Quelle différence entre CTI et simple veille cybersécurité ?

La veille cybersécurité consomme passivement de l'information (CERT-FR, flux RSS, Twitter/X, advisories éditeurs) sans processus structuré de validation, priorisation et action. La CTI (Cyber Threat Intelligence) est un processus formel qui suit un cycle en 5 phases (Direction → Collection → Processing → Analysis → Dissemination) avec des producteurs et consommateurs identifiés, des formats structurés (STIX 2.1, MISP JSON), une intégration opérationnelle dans les outils SOC (SIEM, EDR, TIP), et des mesures d'efficacité (coverage ATT&CK, IOC relevance, time-to-action). Une équipe fait de la veille ; un programme CTI fait du renseignement actionnable. L'écart se mesure à la capacité de l'équipe à répondre à 'qui nous cible, avec quoi, pourquoi, et comment bloquer ?'.

Qu'est-ce qu'un IOC, une TTP, et en quoi c'est différent ?

IOC (Indicator of Compromise) est un artefact technique observable : hash de fichier (SHA-256, MD5), IP malveillante, domaine C2, URL phishing, chaîne user-agent, clé de registre. Les IOCs sont éphémères (vie moyenne 1-30 jours selon l'actor, Mandiant 2024) et facilement changeables par l'attaquant. TTP (Tactics, Techniques, Procedures) décrit le comportement de l'attaquant à un niveau abstrait, mappé MITRE ATT&CK : T1566 Phishing, T1078 Valid Accounts, T1003.001 OS Credential Dumping via LSASS. Les TTPs évoluent lentement (mois à années) car elles reflètent des choix architecturaux de l'actor. David Bianco a popularisé le 'Pyramid of Pain' (2013) : IOC facile à contourner, TTP extrêmement coûteux à changer. Détection mature 2025 : 80 % basée TTP, 20 % IOC contextuel.

STIX et TAXII : à quoi ça sert concrètement ?

STIX (Structured Threat Information eXpression, OASIS, v2.1 publié 2021) est un langage structuré JSON pour décrire des menaces : objets comme Threat Actor, Campaign, Indicator, Malware, Attack Pattern, reliés par des relationships typées. TAXII (Trusted Automated eXchange of Indicator Information, OASIS, v2.1) est le protocole HTTP/HTTPS pour échanger du STIX entre plateformes. Ensemble : STIX=quoi, TAXII=comment. Usage concret : un fournisseur CTI commercial (Mandiant, Recorded Future, ThreatConnect, Anomali) publie ses feeds en STIX via TAXII ; la plateforme cliente (OpenCTI, MISP, ThreatConnect, Threat Stream) consomme, normalise, enrichit les détections SIEM/EDR. CTF-FR, ANSSI, CISA publient des avis compatibles STIX depuis 2022-2023.

MISP ou OpenCTI : lequel choisir pour un programme CTI ?

MISP (Malware Information Sharing Platform, créé 2012 par le CIRCL Luxembourg, open-source AGPLv3) est historiquement la référence pour le partage d'IOCs au sein de communautés sectorielles (banque, énergie, santé). Force : écosystème feeds communautaires très large (ENISA ISP, CERT-FR partage bilatéral, communities industrielles), adoption mondiale, simplicity du modèle Event-Attribute. Limite : modèle Event-Attribute moins adapté aux TTPs complexes et graphes de relations. OpenCTI (Filigran, lancé 2019, Apache 2.0) utilise un modèle STIX 2.1 natif full-graph (Neo4j + Elastic), adapté à l'analyse knowledge-graph moderne. Force : représentation riche, intégration STIX native, IA assistée 2024+. Limite : écosystème communautaire plus jeune que MISP. Pattern 2025 : MISP pour le partage IOC communautaire, OpenCTI pour la knowledge base interne TTPs + campaigns.

Un analyste SOC L1 a-t-il besoin de comprendre la CTI ?

Oui, au minimum au niveau contextuel. Un analyste L1 ne produit pas de CTI, mais il la consomme en continu : enrichissement des alertes (quel acteur exploite cette CVE actuellement ? ce hash est-il connu de quelle campagne ?), priorisation (un TTP documenté par APT29 sur ma verticale → escalade L2), rédaction de ticket contextualisée (référence campagne + ATT&CK ID). Les SOC matures 2025 intègrent l'enrichissement CTI automatique dans le SIEM (feeds MISP/OpenCTI synchronisés, TIP plateformes type Recorded Future Triage). Un L1 qui ne comprend pas la différence entre IOC, TTP, campaign et threat actor reste bloqué en copier-coller de playbooks sans adaptation au contexte — plafond de progression vers L2 à 18-24 mois.

Les 4 niveaux de CTI (stratégique, opérationnel, tactique, technique) servent à qui ?

Chaque niveau cible un consommateur distinct avec livrables et formats adaptés. Strategic CTI : conseil d'administration et direction générale, format narratif (rapports trimestriels 10-30 pages), horizon 6-24 mois, contenu type 'panorama menaces secteur bancaire Q2 2025', décisions visées : budgets cyber, choix de partenaires, M&A due diligence. Operational CTI : CISO, RSSI, responsables SOC, format dashboards + briefings mensuels, horizon 1-6 mois, contenu type 'campagne ransomware BlackBasta cible le secteur manufacturing FR, 12 entités touchées Q1'. Tactical CTI : detection engineers, threat hunters, format Sigma rules + YARA + ATT&CK mappings, horizon semaines-mois, contenu type 'nouveau TTP T1055.004 observé chez FIN7'. Technical CTI : analystes SOC L1/L2 et outils, format IOCs structurés (STIX, MISP), horizon heures-jours, contenu type 'hash SHA-256 abc... associé à ransomware Akira, bloquer en EDR'.

SOC & Blue Team

CTI (Cyber Threat Intelligence) : définition technique 2025

CTI définition : 4 niveaux (strategic, operational, tactical, technical), cycle intelligence, IOC vs TTP, STIX/TAXII, MISP, MITRE ATT&CK. Guide SOC.

Naim Aouaichia

24 avril 202617 min de lecture

CTI
Threat Intelligence
STIX TAXII
MISP
MITRE ATT&CK
Diamond Model
SOC

La Cyber Threat Intelligence (CTI) est la discipline qui transforme des données sur les menaces en renseignement actionnable pour protéger une organisation. Elle se distingue de la simple veille cybersécurité par un processus formalisé en 5 phases (cycle du renseignement : Direction, Collection, Processing, Analysis, Dissemination), une structuration en 4 niveaux (Strategic pour direction, Operational pour CISO, Tactical pour detection engineers, Technical pour SOC L1-L2), l'usage de frameworks standardisés (MITRE ATT&CK pour TTPs, Diamond Model pour analyse d'intrusion, Kill Chain Lockheed Martin, STIX 2.1 + TAXII 2.1 pour échange), et l'intégration opérationnelle dans des plateformes dédiées (MISP, OpenCTI, ThreatConnect, Anomali, Recorded Future, Mandiant Advantage). Le principe central, popularisé par David Bianco avec la Pyramid of Pain (2013), est que la détection doit viser les TTPs (Tactics, Techniques, Procedures) plutôt que les IOCs (Indicators of Compromise) — les IOCs ont une vie moyenne de 1-30 jours et sont facilement changeables par l'attaquant, les TTPs évoluent sur des mois ou années et coûtent cher à modifier. Un programme CTI mature 2025 consacre 80 % de sa détection aux TTPs, 20 % aux IOCs contextuels. Cet article détaille la définition technique de la CTI, le cycle du renseignement, les 4 niveaux avec livrables et consommateurs, les concepts clés (IOC vs TTP vs Campaign vs Threat Actor), les frameworks structurants (MITRE ATT&CK, Diamond Model, Kill Chain, Pyramid of Pain), les formats techniques (STIX 2.1, TAXII 2.1, OpenIOC legacy, MISP JSON), les plateformes de référence (MISP, OpenCTI, ThreatConnect), les sources typiques (OSINT, feeds commerciaux, CERT nationaux, communautés sectorielles), et l'intégration opérationnelle dans un SOC. Pour la fiche métier CTI avec salaires et trajectoires carrière, voir Qu'est-ce qu'un analyste CTI.

1. Définition précise et périmètre

La Cyber Threat Intelligence est, selon la définition de référence Gartner (2024) et reprise par Mandiant/Recorded Future :

Un processus structuré de collection, processing, analyse et diffusion d'informations sur les menaces cyber, visant à produire du renseignement actionnable pour supporter la prise de décision à différents niveaux d'une organisation.

Trois éléments clés distinguent la CTI d'une simple veille :

Structuré — processus formalisé, pas un flux d'informations ad-hoc.
Actionnable — chaque livrable débouche sur une action (détection, blocage, alerte, décision stratégique).
Multi-niveaux — adapté au destinataire (direction ≠ SOC analyst).

1.1 Ce que la CTI n'est PAS

Ce n'est PAS de la CTI	Raison
Suivre le CERT-FR sur Twitter/X	Pas de processus, pas de structuration, pas d'intégration
Exporter tous les IOCs d'un feed sans filtrage	Pas de contextualisation, génère du bruit en SIEM
Rapport annuel menaces « pour information »	Pas d'action demandée, pas de feedback loop
Copier les TTPs d'un rapport public dans ses règles	Pas de vérification applicabilité stack, faux positifs
Bloquer tous les IP malveillantes listées publiquement	Contexte manquant, legitimacy impact (CDN partagés)

Pour la place de la CTI dans le SOC opérationnel, voir Détection d'intrusion : les bases et Niveaux 1-2-3 SOC.

2. Le cycle du renseignement — 5 phases

Le cycle CTI standardisé (adapté des doctrines militaires classiques, formalisé par SANS FOR578, NIST SP 800-150) :

Cycle de la Cyber Threat Intelligence
──────────────────────────────────────────
 
1. DIRECTION                            ↑
   Questions RSSI / direction            │
   Priority Intelligence Requirements   │  Feedback
   (PIRs)                                │  (mesure
                                         │   d'impact,
2. COLLECTION                            │   quality
   OSINT (OpenCTI, MISP, Twitter/X)      │   assurance)
   Feeds commerciaux (Mandiant, RF)      │
   CERT / CSIRT nationaux                │
   Dark/deep web monitoring              │
                                         │
3. PROCESSING                            │
   Normalisation (STIX, MISP JSON)       │
   Deduplication, enrichissement         │
   Traduction / mise au format           │
                                         │
4. ANALYSIS                              │
   Attribution (threat actor)            │
   Contextualisation (ma verticale?)     │
   Priorisation (risque vs impact)       │
   Synthèse rapport ou règle             │
                                         │
5. DISSEMINATION                         │
   Livrables formatés par niveau         │
   Intégration outils (SIEM, EDR, TIP)   │
   Diffusion ciblée aux consommateurs    │
                                         ↓

2.1 Phase Direction — point critique souvent manqué

La phase Direction définit les Priority Intelligence Requirements (PIRs) — les questions stratégiques que la CTI doit résoudre. Sans PIRs explicites, la collection devient un flux opportuniste sans priorisation.

Exemples de PIRs bien formulés pour une banque française ETI 2025 :

« Quels threat actors ciblent actuellement le secteur bancaire français avec des tentatives de wire fraud ? »
« Y a-t-il des campagnes de malware ciblant les distributeurs automatiques de billets NCR ou Diebold sur la région EMEA ? »
« Quelle est la probabilité qu'un ransomware group (LockBit, BlackBasta, Akira) nous cible dans les 6 prochains mois ? »
« Quelles vulnérabilités critiques affectent notre stack spécifique (Swift Alliance, FIS, Temenos) et sont exploitées in-the-wild ? »

Sans PIRs, l'équipe CTI produit des rapports génériques qui finissent dans une boîte email non lue.

3. Les 4 niveaux de CTI

3.1 Strategic CTI

Caractéristique	Détail
Consommateur	Direction générale, conseil d'administration, CEO, CRO
Horizon temporel	6-24 mois
Format	Rapport narratif 10-30 pages, briefing trimestriel
Contenu type	Panorama menaces sectoriel, trends géopolitiques
Question résolue	« Dans quelle direction va la menace et comment on s'adapte ? »
Décisions visées	Budget cyber, M&A security, choix partenaires, assurance cyber

Exemple de livrable strategic : rapport trimestriel « Menaces cyber sur le secteur manufacturing français Q1 2025 » avec : principaux threat actors observés, évolution vs Q4 2024, secteurs adjacents compromis (supply chain), recommandations budget 3 ans.

3.2 Operational CTI

Caractéristique	Détail
Consommateur	CISO, RSSI, responsable SOC, responsable IR
Horizon temporel	1-6 mois
Format	Dashboards + briefings mensuels, alertes campagne
Contenu type	Campagnes actives, TTPs d'actors priority, secteurs cibles
Question résolue	« Quelles campagnes doivent me préoccuper ce mois-ci ? »
Décisions visées	Priorisation exercices red team, focus detection engineering

3.3 Tactical CTI

Caractéristique	Détail
Consommateur	Detection engineers, threat hunters, incident responders
Horizon temporel	Semaines-mois
Format	Sigma rules, YARA, ATT&CK mappings, advisories technique
Contenu type	Nouveaux TTPs, variantes malware, IOCs enrichis
Question résolue	« Quelles nouvelles détections déployer cette semaine ? »
Décisions visées	Déploiement règles, configuration EDR, chasses proactives

3.4 Technical CTI

Caractéristique	Détail
Consommateur	Analystes SOC L1/L2, outils automatisés
Horizon temporel	Heures-jours
Format	IOCs structurés (STIX 2.1, MISP JSON), feeds TAXII
Contenu type	Hash, IP, domain, URL, user-agents, mutex, clés registry
Question résolue	« Quoi bloquer immédiatement ? »
Décisions visées	Blocage auto SIEM/EDR/firewall, enrichissement alerting

4. Concepts clés : IOC, TTP, Campaign, Threat Actor

4.1 La Pyramid of Pain (David Bianco, 2013)

Référence centrale de la CTI moderne. Hiérarchie d'indicateurs par difficulté de modification côté attaquant :

                    Pyramid of Pain (Bianco, 2013)
                    ─────────────────────────────
                              ▲
                          TTPs   │  Tough!  (mois-années à changer)
                      ───────────┤
                     Tools        │  Challenging
                  ────────────────┤
                  Network / Host  │  Annoying
                  Artifacts       │
               ──────────────────┤
               Domain Names       │  Simple
            ─────────────────────┤
            IP Addresses          │  Easy
        ─────────────────────────┤
        Hash Values              │  Trivial
    ─────────────────────────────┘
                              ▼

Implication pratique : investir temps et effort à détecter une TTP (T1003.001 LSASS dump) est infiniment plus rentable que détecter un hash spécifique — l'attaquant re-compile le malware en 30 secondes, alors qu'il doit repenser sa méthodologie pour changer de TTP.

4.2 Hiérarchie des objets CTI (vocabulaire STIX 2.1)

Objet	Définition	Exemple
Threat Actor	Entité humaine ou organisationnelle à l'origine d'attaques	APT29 (Cozy Bear), FIN7, Lazarus Group, Conti, LockBit
Intrusion Set	Ensemble de comportements attribués à un actor	Groupes d'opérations liés à un TTP signature
Campaign	Série coordonnée d'activités sur une période et des cibles définies	SolarWinds 2020, 3CX 2023, MOVEit 2023
Attack Pattern	TTP ATT&CK abstraite	T1566 Phishing, T1003.001 OS Credential Dumping
Malware	Famille ou variante malveillante	Emotet, Cobalt Strike Beacon, BlackBasta, Akira
Tool	Outil légitime utilisé par l'attaquant	Mimikatz, PsExec, PowerShell, LOLBins
Indicator	IOC structuré (hash, IP, domain, URL)	SHA-256 abc..., IP 1.2.3.4, domain evil[.]tld
Vulnerability	CVE ou faiblesse	CVE-2024-3094 (XZ), CVE-2021-44228 (Log4Shell)

4.3 Diamond Model of Intrusion Analysis (2013)

Modèle d'analyse d'intrusion centré sur 4 features reliées :

        Adversary
         (threat actor, motivation)
               │
               │
   ───────────┼───────────
   │           │           │
 Capability   │     Infrastructure
 (malware,   │    (C2 servers,
  tools,     │     domains,
  TTPs)      │     infrastructure)
   │           │           │
   ───────────┼───────────
               │
               │
            Victim
       (target organization,
        sector, individual)

Chaque intrusion se caractérise par ces 4 angles reliés. La CTI cherche à documenter les relations observées pour prédire : « cet acteur utilise cette capability sur ce type d'infrastructure contre ce type de victime ».

4.4 Cyber Kill Chain Lockheed Martin (2011)

7 phases d'une attaque, mappable avec MITRE ATT&CK tactics (2013+) :

Phase Kill Chain	Tactique ATT&CK équivalente
1. Reconnaissance	TA0043 Reconnaissance
2. Weaponization	TA0042 Resource Development
3. Delivery	TA0001 Initial Access
4. Exploitation	TA0002 Execution
5. Installation	TA0003 Persistence
6. Command & Control	TA0011 Command and Control
7. Actions on Objectives	TA0009 Collection + TA0010 Exfiltration + TA0040 Impact

MITRE ATT&CK a largement supplanté la Kill Chain comme référence 2020+, mais les deux restent complémentaires. Pour le détail ATT&CK voir MITRE ATT&CK expliqué.

5. Formats techniques d'échange

5.1 STIX 2.1 (Structured Threat Information eXpression)

Publié par OASIS en 2021 (version 2.1), succède à STIX 1.x (ancien format XML plus complexe). JSON-based, orienté graphe. Exemple minimal d'un IOC STIX :

{
  "type": "indicator",
  "spec_version": "2.1",
  "id": "indicator--a932fcc6-e032-476c-826f-cb970a5a1ade",
  "created": "2026-04-24T09:00:00.000Z",
  "modified": "2026-04-24T09:00:00.000Z",
  "name": "Akira ransomware C2 domain",
  "description": "C2 domain observed in Akira ransomware deployments Q1 2026",
  "indicator_types": ["malicious-activity"],
  "pattern": "[domain-name:value = 'example-c2-domain.tld']",
  "pattern_type": "stix",
  "valid_from": "2026-04-24T09:00:00.000Z",
  "kill_chain_phases": [
    {
      "kill_chain_name": "mitre-attack",
      "phase_name": "command-and-control"
    }
  ]
}

STIX 2.1 supporte 18 types d'objets SDO (STIX Domain Objects) + 2 relationship types (SRO). Les plateformes modernes (OpenCTI, ThreatConnect) ingèrent STIX nativement.

5.2 TAXII 2.1 (Trusted Automated eXchange)

Protocole HTTPS/REST pour distribution de STIX :

# Exemple requête TAXII 2.1 — récupération d'objets depuis un collection
curl -X GET "https://example-taxii-server.tld/api/taxii2/collections/collection-id/objects/" \
  -H "Accept: application/taxii+json;version=2.1" \
  -H "Authorization: Bearer <TOKEN>"
 
# Réponse : paginée, STIX bundle

Usage : un MSSP ou un CERT national publie ses feeds STIX via un endpoint TAXII, les clients s'y abonnent et polling périodique pour récupérer les nouveautés.

5.3 MISP JSON (format propre MISP)

Plus simple, orienté Event-Attribute. Moins riche que STIX mais plus accessible. Convertible bi-directionnel vers STIX 2.1.

5.4 OpenIOC (Mandiant, legacy)

Format XML historique développé par Mandiant. Remplacé par STIX 2.1 dans la plupart des usages modernes, encore rencontré dans certains produits FireEye/Trellix.

6. Plateformes CTI 2025

6.1 Open-source

Plateforme	Éditeur	Force	Adoption 2025
MISP	CIRCL (Luxembourg)	Communautés sectorielles, écosystème feeds large	Dominant partage IOC communautaire
OpenCTI	Filigran (France, ex-ANSSI)	Knowledge graph STIX natif, IA 2024+	Leader knowledge base CTI 2024-2025
TheHive + Cortex	StrangeBee (France)	Intégration SOC incident response + CTI	Combo TIP/SOAR/SIR
Yeti	Thomas Chopitea (FR)	Self-hosted, simple, intégration SOC	Niche, adoption moyenne

6.2 Commercial

Plateforme	Éditeur	Positionnement	Tarification 2025 ETI
Mandiant Advantage	Google Cloud	Leader historique, analyst-centric	100-400 k€/an
Recorded Future	Insikt Group	OSINT + commercial feeds, ML-heavy	100-500 k€/an
ThreatConnect	ThreatConnect Inc	TIP + SOAR intégrés	80-250 k€/an
Anomali ThreatStream	Anomali	Enterprise TIP	100-300 k€/an
CrowdStrike Falcon Intelligence	CrowdStrike	Bundle EDR + CTI	Inclus Falcon premium
Palo Alto Unit 42 Intelligence	Palo Alto Networks	Bundle XSOAR + CTI	Inclus stack PA
Intel 471	Intel 471	Focus underground / ransomware	50-200 k€/an

6.3 Pattern de déploiement 2025 recommandé

Stack CTI typique ETI française 500-2000 pers, 2025
────────────────────────────────────────────────────
 
┌──────────────────────────────────────────────────┐
│  Sources                                          │
│  - OSINT (Twitter/X, Shodan, VirusTotal)         │
│  - Feeds OSS (MISP communities, AlienVault OTX)  │
│  - CERT-FR (ANSSI), CISA alerts                  │
│  - Commercial (Mandiant OR Recorded Future)       │
└──────────────────────────────────────────────────┘
                        │
                        ▼
┌──────────────────────────────────────────────────┐
│  Plateforme CTI interne                           │
│  - OpenCTI (knowledge graph STIX 2.1)            │
│  - OR MISP (si priorité partage communautaire)   │
└──────────────────────────────────────────────────┘
                        │
           ┌────────────┴────────────┐
           ▼                         ▼
┌────────────────────┐  ┌────────────────────┐
│  Intégration SOC   │  │  Livrables         │
│  - SIEM enrichment │  │  strategic (QBR)   │
│  - EDR IOC sync    │  │  operational (M)   │
│  - Firewall RBL    │  │  tactical (W)      │
│  - SOAR playbooks  │  │  technical (H)     │
└────────────────────┘  └────────────────────┘

7. Sources CTI — inventaire 2025

7.1 Sources gratuites de qualité

Source	Type	Format
CERT-FR (ANSSI)	Advisories France	Texte + STIX partiel depuis 2022
CISA KEV Catalog	Vulnérabilités exploitées activement	CSV + JSON
MITRE ATT&CK	Base TTPs universelle	STIX 2.1, Navigator JSON
AlienVault OTX	Communauté IOC	MISP JSON, STIX
MISP galaxies	Threat actors, malware, ransomware groups	MISP JSON
Talos Intelligence (Cisco)	Blogs + feeds	RSS, STIX sur abonnement
US-CERT / CISA advisories	Alertes gouvernementales US	STIX, PDF
ENISA Threat Landscape	Analyse annuelle UE	PDF rapport
VirusTotal	Hash lookups, sandbox	API REST

7.2 Sources commerciales premium

Mandiant, Recorded Future, Group-IB, Kaspersky ICS-CERT, Intel 471, Secureworks Counter Threat Unit, Palo Alto Unit 42. Budget typique 100-500 k€/an par fournisseur.

7.3 ISACs / CERT sectoriels

Partage bilatéral entre pairs d'un même secteur :

FS-ISAC (finance) — global, ~7 000 membres.
Health-ISAC (santé).
E-ISAC (énergie).
MS-ISAC (collectivités US).
InterCERT-FR — partage entre CERT français sectoriels.

8. Intégration opérationnelle dans un SOC

8.1 Enrichissement automatique SIEM

Pattern standard 2025 : les IOCs CTI synchronisés automatiquement vers le SIEM via une threat intel connector (Splunk ES Threat Intel framework, Sentinel TI connector, Elastic Threat Intel Filebeat module). Règle de détection typique :

-- Exemple SIEM rule KQL (Microsoft Sentinel)
-- Détection IOC domain CTI observé en DNS logs
 
let cti_malicious_domains = ThreatIntelligenceIndicator
| where ExpirationDateTime > now()
| where ConfidenceScore >= 70
| where ThreatType in ("Malware", "Ransomware", "C2")
| project IndicatorId, Url, DomainName, ThreatType;
 
DnsEvents
| where TimeGenerated > ago(24h)
| where QueryType in ("A", "AAAA")
| join kind=inner (cti_malicious_domains)
    on $left.Name == $right.DomainName
| project TimeGenerated, ClientIP, Name, ThreatType, IndicatorId
| extend AlertPriority = case(
    ThreatType == "Ransomware", "Critical",
    ThreatType == "C2",         "High",
                                "Medium"
)

8.2 Threat hunting proactif

Hypothèse-driven hunting à partir de nouveaux rapports CTI : un analyste lit un rapport Mandiant décrivant les TTPs de FIN7, extrait les techniques ATT&CK (T1027.002, T1059.001, T1547.001), écrit des requêtes de recherche dans son SIEM sur 30-90 jours d'historique pour trouver des traces passées de ces TTPs dans son environnement.

8.3 Enrichissement SOAR

Un SOAR (XSOAR, Tines, Cortex, Swimlane, TheHive+Cortex) enrichit automatiquement chaque alerte SIEM avec le contexte CTI pertinent :

Hash → VirusTotal lookup + enrichissement TIP (first seen, campaign, threat actor).
IP → GeoIP + reputation + passive DNS.
User → employé actif ? ancien employé ? prestataire ? privilèges ?
TTP observée → campagnes actives utilisant cette TTP dans les 90 derniers jours.

9. Anti-patterns courants

Six erreurs observées en audit de programmes CTI 2024-2025 :

Feed dump sans filtrage — importer 100 000 IOCs dans le SIEM génère des alertes massives sur des CDN partagés, proxys, domaines expirés.
IOCs sans expiration — hash malware de 2019 encore en base en 2025. Les IOCs sans TTL deviennent du bruit.
Confusion entre CTI et veille — rapports PDF longs non structurés, pas de workflow d'intégration.
Pas de PIRs explicites — l'équipe CTI produit du contenu générique sans lien avec les priorités business.
Attribution aventureuse — conclure que APT29 cible l'organisation sur la base d'un hash partagé entre 10 campagnes distinctes.
Budget tout commercial, zéro OSS — Recorded Future + Mandiant + ThreatConnect à 600 k€/an sans MISP/OpenCTI = redondance forte sur les feeds et absence de capacité d'analyse interne.

10. CTI et frameworks adjacents

La CTI s'articule avec plusieurs frameworks cyber complémentaires :

Framework	Rôle	Articulation CTI
MITRE ATT&CK	Catalogue TTPs	Vocabulaire commun CTI/detection/red team
MITRE D3FEND	Catalogue défenses	Mapping CTI → contre-mesures
Diamond Model	Analyse d'intrusion	Structure d'un événement CTI
Kill Chain Lockheed	Phases d'attaque	Contextualisation temporelle
Pyramid of Pain (Bianco)	Priorisation indicateurs	Stratégie de détection CTI
MITRE ATT&CK for ICS	OT spécifique	CTI industriel
NIST SP 800-150	Threat information sharing	Governance CTI
Traffic Light Protocol (TLP)	Classification partage	TLP:RED / AMBER / GREEN / CLEAR

10.1 TLP — Traffic Light Protocol

Standard de marquage pour le partage d'information CTI (FIRST.org, v2.0 2022) :

Marquage	Diffusion autorisée
TLP:RED	Destinataires nommés uniquement, pas de partage
TLP:AMBER+STRICT	Organisation du destinataire uniquement
TLP:AMBER	Organisation + clients besoin de savoir
TLP:GREEN	Communauté élargie, pas public
TLP:CLEAR (ex TLP:WHITE)	Diffusion sans restriction

Points clés à retenir

Définition : CTI = processus structuré (pas veille ad-hoc) de collection + analyse + diffusion de renseignement sur les menaces cyber, orienté action.
Cycle en 5 phases : Direction (PIRs) → Collection → Processing → Analysis → Dissemination, avec feedback loop.
4 niveaux : Strategic (direction, 6-24 mois), Operational (CISO, 1-6 mois), Tactical (detection engineers, semaines-mois), Technical (SOC + outils, heures-jours).
Pyramid of Pain (Bianco 2013) : focus TTPs > IOCs — TTPs coûtent cher à changer côté attaquant.
Objets STIX 2.1 : Threat Actor, Intrusion Set, Campaign, Attack Pattern, Malware, Tool, Indicator, Vulnerability.
Plateformes 2025 : MISP (partage IOC communautaire), OpenCTI (knowledge graph STIX), Mandiant / Recorded Future (commercial premium).
Intégration SOC : enrichissement SIEM (ThreatIntelligenceIndicator tables), SOAR playbooks, threat hunting hypothèse-driven.
6 anti-patterns : feed dump sans filtrage, IOCs sans expiration, confusion veille/CTI, pas de PIRs, attribution aventureuse, budget tout commercial zero OSS.
TLP (FIRST.org) : RED → AMBER+STRICT → AMBER → GREEN → CLEAR pour marquage diffusion.

Pour la place de la CTI dans le SOC opérationnel, voir Détection d'intrusion : les bases et Niveaux 1-2-3 SOC. Pour le framework central, MITRE ATT&CK expliqué. Pour la fiche carrière analyste CTI, Qu'est-ce qu'un analyste CTI.

Questions fréquentes

Quelle différence entre CTI et simple veille cybersécurité ?
La veille cybersécurité consomme passivement de l'information (CERT-FR, flux RSS, Twitter/X, advisories éditeurs) sans processus structuré de validation, priorisation et action. La CTI (Cyber Threat Intelligence) est un processus formel qui suit un cycle en 5 phases (Direction → Collection → Processing → Analysis → Dissemination) avec des producteurs et consommateurs identifiés, des formats structurés (STIX 2.1, MISP JSON), une intégration opérationnelle dans les outils SOC (SIEM, EDR, TIP), et des mesures d'efficacité (coverage ATT&CK, IOC relevance, time-to-action). Une équipe fait de la veille ; un programme CTI fait du renseignement actionnable. L'écart se mesure à la capacité de l'équipe à répondre à 'qui nous cible, avec quoi, pourquoi, et comment bloquer ?'.
Qu'est-ce qu'un IOC, une TTP, et en quoi c'est différent ?
IOC (Indicator of Compromise) est un artefact technique observable : hash de fichier (SHA-256, MD5), IP malveillante, domaine C2, URL phishing, chaîne user-agent, clé de registre. Les IOCs sont éphémères (vie moyenne 1-30 jours selon l'actor, Mandiant 2024) et facilement changeables par l'attaquant. TTP (Tactics, Techniques, Procedures) décrit le comportement de l'attaquant à un niveau abstrait, mappé MITRE ATT&CK : T1566 Phishing, T1078 Valid Accounts, T1003.001 OS Credential Dumping via LSASS. Les TTPs évoluent lentement (mois à années) car elles reflètent des choix architecturaux de l'actor. David Bianco a popularisé le 'Pyramid of Pain' (2013) : IOC facile à contourner, TTP extrêmement coûteux à changer. Détection mature 2025 : 80 % basée TTP, 20 % IOC contextuel.
STIX et TAXII : à quoi ça sert concrètement ?
STIX (Structured Threat Information eXpression, OASIS, v2.1 publié 2021) est un langage structuré JSON pour décrire des menaces : objets comme Threat Actor, Campaign, Indicator, Malware, Attack Pattern, reliés par des relationships typées. TAXII (Trusted Automated eXchange of Indicator Information, OASIS, v2.1) est le protocole HTTP/HTTPS pour échanger du STIX entre plateformes. Ensemble : STIX=quoi, TAXII=comment. Usage concret : un fournisseur CTI commercial (Mandiant, Recorded Future, ThreatConnect, Anomali) publie ses feeds en STIX via TAXII ; la plateforme cliente (OpenCTI, MISP, ThreatConnect, Threat Stream) consomme, normalise, enrichit les détections SIEM/EDR. CTF-FR, ANSSI, CISA publient des avis compatibles STIX depuis 2022-2023.
MISP ou OpenCTI : lequel choisir pour un programme CTI ?
MISP (Malware Information Sharing Platform, créé 2012 par le CIRCL Luxembourg, open-source AGPLv3) est historiquement la référence pour le partage d'IOCs au sein de communautés sectorielles (banque, énergie, santé). Force : écosystème feeds communautaires très large (ENISA ISP, CERT-FR partage bilatéral, communities industrielles), adoption mondiale, simplicity du modèle Event-Attribute. Limite : modèle Event-Attribute moins adapté aux TTPs complexes et graphes de relations. OpenCTI (Filigran, lancé 2019, Apache 2.0) utilise un modèle STIX 2.1 natif full-graph (Neo4j + Elastic), adapté à l'analyse knowledge-graph moderne. Force : représentation riche, intégration STIX native, IA assistée 2024+. Limite : écosystème communautaire plus jeune que MISP. Pattern 2025 : MISP pour le partage IOC communautaire, OpenCTI pour la knowledge base interne TTPs + campaigns.
Un analyste SOC L1 a-t-il besoin de comprendre la CTI ?
Oui, au minimum au niveau contextuel. Un analyste L1 ne produit pas de CTI, mais il la consomme en continu : enrichissement des alertes (quel acteur exploite cette CVE actuellement ? ce hash est-il connu de quelle campagne ?), priorisation (un TTP documenté par APT29 sur ma verticale → escalade L2), rédaction de ticket contextualisée (référence campagne + ATT&CK ID). Les SOC matures 2025 intègrent l'enrichissement CTI automatique dans le SIEM (feeds MISP/OpenCTI synchronisés, TIP plateformes type Recorded Future Triage). Un L1 qui ne comprend pas la différence entre IOC, TTP, campaign et threat actor reste bloqué en copier-coller de playbooks sans adaptation au contexte — plafond de progression vers L2 à 18-24 mois.
Les 4 niveaux de CTI (stratégique, opérationnel, tactique, technique) servent à qui ?
Chaque niveau cible un consommateur distinct avec livrables et formats adaptés. Strategic CTI : conseil d'administration et direction générale, format narratif (rapports trimestriels 10-30 pages), horizon 6-24 mois, contenu type 'panorama menaces secteur bancaire Q2 2025', décisions visées : budgets cyber, choix de partenaires, M&A due diligence. Operational CTI : CISO, RSSI, responsables SOC, format dashboards + briefings mensuels, horizon 1-6 mois, contenu type 'campagne ransomware BlackBasta cible le secteur manufacturing FR, 12 entités touchées Q1'. Tactical CTI : detection engineers, threat hunters, format Sigma rules + YARA + ATT&CK mappings, horizon semaines-mois, contenu type 'nouveau TTP T1055.004 observé chez FIN7'. Technical CTI : analystes SOC L1/L2 et outils, format IOCs structurés (STIX, MISP), horizon heures-jours, contenu type 'hash SHA-256 abc... associé à ransomware Akira, bloquer en EDR'.

Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

Questions fréquentes

Naim Aouaichia

À lire également

Détection d'intrusion : les bases 2025 (IDS, EDR, SIEM)

Les niveaux 1, 2, 3 dans un SOC - Rôles, missions, progression

Qu'est-ce qu'un XDR ? Différences EDR, SIEM, SOAR 2026

MITRE ATT&CK expliqué - Framework, tactiques, techniques, usage

Qu'est-ce qu'un analyste CTI ? Rôle et missions

Pourquoi le pentest ne suffit pas : 7 limites structurelles