sources référencées appartiennent à leurs auteurs et éditeurs respectifs. CyberVeille ne reproduit pas les articles dans leur intégralité — le pipeline produit exclusivement des résumés transformatifs générés automatiquement, accompagnés d’une analyse structurée (TTPs, IOCs, acteurs).
Ce projet est non-commercial, à but éducatif et de veille. Chaque article publié :
- cite explicitement la source originale avec un lien direct,
- ne remplace pas la lecture de l’article original,
- vise à orienter le lecteur vers la source primaire.
📩 Demande de retrait : si vous êtes éditeur ou auteur et souhaitez que vos contenus ne soient plus référencés, contactez-nous via Mastodon ou par e-mail à decio[-at-]decio[dot]eu. Toute demande sera traitée dans les 48 heures.