🛡️ Risk Studio v4.0

Ce qu'est Risk Studio

Risk Studio est un catalogue GRC collaboratif et gratuit, conçu pour les professionnels de la cybersécurité : consultants, CISOs, risk managers, auditeurs. Une base vivante de risques structurés, filtrables et exportables — sans abonnement, sans friction.

Pourquoi on l'a construit

Chaque nouvelle mission repart de zéro. Les catalogues de risques sont soit verrouillés derrière des paywalls, soit trop génériques, soit périmés. Risk Studio est né d'une conviction simple : les professionnels GRC méritent un outil commun, maintenu par la communauté, aligné sur les vrais référentiels du terrain.

Comment ça fonctionne

• 🔍 Cherchez par mot-clé, menace, référentiel (ISO, NIS2, DORA) ou catégorie
• 🏷️ Filtrez par environnement IT / OT, catégorie et niveau d'impact
• ☑️ Sélectionnez les risques pertinents pour votre mission
• 📊 Exportez en CSV/Excel en un clic
• ➕ Contribuez en proposant de nouveaux risques via le formulaire

Veille cyber en quasi temps réel

Un agent IA tourne en continu en arrière-plan. Toutes les 10 minutes, il ingère les flux de 10 sources spécialisées — The Hacker News, BleepingComputer, Krebs on Security, Dark Reading, SecurityWeek, CISA, NVD NIST, CERT-FR, CERT-BE et ENISA — et soumet chaque article à une analyse IA pour extraction et structuration automatique du risque.

Chaque article est classé selon un système de triage à trois niveaux :

• 🔥 Critical — zero-day actif, CVSS ≥ 9 avec exploitation confirmée, ransomware en cours, attaque d'infrastructure critique. Publication immédiate, sans validation éditoriale.
• ⚡ Significant — vulnérabilité importante, campagne ciblée, CVSS 7-8. Soumis à validation éditoriale avant publication.
• 🔇 Noise — article marketing, tendance générique, pas de menace concrète. Ignoré automatiquement.

Les alertes critiques sont immédiatement visibles dans l'onglet Cyberrisques avec un bandeau rouge et un badge 🔥 CRITICAL.

Frameworks couverts

Architecture

Risk Studio est une application 100% statique côté client, sans backend applicatif. Le frontend (HTML/CSS/JS vanilla, zéro dépendance) est hébergé sur GitHub Pages et consomme directement l'API REST de Supabase (PostgreSQL managé).

L'agent de veille tourne sur Cloudflare Workers (cron toutes les 10 minutes) et utilise Groq API (LLaMA 3.1) pour l'analyse et la classification des risques. Le schéma de données est normalisé : table risks reliée par junction tables à categories, sectors, frameworks et risk_compliance.

La sécurité repose sur le Row Level Security (RLS) de Supabase : la clé publique anon exposée côté client ne donne accès qu'aux risques au statut published. Les insertions sont réservées au service_role (agent IA), les validations à un utilisateur authenticated. Aucune donnée sensible n'est accessible depuis le browser.

v4.3 — CRA & Alertes temps réel Mars 2026

Conformité Cyber Resilience Act (CRA — Règlement UE 2024/2847) : ajout du référentiel CRA dans le catalogue, colonne de mapping dans la vue GRC, filtre par framework, export enrichi. Automatisation des alertes cyber : abonnement Supabase Realtime (WebSocket) avec polling de secours toutes les 2 min. Notifications navigateur pour les alertes critiques. Durcissement sécurité : Content Security Policy, Referrer-Policy, Permissions-Policy sur toutes les pages.

v4.2 — Data Leaks Mars 2026

Ajout d'un module dédié aux violations de données. L'agent surveille désormais des sources spécialisées (DataBreaches.net, Troy Hunt, Privacy Affairs) et publie automatiquement les data leaks détectés avec organisation, type de données exposées, nombre de records et statut de confirmation.

v4.1 — Veille cyber temps réel Mars 2026

Introduction du mode ⚡ Cyberrisques. Un agent IA (Cloudflare Workers + Groq/LLaMA) surveille 10 sources spécialisées toutes les 10 minutes. Système de triage à 3 niveaux : les alertes Critical (zero-day, CVSS ≥ 9, exploitation active) sont publiées immédiatement sans validation ; les alertes Significant passent par validation éditoriale ; le Noise est filtré automatiquement.

v4.0 — Automatisation de l'ingestion Février 2026

Migration vers une architecture serverless complète. L'agent IA remplace la saisie manuelle : fetch RSS, analyse et structuration automatique des risques, insertion en base avec statut pending pour validation. Intégration Supabase RLS pour la sécurité des données. Interface d'administration dédiée avec workflow de validation/rejet.

v3.0 — Catalogue collaboratif Janvier 2026

Ouverture à la contribution communautaire via un formulaire de proposition. Les risques soumis par la communauté sont soumis à validation éditoriale avant publication. Ajout du mapping multi-frameworks : ISO/IEC 27001:2022, NIS2, DORA. Export CSV/Excel.

v2.0 — Base de données structurée Décembre 2025

Passage d'un catalogue statique à une base de données PostgreSQL managée (Supabase). Schéma normalisé avec catégories, secteurs, frameworks et références de conformité. Filtres dynamiques par environnement IT/OT, catégorie et impact. Dashboard de statistiques.

v1.0 — Catalogue GRC statique Novembre 2025

Première version : un catalogue de risques GRC collectés manuellement depuis des sources web spécialisées (CERT, ENISA, ANSSI, éditeurs de sécurité). Structuration manuelle des risques avec scénario, mesures, impact et référentiels. Frontend HTML/CSS/JS vanilla, zéro dépendance.