Aller au contenu
FortaRisks
Retour au glossaireThreat intelligence

STIX / TAXII

STIX et TAXII sont les standards ouverts du partage de threat intelligence. STIX est un langage structuré pour décrire les menaces (indicateurs, acteurs, campagnes et leurs relations) ; TAXII est le protocole qui transporte ces données entre systèmes. Ensemble, ils permettent d'échanger du renseignement cyber de machine à machine.

Mis à jour le 2 juillet 2026

Que sont STIX et TAXII ?

STIX (Structured Threat Information eXpression) et TAXII (Trusted Automated eXchange of Intelligence Information) sont deux standards ouverts, maintenus par l'OASIS, qui répondent à un même besoin : partager efficacement du renseignement sur les menaces.

STIX définit un modèle de données commun pour représenter une menace. Il ne se limite pas à une liste d'indicateurs : il décrit aussi les acteurs, les campagnes, les modes opératoires et surtout les relations entre ces éléments. TAXII, de son côté, spécifie comment ces objets circulent entre un producteur et un consommateur de renseignement, via un protocole applicatif sécurisé.

Pourquoi c'est important pour votre organisation

Le renseignement sur les menaces n'a de valeur que s'il circule vite et garde son contexte. Sans standard commun, chaque source impose son format, et l'intégration devient un travail manuel coûteux et lent.

STIX/TAXII rend l'échange automatisable et interopérable. Vos plateformes de threat intelligence, vos outils de détection et vos partenaires de partage peuvent consommer et produire du renseignement dans un langage commun, ce qui raccourcit le délai entre la découverte d'une menace et la mise en place d'une défense.

Comment tirer parti de STIX/TAXII

  • Automatiser l'ingestion depuis vos sources et communautés de partage.
  • Préserver le contexte : relations, sources et niveau de confiance des indicateurs.
  • Alimenter la détection directement, sans ressaisie manuelle.
  • Contribuer en retour pour renforcer la valeur collective du partage.

Où les organisations pèchent le plus souvent

L'écueil courant est de brancher un flux STIX/TAXII sans le qualifier : on ingère alors un volume massif d'indicateurs de qualité inégale qui sature les outils. La valeur ne vient pas du volume de renseignement consommé, mais de sa pertinence, de sa fraîcheur et de son intégration réelle dans les processus de détection.

Questions fréquentes

Quelle est la différence entre STIX et TAXII ?

STIX est le format, c'est-à-dire la manière de décrire une menace de façon structurée et lisible par machine. TAXII est le moyen de transport, le protocole qui permet à deux systèmes d'échanger des objets STIX de façon automatisée et sécurisée. On peut résumer : STIX est la langue, TAXII est le canal.

Pourquoi utiliser STIX/TAXII plutôt que de partager des fichiers ?

Parce que le partage manuel ne passe pas à l'échelle et introduit des délais. STIX/TAXII automatise l'échange, préserve le contexte des indicateurs (relations, sources, confiance) et permet aux outils de détection de consommer le renseignement en continu, sans intervention humaine.

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.