Le CERT du Luxembourg lance en version bêta Rulezet.org, une plateforme open source qui centralise plus de 120 000 règles de détection, de YARA à Suricata, en passant par Sigma ou Wazuh.
« Il y a un an, je discutais avec les gens de Suricata à la conférence du CERT EU, et ils se demandaient pourquoi nous ne créerions pas un site Web open source pour toutes les règles », explique Alexandre Dulaunoy, chercheur en sécurité au CERT du Luxembourg (CIRCL). Un an plus tard, l’idée a pris forme : Rulezet.org est né.
Centraliser pour mieux détecter
Jusqu’ici, les règles de détection — qu’elles visent les fichiers malveillants, les flux réseau ou les événements systèmes — étaient éparpillées dans des dépôts GitHub, des forums ou des bases communautaires. Un morcellement qui compliquait leur recherche, leur mise à jour et leur validation.
Avec Rulezet, le CERT du Luxembourg veut offrir une bibliothèque ouverte, collaborative et commentable. La plateforme, dont le code source est public, permet déjà de consulter, commenter et proposer des modifications sur des milliers de règles issues des principaux standards de détection. « La plateforme est ouverte et publiquement accessible, et son backend est pleinement open source », précise Alexandre Dulaunoy sur le réseau Infosec Exchange.
Une ambition collective
Le projet se distingue par son approche ouverte : chacun peut soumettre des règles, les commenter ou en signaler la pertinence. Cette gouvernance horizontale s’inscrit dans la lignée des travaux de CIRCL, déjà à l’origine de MISP (Malware Information Sharing Platform), un standard mondial du partage d’indicateurs de compromission. Au moment ou nous écrivons, plus de 122 430 règles déjà intégrées, et une promesse claire : rendre la connaissance défensive plus accessible à tous.
Dans un paysage où la détection repose encore trop souvent sur des silos, Rulezet.org ambitionne de faire ce que GitHub a fait pour le code : créer un lieu commun pour les définitions du risque numérique.
