Guide utilisateur

Comment fonctionne OwlyScan

Recherche sémantique sur tous les rapports, filtres, favoris, sujets, et comment la clairance TLP contrôle ce que vous voyez. La clairance est toujours liée aux secteurs : ce que vous voyez dans un fil ne se reporte pas sur un autre.

Votre accès

Votre clairance actuelle

Niveau de base TLP:CLEAR · visiteur anonyme

Connectez-vous pour voir le niveau de votre compte et vos grants sectoriels.

Qu’est-ce qu’OwlyScan

Intelligence supply chain quotidienne issue du dark web

OwlyScan est un fil de briefings vivant sur des données réelles, filtré sur les secteurs économiques sensibles qui comptent (Aérospatial, Défense, Énergie, Maritime, Logistique, Pharma…). Notre plateforme analyse des millions de résultats bruts sur l’activité ransomware en circulation, les forums darknet, les paste sites et les dépôts de données ; l’IA interprète, classe et résume le signal en micro-rapports narratifs courts avec 1 à 3 faits chacun, étiquetés par secteur et région. Ce que vous voyez est le fruit de ces interprétations, loin d’un index exhaustif du dark. Pour une recherche ouverte sur tout le corpus, voir OwlyScan for Investigation.

L’objectif : donner aux équipes risque, sécurité et supply chain une vue précoce et scannable de ce que dit le dark sur les entreprises et les écosystèmes dont elles dépendent, sans se noyer dans des IOC bruts ou des rapports de 50 pages.

Parcourir tous les rapports

Rechercher, filtrer et lire selon votre clairance

Allez sur Tous les rapports (ou utilisez la barre de recherche de la page d’accueil). Saisissez un nom d’entreprise, un fournisseur ou un sujet : la recherche est sémantique (similarité vectorielle via embeddings bge-small), vous n’avez donc pas besoin des mots exacts du document d’origine.

Puis affinez avec les filtres :

  • Puces Secteur et Région (sélection multiple)
  • Niveau TLP (afficher uniquement CLEAR / GREEN / AMBER / RED)
  • Préréglages de date (24h, 7j, 30j, 90j, tout)
  • « Masquer les retenus » : cache ce qui dépasse votre clairance
  • Favoris : vos signets personnels (connexion requise)

Cliquez un résultat pour ouvrir le rapport complet : le récit synthétique en tête, puis les cartes de faits. Les faits peuvent porter un TLP plus strict que le rapport parent.

Utilisez les favoris (icône signet) pour garder des éléments pour plus tard ; ils apparaissent sous le filtre « favoris » et sur votre page compte.

Pourquoi le TLP

Pourquoi OwlyScan utilise le TLP

Le Traffic Light Protocol a été développé par le FIRST (Forum of Incident Response and Security Teams), né en 1999 et normalisé en TLP v2.0 en janvier 2023. C’est le vocabulaire accepté pour contrôler la circulation d’intelligence sensible entre organisations, utilisé par le CISA, les ISAC et les grandes communautés cybersécurité.

OwlyScan adopte le TLP pour que partenaires, membres du GICAT et clients entreprise partagent le même cadre. Quand un rapport est marqué TLP:AMBER, chaque partie de la chaîne sait exactement qui peut le voir et dans quelles conditions, sans NDA ad hoc au niveau de l’élément.

Le modèle TLP

Les quatre niveaux TLP

TLP:CLEAR Sans restriction. Partage libre.

TLP:CLEAR couvre des informations sans limite de distribution au-delà du droit et du copyright. Sur OwlyScan, les rapports CLEAR affichent titres, récits et résumés de faits à tout visiteur, anonyme ou authentifié.

TLP:GREEN Communauté : pas de redistribution publique.

Les éléments TLP:GREEN peuvent être partagés dans une communauté de confiance (pairs, partenaires, membres GICAT) mais pas publiés publiquement. Sur OwlyScan, les faits GREEN sont caviardés pour les comptes gratuits et retenus pour les visiteurs ; une clairance GREEN les lit en entier. Vous ne devez pas republier du contenu GREEN sur des canaux ouverts.

TLP:AMBER Organisation et clients : besoin d’en connaître.

Les éléments TLP:AMBER contiennent des détails sensibles (noms d’entreprises, chiffres, données opérationnelles). Sans clairance AMBER sur le secteur concerné, vous voyez un résumé caviardé : l’insight stratégique est préservé, mais les éléments d’identification sont retirés. Avec la clairance AMBER, le contenu complet s’affiche.

TLP:RED Destinataires nommés uniquement.

Les éléments TLP:RED portent la plus haute sensibilité : données personnelles, chiffres précis, plans techniques, informations nominatives. Sans clairance RED, les cartes de faits RED sont entièrement retenues : un placeholder verrouillé, sans texte. Seuls les abonnés avec un accès RED vérifié peuvent les voir.

Modèle de contenu

TLP du rapport vs TLP du fait

Chaque rapport porte son propre TLP, qui gouverne le titre et le récit. Mais chaque fait découvert en dessous a son propre TLP indépendant, souvent plus strict que le rapport parent. Un même rapport GREEN peut contenir des faits AMBER ou RED.

TLP:GREEN Rapport · « Incident ransomware chez un fournisseur d’énergie »

Titre et aperçu visibles pour tous les visiteurs.

TLP:CLEAR Fait · « Vecteur d’attaque : e-mail de phishing »

Visible pour tout le monde.

TLP:AMBER Fait · « Demande de rançon de 12 M€ de [entreprise] »

Caviardé (nom d’entreprise et montant masqués) sauf si votre clairance sur ce secteur est AMBER ou plus.

TLP:RED Fait · « Personne nommée : [nom du dirigeant] »

Entièrement retenu sauf si votre clairance sur ce secteur est RED.

Restrictions d’accès

Lisible, caviardé, retenu

  • Lisible · texte intégral
  • Caviardé · noms et chiffres masqués
  • Verrouillé · réservé aux habilités

Chaque fait que vous croisez est dans l’un de ces trois états :

Lisible

Votre clairance couvre le TLP du fait : texte intégral.

TLP:GREEN Caviardé

Quand votre clairance est en dessous du TLP d’un fait GREEN, vous voyez un résumé caviardé : l’insight stratégique est préservé, mais les détails d’identification (noms d’entreprises, chiffres précis, références pièces, données personnelles) sont masqués.

TLP:AMBER TLP:RED Retenu

Quand votre clairance est en dessous du TLP d’un fait AMBER ou RED, la carte est entièrement verrouillée : pas de résumé, pas de texte caviardé, seulement un placeholder indiquant que le contenu existe mais exige un accès élevé. Le contenu AMBER et RED n’est jamais partiellement révélé aux sessions non autorisées.

Tout le contrôle est côté serveur. Le contenu non caviardé n’est jamais transmis au navigateur sans une clairance correspondante sur la session.

Niveaux d’accès

Comment la clairance est attribuée

Chaque visiteur démarre avec un niveau de base : CLEAR pour les anonymes et la plupart des comptes inscrits, GREEN pour les membres communauté validés. En plus, les comptes peuvent détenir des grants par secteur en GREEN, AMBER ou RED.

Votre clairance effective pour un rapport donné est le maximum entre votre niveau de base et le grant que vous détenez sur ce secteur. Un grant AMBER sur Aérospatial n’affecte pas ce que vous voyez dans les fils Énergie ou Défense.

Vous obtenez les clairances nécessaires en choisissant l’abonnement adapté. Les abonnés vérifiés reçoivent automatiquement des grants AMBER ou RED sur les secteurs couverts par leur offre.

Type de visiteur Niveau de base Grants sectoriels
Anonyme CLEAR Aucun
Utilisateur inscrit CLEAR Optionnel, accordé par secteur
Membre communauté GREEN Optionnel, accordé par secteur
Abonné vérifié GREEN AMBER ou RED sur les secteurs abonnés

Les grants sont cadrés par secteur et activés pour les abonnés selon leur offre.

Fondé sur FIRST.org TLP v2.0. Les définitions formelles du TLP sont maintenues par le FIRST et s’appliquent mondialement. Le modèle de clairance par secteur est propre à OwlyScan.