Un analyste CTI (Cyber Threat Intelligence) est le producteur de connaissance sur les menaces d'une équipe cyber : il collecte, analyse, contextualise et diffuse de l'intelligence sur les acteurs (Threat Actors), leurs motivations, leurs modes opératoires (TTPs — Tactics, Techniques, Procedures), leurs infrastructures et leurs cibles privilégiées. La discipline s'articule en quatre niveaux — stratégique (board), opérationnel (RSSI et CSIRT), tactique (SOC manager, detection engineering), technique (SOC, DFIR) — chacun avec ses destinataires, ses formats et sa temporalité. La méthodologie s'ancre sur cinq frameworks structurants : Intelligence Cycle (5 phases), Cyber Kill Chain (Lockheed Martin 2011), Diamond Model of Intrusion Analysis (Caltagirone et al., 2013), MITRE ATT&CK Groups (140+ threat actors catalogués), Pyramid of Pain (David Bianco, 2013). Les standards d'échange STIX 2.1 et TAXII 2.1 (OASIS) formalisent le partage inter-organisations via MISP (leader open-source), OpenCTI (Filigran, startup française), Mandiant Advantage, Recorded Future et CrowdStrike Falcon Intelligence. Les salaires 2026 en France s'étalent de 45-68 k€ junior à 110-150 k€ Lead CTI. Cet article détaille la définition, les 4 niveaux, l'intelligence cycle, les frameworks, la stack outillée, les standards STIX/TAXII, les sources d'intelligence, le profil type et les certifications.
1. Définition et périmètre de l'analyste CTI
Définition opérationnelle : un analyste CTI transforme des données brutes (observations, logs, rapports, OSINT, dark web, commerciaux) en intelligence — c'est-à-dire en connaissance structurée, contextualisée, orientée décision et exploitable par les destinataires (SOC, DFIR, red team, RSSI, direction).
Ce que fait un analyste CTI en pratique
- Suivre et tracker des threat actors spécifiques (APT29, Lazarus, FIN6, Scattered Spider, Sandworm, etc.) dans leurs campagnes, évolutions TTPs, nouveaux outils.
- Produire des indicateurs de compromission (IOCs) actionnables pour le SOC : hashes malware, IPs C2, domaines de phishing, chaînes de caractères YARA.
- Rédiger des rapports d'intelligence pour différents publics : one-pager stratégique pour le board, note opérationnelle pour le RSSI, bulletin technique pour le SOC.
- Contribuer aux communautés de partage : ISAC (Information Sharing and Analysis Center) sectoriels, CSIRT nationaux, communauté MISP.
- Cartographier le paysage de menace sectoriel (banque, énergie, santé, défense) avec priorisation des acteurs et techniques.
- Enrichir les outils défensifs en continu : alimentation du SIEM, de l'EDR, du pare-feu, des plateformes SOAR.
Distinction avec les métiers adjacents
| Métier | Horizon temporel | Output principal | Consommateur |
|---|---|---|---|
| Analyste SOC | Minutes à heures | Incident investigué, règle tunée | Incident responder |
| Analyste CTI | Heures à années | Intelligence structurée, IOCs, rapports | SOC, DFIR, RSSI, red team, board |
| Forensic analyst | Jours à semaines | Rapport d'investigation, timeline | Juridique, direction, assurance |
| Red teamer | Semaines | Simulation d'attaque, rapport TTP | Blue team, RSSI |
| OSINT analyst | Variable | Investigation ciblée | Enquête interne, CTI |
| Threat hunter | Jours à semaines | Compromissions latentes détectées | SOC, CTI |
2. Les quatre niveaux de la CTI
| Niveau | Destinataire | Horizon | Format typique | Exemple concret |
|---|---|---|---|---|
| Stratégique | Board, direction générale | Trimestre à année | One-pager exec, rapport annuel | « Groupes étatiques chinois ciblent l'industrie de défense européenne, 40 % d'incidents 2024 (source ENISA TL 2024) » |
| Opérationnel | RSSI, Head of CSIRT | Semaines à mois | Note de 3-8 pages, briefing mensuel | « Campagne FIN7 active contre le retail européen, vecteur phishing macro, 5 entités FR compromises Q1 2026 » |
| Tactique | SOC manager, detection engineering | Jours à semaines | Bulletin technique, mapping ATT&CK Navigator | « Nouvelle technique T1566.002 phishing link Cloudflare Turnstile bypass observée, règles Sigma en PJ » |
| Technique | SOC L1/L2/L3, DFIR | Heures à jours | IOCs feed, règles YARA/Sigma/Snort | « Hash SHA-256, IP C2, domaine, user-agent, règle Sigma associée » |
Un analyste CTI confirmé navigue entre les quatre niveaux : il produit le même événement sous quatre formats différents selon le destinataire. Un analyste CTI junior se spécialise typiquement sur les niveaux technique et tactique pendant 2-3 ans avant de monter en opérationnel puis stratégique.
3. L'Intelligence Cycle en cinq phases
| Phase | Activité | Livrable intermédiaire |
|---|---|---|
| 1 — Planification et direction | Définir les besoins d'intelligence prioritaires (PIR — Priority Intelligence Requirements) | Liste de PIRs validée par RSSI |
| 2 — Collecte | Exploiter les sources (OSINT, dark web, feeds commerciaux, ISAC, partenaires, honeypots) | Données brutes versées en plateforme |
| 3 — Traitement | Normaliser, dédoublonner, enrichir automatiquement (VirusTotal, Shodan, WHOIS, DNS history) | Données structurées en STIX 2.1 |
| 4 — Analyse | Contextualiser, attribuer, évaluer la confiance, corréler | Produit d'intelligence (rapport, note, bulletin) |
| 5 — Diffusion | Distribuer aux consommateurs selon canal approprié | Consommateurs informés, action déclenchée |
| — Feedback | Collecter le retour des consommateurs, ajuster le cycle | Amélioration du cycle suivant |
PIR typiques pour une entreprise française mid-size en 2026 : quels acteurs ciblent notre secteur, quelles TTPs émergent, quels prestataires critiques ont été compromis, quels CVE zero-day sont exploités en live, quelles données de l'entreprise sont exposées sur le dark web.
4. Frameworks structurants
Cyber Kill Chain (Lockheed Martin, 2011)
7 étapes d'une attaque : Reconnaissance → Weaponization → Delivery → Exploitation → Installation → Command and Control → Actions on Objectives. Modèle historique toujours utilisé en pédagogie. Critique : linéaire, trop focalisé attaque ciblée, ne couvre pas insider threat ni supply chain.
Diamond Model of Intrusion Analysis (Caltagirone et al., 2013)
4 vertices : Adversary (qui), Capability (quoi — malware, exploit, TTP), Infrastructure (où — C2, staging, exfil), Victim (contre qui). Modèle analytique de référence pour documenter une intrusion. Permet le pivot : à partir d'une capability (ex: hash malware), remonter infrastructure (C2 connus), puis adversary (groupe attribué), puis victims (cibles passées).
MITRE ATT&CK Groups
Catalogue de 140+ threat actors catalogués (G0001 APT1 à G0138 et au-delà) avec mapping exhaustif des techniques utilisées. Chaque groupe a une fiche : alias (noms donnés par différents vendors), techniques MITRE ATT&CK documentées, malwares associés, campagnes connues, références publiques. Alimentation continue par la communauté et MITRE.
Pyramid of Pain (David Bianco, 2013)
Hiérarchie de 6 niveaux d'IOCs classés par niveau de gêne causée à l'attaquant s'il doit en changer.
- Hash values (trivial)
- IP addresses (facile)
- Domain names (simple)
- Network / Host artifacts (difficile)
- Tools (gênant)
- TTPs — Tactics, Techniques, Procedures (très gênant)
Un bon programme CTI élève progressivement le niveau d'IOCs tracé, de hashes éphémères vers TTPs durables.
5. STIX 2.1 et TAXII 2.1 : les standards d'échange
STIX 2.1 (Structured Threat Information Expression, OASIS 2021) définit le vocabulaire JSON structuré pour représenter l'intelligence. 18 objets SDO (STIX Domain Objects) : Threat Actor, Malware, Attack Pattern, Indicator, Intrusion Set, Campaign, Tool, Identity, Location, Vulnerability, Course of Action, etc. Plus 2 objets de relations : Relationship et Sighting.
TAXII 2.1 (Trusted Automated Exchange of Intelligence Information) définit le protocole HTTPS de transport pour échanger des bundles STIX entre producteurs et consommateurs.
Exemple de bundle STIX 2.1 (format JSON exploitable en portfolio GitHub) :
{
"type": "bundle",
"id": "bundle--6a8fcca2-e0f3-4a5d-8b5f-exemple00001",
"objects": [
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--exemple-fin7-0001",
"created": "2026-04-23T09:00:00.000Z",
"modified": "2026-04-23T09:00:00.000Z",
"name": "FIN7",
"description": "Groupe cybercriminel financier specialise vol POS et retail depuis 2013.",
"aliases": ["Carbanak", "Sangria Tempest", "ITG14"],
"threat_actor_types": ["crime-syndicate"],
"roles": ["director", "infrastructure-operator"],
"goals": ["financial-gain", "retail-pos-theft"],
"sophistication": "advanced",
"resource_level": "organization",
"primary_motivation": "personal-gain"
},
{
"type": "malware",
"spec_version": "2.1",
"id": "malware--exemple-carbanak-0001",
"created": "2026-04-23T09:00:00.000Z",
"modified": "2026-04-23T09:00:00.000Z",
"name": "Carbanak",
"description": "Backdoor utilisee par FIN7 pour l'acces persistant et l'exfiltration.",
"is_family": true,
"malware_types": ["backdoor", "remote-access-trojan"]
},
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--exemple-t1566-001",
"created": "2026-04-23T09:00:00.000Z",
"modified": "2026-04-23T09:00:00.000Z",
"name": "Spearphishing Attachment",
"external_references": [
{
"source_name": "mitre-attack",
"external_id": "T1566.001",
"url": "https://attack.mitre.org/techniques/T1566/001/"
}
]
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--exemple-hash-0001",
"created": "2026-04-23T10:00:00.000Z",
"modified": "2026-04-23T10:00:00.000Z",
"pattern_type": "stix",
"pattern": "[file:hashes.'SHA-256' = 'b8c7d9e1a2b3c4d5e6f7a8b9c0d1e2f3a4b5c6d7e8f9a0b1c2d3e4f5a6b7c8d9']",
"valid_from": "2026-04-23T09:00:00.000Z",
"indicator_types": ["malicious-activity"],
"confidence": 85,
"labels": ["malicious-activity"]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--exemple-rel-0001",
"created": "2026-04-23T10:00:00.000Z",
"modified": "2026-04-23T10:00:00.000Z",
"relationship_type": "uses",
"source_ref": "threat-actor--exemple-fin7-0001",
"target_ref": "malware--exemple-carbanak-0001"
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--exemple-rel-0002",
"created": "2026-04-23T10:00:00.000Z",
"modified": "2026-04-23T10:00:00.000Z",
"relationship_type": "uses",
"source_ref": "threat-actor--exemple-fin7-0001",
"target_ref": "attack-pattern--exemple-t1566-001"
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--exemple-rel-0003",
"created": "2026-04-23T10:00:00.000Z",
"modified": "2026-04-23T10:00:00.000Z",
"relationship_type": "indicates",
"source_ref": "indicator--exemple-hash-0001",
"target_ref": "malware--exemple-carbanak-0001"
}
]
}Ce type de bundle s'ingère nativement dans MISP, OpenCTI, Mandiant Advantage et toute plateforme conforme STIX 2.1.
6. Stack technique de l'analyste CTI
| Catégorie | Outils principaux 2026 |
|---|---|
| Plateformes open-source | MISP (CIRCL Luxembourg), OpenCTI (Filigran France), YETI, ThreatKB |
| Plateformes commerciales premium | Recorded Future, Mandiant Advantage, CrowdStrike Falcon Intelligence, Anomali ThreatStream, Silobreaker |
| Sources dark web / deep web | Flashpoint, Intel 471, ZeroFox, DarkOwl, Digital Shadows (ReliaQuest) |
| OSINT et pivot | Maltego (relations graphiques), Shodan, Censys, ZoomEye, FOFA, BinaryEdge |
| Credentials stealers tracking | HudsonRock Cavalier, RussianMarket monitoring, IntelX |
| Malware telemetry | VirusTotal Enterprise, ANY.RUN, Hybrid Analysis, MalwareBazaar (abuse.ch) |
| Domain / DNS intelligence | DomainTools, RiskIQ (Microsoft Defender Threat Intelligence), SecurityTrails, PassiveTotal |
| YARA / détection | yarGen, yarAnalyzer, VirusTotal YARA Enterprise |
| Automation / enrichment | IntelOwl, Harpoon, n8n workflows, Splunk SOAR/XSOAR playbooks |
| Communauté FR | CERT-FR bulletins, InterCERT-FR, CyberSOC communauté, Hackerzvoice, Discord cybersec FR |
| ISAC sectoriels | CESIN (France transverse), FS-ISAC (finance), H-ISAC (santé), EE-ISAC (énergie), MS-ISAC (multi-états US) |
Stack junior réaliste 2026 (gratuit ou freemium) : MISP communautaire (inscription sur instance ANSSI CIRCL ou hébergement perso) plus OpenCTI Docker compose plus VirusTotal gratuit plus Shodan 49 $ par mois plus MITRE ATT&CK Navigator plus MISP-Feeds publics. Production d'un premier rapport technique et d'un bundle STIX en 3-5 semaines de pratique personnelle.
7. Sources d'intelligence
Cinq catégories de sources alimentent un programme CTI en 2026.
- OSINT (Open Source Intelligence) : réseaux sociaux, forums, blogs de vendors (Mandiant, CrowdStrike, Unit 42, SentinelLabs, Trend Micro Research), GitHub, paste sites, dépôts Git publics. Souvent 50-70 % du volume d'une équipe CTI mid-size.
- Feeds commerciaux premium : Recorded Future, Mandiant, CrowdStrike Intelligence, Anomali, Flashpoint, ZeroFox. Valeur ajoutée : curation, attribution, priorisation. Coût typique : 30-200 k€ par an pour un abonnement moyen.
- Partages sectoriels (ISAC) : intelligence partagée entre pairs d'un même secteur, souvent très haute fiabilité. En France : CESIN (transverse), FS-ISAC via fédérations, H-ISAC pour la santé.
- Communauté CTI : MISP communities publiques, feeds abuse.ch (URLhaus, MalwareBazaar, ThreatFox), feeds AlienVault OTX, GreyNoise.
- Propre télémétrie : honeypots internes, logs SIEM corrélés, DFIR interne, red team reports, sightings spontanés des équipes. Source la plus pertinente sur les menaces ciblant l'organisation elle-même.
En France 2026, les sources publiques structurantes : CERT-FR (bulletins ANSSI), InterCERT-FR (groupement inter-CERT privés), publications CSIRT-FR, rapports ENISA Threat Landscape annuels, alertes Europol EC3.
8. Profil type et certifications
Profils d'entrée les plus compatibles
| Profil initial | Durée de bascule CTI | Prérequis clés |
|---|---|---|
| Analyste SOC L2/L3 | 6-12 mois | Compréhension incidents, MITRE ATT&CK, scripting |
| DFIR analyst confirmé | 6-9 mois | Reconstitution timeline, attribution capacity |
| OSINT analyst (journalisme investigation, cabinets) | 6-12 mois | Techniques de recherche, pivot, graphs |
| Analyste renseignement militaire reconverti | 3-6 mois (formation entreprise) | Méthodologie renseignement, rigueur |
| Linguiste (cyrillique, mandarin, persan) avec formation cyber | 12-18 mois | Langues rares pour dark web, OSINT |
| Développeur senior passionné CTI | 12-18 mois | Automation, parsing, pipelines data |
La maîtrise d'une ou plusieurs langues rares (russe, chinois, persan, arabe, coréen) est un différenciateur fort pour la CTI dark web et la CTI nation-state. Les écoles type ESIT (traducteurs) plus formation cyber produisent des profils très valorisés.
Certifications par palier
| Palier | Certification | Éditeur | Coût examen indicatif |
|---|---|---|---|
| Entrée socle | CompTIA Security+ plus CySA+ | CompTIA | ≈ 400 € plus 380 $ |
| CTI fondamental | CTIA (Certified Threat Intelligence Analyst) | EC-Council | ≈ 450 $ |
| CTI hands-on | GCTI (GIAC Cyber Threat Intelligence) | SANS/GIAC | ≈ 1 000 $ |
| CTI avancé | CRTIA (CREST Registered Threat Intelligence Analyst) | CREST | ≈ 500 £ |
| CTI spécialisation | eCTHPv2 (eLearnSecurity Threat Hunting Professional) | INE | ≈ 600 $ |
| OSINT hands-on | SANS SEC487 plus GOSI (GIAC Open Source Intelligence) | SANS/GIAC | ≈ 1 000 $ |
| Senior transverse | CISSP | (ISC)² | ≈ 749 $ |
Combinaison marché France 2026 : Security+ plus CySA+ en entrée, GCTI en confirmé, CRTIA en senior. Le portfolio MISP/OpenCTI et les contributions publiques (write-ups sur Medium, dépôt GitHub avec règles YARA, rapports publics anonymisés) pèsent souvent plus que les certifications seules.
9. Salaires et trajectoire 2026
| Niveau | Ancienneté CTI | Province (brut annuel) | Île-de-France (brut annuel) |
|---|---|---|---|
| Analyste CTI junior | 0-2 ans | 45-60 k€ | 50-68 k€ |
| Analyste CTI confirmé | 2-5 ans | 58-78 k€ | 62-85 k€ |
| Analyste CTI senior | 5-8 ans | 78-100 k€ | 82-110 k€ |
| Lead CTI / Head of Threat Intelligence | 8+ ans | 100-135 k€ | 110-150 k€ |
| Freelance CTI senior | 7+ ans | TJM 800-1 300 € | TJM 800-1 300 € |
Sources indicatives : Apec Cadres Cybersécurité 2023-2024, Numeum, observatoires LinkedIn France. Secteurs payeurs : banque, assurance, défense (Thales, Airbus CyberSecurity, DGA), énergie, télécom (Orange Cyberdefense CERT), éditeurs cyber français (Sekoia.io, Filigran éditeur d'OpenCTI, HarfangLab). Les scale-ups tech bonifient via BSPCE.
Bifurcations possibles
- Adversary Hunter / Threat Researcher : recherche approfondie sur acteurs et campagnes, publication technique.
- Detection Engineer : bascule vers l'écriture de détections basées sur l'intelligence produite.
- Purple Team Engineer : profil hybride offensif-défensif. Voir Qu'est-ce qu'une purple team.
- Incident Responder senior / CSIRT Lead : bascule opérationnelle.
- Consultant CTI indépendant : TJM 800-1 300 €, forte demande grands groupes et ETI 2024-2026.
- Rejoindre un éditeur CTI : Sekoia.io, Filigran, Mandiant, CrowdStrike, Recorded Future, HarfangLab. Profils d'analyste passant côté produit (product analyst, sales engineer senior).
- Trajectoire direction cyber : Head of CSIRT puis RSSI. Voir Qu'est-ce qu'un RSSI et Les étapes pour devenir RSSI.
- Secteur public : ANSSI CERT-FR, Commandement Cyber (ministère des Armées), DGSI cyber, Europol EC3.
10. Pour aller plus loin
- Panorama des métiers de la cybersécurité : guide complet.
- Qu'est-ce qu'un analyste SOC : consommateur principal du renseignement tactique et technique.
- Qu'est-ce qu'un forensic analyst : partenaire de reconstruction post-incident.
- Qu'est-ce qu'un red teamer : utilise le renseignement pour émulation d'adversaire.
- Qu'est-ce qu'une purple team : pratique collaborative alimentée par la CTI.
- Qu'est-ce qu'un RSSI : consommateur du renseignement stratégique et opérationnel.
Points clés à retenir
- Analyste CTI = producteur de connaissance sur les menaces, distinct du SOC (détection temps réel) et du DFIR (post-mortem).
- 4 niveaux de CTI : stratégique (board), opérationnel (RSSI, CSIRT), tactique (SOC manager, detection engineering), technique (SOC, DFIR).
- 5 frameworks : Intelligence Cycle, Cyber Kill Chain (Lockheed 2011), Diamond Model (Caltagirone 2013), MITRE ATT&CK Groups (140+ actors), Pyramid of Pain (Bianco 2013).
- Standards d'échange : STIX 2.1 (18 objets SDO) plus TAXII 2.1 (OASIS) — supportés nativement par MISP, OpenCTI, Mandiant, Recorded Future.
- Stack cœur 2026 : MISP (leader open-source, CIRCL), OpenCTI (Filigran France), Maltego, VirusTotal Enterprise, Shodan, plus plateformes premium (Recorded Future, Mandiant, CrowdStrike Intel).
- Sources : OSINT (50-70 %), feeds commerciaux, ISAC sectoriels, communauté (abuse.ch, OTX, GreyNoise), télémétrie interne. Règle des 3 sources indépendantes pour publication.
- Salaires : 45-68 k€ junior, 82-110 k€ senior, 110-150 k€ Lead. Secteurs payeurs : banque, défense, énergie, éditeurs cyber français (Sekoia.io, Filigran, HarfangLab).
- Certifications : CTIA (EC-Council) → GCTI (SANS) → CRTIA (CREST). Portfolio MISP/OpenCTI plus contributions publiques pèsent autant.
- Langues rares valorisées pour CTI dark web et nation-state : russe, chinois, persan, arabe, coréen.
L'accompagnement cyber 6 mois propose un cursus CTI avec préparation GCTI intégrée, déploiement lab MISP plus OpenCTI plus Maltego, écriture de bundles STIX 2.1, conduite d'un programme de 2-3 rapports d'intelligence publics, et coaching d'entretien ESN spécialisées (Orange Cyberdefense CERT, Synacktiv, Digitemis, Thales CSIRT) plus éditeurs cyber français (Sekoia.io, Filigran, HarfangLab).
