La CTI Fortgale renforce la défense d'entreprise avant qu'une attaque ne devienne un incident. Nous traquons les acteurs hostiles, générons des flux IoC continus, produisons des advisories verticaux, des briefings pour le CISO et des rapports pour le conseil, monitorons deep & dark web et gérons l'exposition IT et de marque.
La CTI Fortgale est délivrée comme huit capabilities spécialisées, activables individuellement ou en combinaison selon le contexte de votre organisation. Du tracking d'acteurs hostiles à la surveillance des fournisseurs critiques : chaque module répond à une question concrète du CISO, du SOC ou du conseil d'administration. Sous chaque service, une section «Pertinent quand…» vous aide à comprendre lesquels vous sont vraiment utiles.
Profils structurés des groupes criminels et acteurs étatiques actifs contre les organisations européennes : TTP mappés MITRE ATT&CK, infrastructure C2 observée, outillage, victimologie. Quand les preuves le permettent, attribution technique des attaques détectées contre les clients.
Vous avez subi des incidents avec des signes de ciblage précis · vous opérez dans des secteurs cibles (finance, industrie, énergie, santé, administration publique, défense) · vous détenez des actifs de valeur (PI, données sensibles).
Indicateurs de compromission (IP, domaines, hashes, URL, règles YARA) générés à partir d'incidents réels et de recherche, distribués via STIX/TAXII directement dans les plateformes de sécurité des clients. Application automatique, sans intervention manuelle.
Vous exploitez des plateformes SIEM/EDR/pare-feu supportant la TI custom · votre SOC souhaite enrichir la détection avec des IoC contextuels · NIS2/DORA exigent l'intégration TI dans vos contrôles.
Rapports dédiés à des secteurs individuels : industrie, finance, santé, énergie, administration publique, infrastructures critiques. Quand l'équipe CTI détecte des campagnes ciblées, les clients du secteur concerné reçoivent des advisories ad-hoc avec guidance opérationnelle immédiate.
Vous opérez dans un secteur vertical spécifique (industrie, finance, santé, énergie, administration publique, infrastructures critiques) et voulez une intelligence focalisée sur les menaces ciblant votre industrie.
Briefings périodiques pour le CISO, l'IT Manager, le Head of Cybersecurity : état de l'exposition, acteurs actifs contre l'organisation, décisions requises. Rapports dédiés pour le conseil d'administration en langage de risque business, conformité et cadrage d'impact.
Le conseil d'administration exige des mises à jour régulières sur le cyber-risque · vous devez démontrer la gouvernance NIS2/DORA au conseil · le CISO doit communiquer en langage business, pas technique (exigence aussi via LPM et NIS2).
Présence continue dans les marketplaces criminelles, forums underground, leak sites ransomware, canaux Telegram, réseaux anonymisés. Recherche d'identifiants d'entreprise compromis, données exfiltrées, mentions des clients, planification d'attaques imminentes.
Vous craignez les fuites d'identifiants d'entreprise · vous êtes une marque visible · vous opérez dans des secteurs cibles ransomware · vous voulez intercepter la planification d'attaques avant exécution.
Découverte et monitoring continus de la surface d'attaque externe : actifs internet-facing, vulnérabilités exploitables, shadow IT, certificats expirés, fuites d'identifiants, mauvaises configurations cloud. Priorisation selon l'impact réel et l'exploitabilité.
Vous avez une vaste surface externe (multi-cloud, M&A fréquents, shadow IT non gouverné) · vous peinez à prioriser les vulnérabilités connues · vous voulez être préventif, pas réactif.
Monitoring de la surface d'attaque non-IT : domaines look-alike, faux profils LinkedIn/Telegram, kits de phishing utilisant le logo client, usurpation d'identité exécutive, mentions réputationnelles, deepfakes. Take-down coordonné quand possible.
Marque reconnaissable cible de phishing/spoofing · dirigeants au profil public exposé · la marque impacte la conversion (finance, retail, luxe, santé privée) · besoin de take-down coordonné des abus en ligne.
Monitoring continu de l'exposition externe et des incidents publics des fournisseurs critiques : fuites d'identifiants, vulnérabilités exploitables, apparition sur les leak sites ransomware, posture cyber générale. Alerte immédiate en cas de breach fournisseur — pour comprendre le risque cyber hérité et activer les contremesures avant qu'il ne se traduise en incident chez vous.
Vous dépendez de fournisseurs critiques (cloud, logiciel, MSP, services financiers, logistique) dont la compromission vous expose · NIS2/DORA exigent une gouvernance du risque tiers · vous devez démontrer la due diligence après un breach fournisseur.
Lors d'une session gratuite, nous examinons ensemble votre contexte — secteur, actifs de valeur, incidents récents, exposition externe — et identifions quels des 7 modules apportent une valeur réelle, et lesquels non.
Une carte de pertinence des modules pour votre organisation + une proposition modulaire sur mesure. Sans obligation de poursuite.
Chaque module est activable individuellement ou en combinaison. Tarification modulaire selon le périmètre et le volume.
Il existe des centaines de flux de threat intelligence sur le marché. La plupart agrègent des données tierces et les revendent. Fortgale fait quelque chose de radicalement différent : nous générons une intelligence originale, chaque jour.
Chaque incident traité par le SOC Fortgale devient une intelligence structurée : IoC observés en conditions réelles, TTP documentés, infrastructure offensive cartographiée. Pas des modèles théoriques — des artefacts extraits d'attaques contre des organisations européennes dans les dernières 24 heures.
L'équipe CTI Fortgale analyse de façon indépendante les campagnes, l'infrastructure et les outils des grands groupes criminels et acteurs étatiques actifs contre l'Europe. Sans dépendre de vendors ou d'agrégateurs : analyses originales, nos propres attributions, publications indépendantes.
Fortgale utilise une intelligence artificielle développée en interne pour amplifier les analystes : corrélation à grande échelle, reconnaissance de patterns sur les campagnes connues, priorisation des alertes. Pas de produits IA tiers : systèmes internes entraînés sur nos propres données.
Base de données propriétaire d'adversaires actifs contre l'Europe, distribution d'IoC en temps réel, couverture continue du dark web, rapports bilingues pour les équipes de direction et techniques.
Nous profilons les acteurs, analysons les samples, suivons les campagnes. Une partie de cette recherche, nous la partageons avec la communauté sur notre blog. Nous n'agrégeons pas de feeds tiers — nous publions uniquement ce que nous avons vérifié de première main.
Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced tradition…
Lire l'article →
In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…
Lire l'article →
In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…
Lire l'article →
UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…
Lire l'article →
In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…
Lire l'article →
Fortgale has been tracking an Italian Threat Actor, internally dubbed as Nebula Broker, since March 2022. The actor uses self-made malware (BrokerLoader) to compromise Italian sy…
Lire l'article →Les sept capabilities CTI sont livrées en quatre formats opérationnels : PDF bilingues pour direction et analystes, flux STIX/TAXII consommables par SIEM/EDR, alertes temps réel via webhook et briefings live avec les analystes. Chaque livrable est conçu pour s'insérer dans les processus existants, sans overhead.
Rapports de menaces, advisories verticaux et briefings exécutifs au format PDF, en français et en anglais. Deux découpes par rapport : technique pour analystes SOC et threat hunters (TTP, IoC, mapping MITRE) et exécutif pour direction et conseils (risque business, actions priorisées).
IoC machine-readable directement consommables par SIEM, EDR, pare-feu et plateformes TIP. Intégration standard STIX 2.1 / TAXII 2.1, support Custom Threat Intelligence sur les principales plateformes MDR. Rotation continue, indicateurs validés.
Notifications immédiates lors de la détection d'identifiants d'entreprise sur leak sites, mentions clients dans les forums, apparition de domaines look-alike, IoC à haute priorité. Distribution via email, webhook, Slack, Microsoft Teams. SLA de livraison sous 15 minutes.
Sessions périodiques avec l'équipe CTI : walkthroughs d'advisories, Q&R techniques, deep-dives sur des acteurs spécifiques détectés dans l'environnement du client. À la demande : convocation d'un analyste pour support de triage ou post-incident.
L'IA transforme les données brutes en signaux ; les analystes transforment les signaux en décisions. Fortgale a développé en interne les outils d'IA qui amplifient notre équipe — sans céder le contrôle à des plateformes externes.
Les systèmes d'IA internes corrèlent des millions d'événements réseau, endpoint et flux de menaces en temps réel, identifiant des patterns qui nécessiteraient des heures d'analyse manuelle. Les analystes reçoivent des signaux priorisés, pas du bruit brut.
Les modèles internes reconnaissent les empreintes des threat actors suivis — infrastructure, outillage, comportement — accélérant l'attribution et réduisant les temps de réponse de plusieurs heures à quelques minutes.
Pas d'algorithmes tiers en boîte noire. Chaque analyse est produite par l'équipe avec des méthodes documentées et des résultats vérifiables. Quand Fortgale attribue une campagne à un acteur, c'est parce que nous disposons de preuves techniques — pas sur suggestion d'un vendor.
Chaque nouvel incident enrichit les modèles internes. Fortgale CTI devient progressivement plus précise pour les clients en engagement continu : le contexte historique de leur infrastructure est intégral à chaque nouvelle analyse.
Les TTP qui alimentent Fortgale CTI proviennent d'incidents réels : énumération, mouvement latéral, credential dumping, exfiltration. La vidéo ci-dessous est une simulation du comportement récurrent d'un acteur — le type de preuves qu'un client voit dans nos rapports mensuels.
L'intelligence n'a de valeur que lorsqu'elle se traduit en protection concrète. Fortgale intègre la CTI directement dans le SOC et le service MDR, créant un cycle continu : détection → intelligence → défense améliorée.
Le SOC Fortgale applique l'intelligence CTI aux règles de détection en temps réel. Chaque nouvel IoC ou TTP identifié est distribué immédiatement aux systèmes de tous les clients surveillés.
Découvrir le SOC →Fortgale MDR ne se contente pas des règles du vendor EDR : nous les enrichissons avec une intelligence propriétaire sur les threat actors actifs, augmentant le taux de détection et réduisant les faux positifs.
Découvrir le MDR →Lors d'un incident, la CTI accélère l'attribution et le confinement. Savoir qui attaque et comment il opère réduit drastiquement le temps de réponse et limite les dommages globaux.
Contacter l'équipe IR →La plupart des vendors CTI revendent des flux agrégés de tiers (VirusTotal, Mandiant, Recorded Future). Fortgale génère une intelligence originale à partir de trois sources principales : les incidents traités par le SOC quotidiennement, la recherche indépendante sur les threat actors, le monitoring continu deep & dark web. Une intelligence contextuelle, actuelle et applicable.
Les Indicators of Compromise (IP, domaines, hashes, URL, règles YARA) sont produits à partir d'incidents réels et de la recherche sur l'infrastructure offensive. Ils sont distribués automatiquement aux SIEM/EDR/pare-feu clients via STIX/TAXII et appliqués comme Custom Threat Intelligence sur les plateformes MDR, bloquant les menaces connues avant impact.
Recherche d'identifiants d'entreprise compromis dans les marketplaces criminelles, monitoring des forums où les acteurs planifient des attaques, détection de données exfiltrées sur les leak sites ransomware, traque des canaux Telegram et réseaux anonymisés, alertes temps réel lorsque le nom du client apparaît.
Deux formats : rapports techniques pour les équipes sécurité (analystes SOC, threat hunters, CISO techniques) avec IoC, TTP mappés MITRE et guidance opérationnelle ; rapports exécutifs pour la direction avec langage risque, business impact et actions priorisées. Publiés en français et en anglais.
Oui. Le service CTI est disponible à la fois comme composant intégré au SOC/MDR (intelligence appliquée automatiquement aux règles de détection) et comme service standalone pour les entreprises avec des équipes sécurité internes qui souhaitent l'enrichir avec des flux IoC propriétaires, advisories verticaux et rapports threat actor.
L'ASM Fortgale effectue une découverte et un monitoring continus de la surface d'attaque externe du client : actifs internet-facing, vulnérabilités exploitables, shadow IT, certificats expirés, fuites d'identifiants, mauvaises configurations cloud (S3, Azure Blob, GCP). Tout est corrélé avec la threat intelligence interne pour prioriser ce qui est réellement exploitable par les acteurs actifs contre le secteur du client — pas une liste de vulnérabilités théoriques, mais une liste de risques concrets.
Monitoring de la surface d'attaque non-IT : domaines look-alike, faux profils LinkedIn/Telegram usurpant des dirigeants, kits de phishing utilisant le logo client, usurpation d'identité exécutive, deepfakes, mentions réputationnelles dans les canaux criminels. Take-down coordonné avec les providers (registrars, plateformes sociales, hébergeurs) quand possible.
Oui. Le service Executive Briefing & Board Reporting produit des rapports dédiés pour le conseil et les comités de risque en langage de risque business : état de l'exposition, acteurs actifs contre l'organisation, conformité NIS2 et DORA, décisions requises, impact économique potentiel. Un outil opérationnel pour la gouvernance cyber au niveau du conseil.
L'attribution technique fait partie du Threat Actor Profiling. Lorsque l'équipe CTI détecte un incident, les TTP observés (mappés MITRE ATT&CK), l'infrastructure C2, l'outillage, le code malveillant et la victimologie sont corrélés avec les profils des acteurs déjà suivis. Quand les preuves sont suffisantes, une attribution documentée est formulée. Quand elles ne le sont pas, les hypothèses les plus probables sont indiquées sans excès — l'attribution précipitée est l'une des mauvaises pratiques les plus courantes dans la CTI commerciale.
Pas de funnel. Pas de démo générique. Nous vous apportons un Report construit sur votre secteur et des analystes avec autorité de décision.
Aucune séquence de nurturing, aucune réponse automatique. Un de nos analystes vous rappelle sous un jour ouvré.
Le Report complet (executive summary · IoC opérationnels · runbook technique) est confidentiel. Envoyez-nous deux informations et un de nos analystes vous recontacte avec l'accès et un bref briefing technique.
Réponse en 30 minutes, confinement en 1 à 4 heures. Même si vous n'êtes pas client Fortgale.
