Portes ouvertes en ligne : ce Mercredi à 18h

S’inscrire

guardia école de cybersécurité logo
Portes ouvertes

Boite à outils

Threat intelligence et CTI, comprendre le renseignement cyber en 2026

Avant de lancer un test d’intrusion, la première étape est toujours le renseignement. Qui attaque cette organisation ? Avec quelles techniques ? Quels outils ? Quels comptes ont été compromis par le passé ? La threat intelligence apporte ces réponses. C’est ce qui permet de ne pas avancer à l’aveugle, que l’on soit du côté offensif (red team) ou défensif (blue team).

Deux personnes de l'équipe
Par L'Equipe Guardia CS
Contenu mis à jour le
Se former à la cybersécurité
Graphique de threat intelligence

Le marché de la threat intelligence pèse environ 10 milliards de dollars en 2026 (Mordor Intelligence). Mastercard a racheté Recorded Future, le leader du secteur, pour 2,65 milliards de dollars (annoncé en septembre 2024, finalisé début 2025). Google avait acquis Mandiant pour 5,4 milliards en 2022. Ces montants disent une chose : le renseignement sur les menaces n’est plus un luxe réservé aux agences de renseignement. C’est devenu un pilier de la cybersécurité des entreprises. Ce guide fait le point sur ce qu’est la threat intelligence, comment elle fonctionne, quels outils existent, et comment elle s’intègre dans les opérations de sécurité.

En résumé : La threat intelligence (ou CTI, Cyber Threat Intelligence) est le processus de collecte, d’analyse et d’exploitation d’informations sur les cybermenaces. Elle repose sur trois niveaux : stratégique (tendances pour les décideurs), opérationnelle (campagnes en cours pour les SOC) et tactique (indicateurs techniques : IOC, IOA). La matrice MITRE ATT&CK est le référentiel commun. Les principales plateformes en 2026 : Recorded Future (Mastercard), Mandiant (Google), CrowdStrike Falcon Intelligence, et les solutions open source MISP et OpenCTI.

Sommaire

  1. Le renseignement cyber, bien plus qu’une liste de menaces
  2. Les trois niveaux de threat intelligence
  3. Le cycle de vie du renseignement cyber
  4. Indicateurs de compromission (IOC) et d’attaque (IOA)
  5. MITRE ATT&CK et les frameworks de threat intelligence
  6. Les principales plateformes de TI en 2026
  7. La threat intelligence en pratique dans un SOC
  8. Les métiers du renseignement cyber
  9. Se former
  10. Questions fréquentes

Le renseignement cyber, bien plus qu’une liste de menaces

La threat intelligence, ou renseignement sur les cybermenaces, désigne le processus continu de collecte, de traitement et d’analyse d’informations sur les menaces auxquelles une organisation est exposée. L’objectif : transformer des données brutes (logs, indicateurs techniques, rapports publics, activité sur le dark web) en renseignement exploitable par les équipes de sécurité.

Le terme a été formalisé par Gartner en 2014, mais la pratique existe depuis bien plus longtemps dans le monde du renseignement militaire. Le principe est le même : connaître son adversaire avant de le combattre. En cybersécurité, cela signifie savoir quels groupes ciblent votre secteur d’activité, quelles techniques ils utilisent, quels sont leurs objectifs, et quelles vulnérabilités ils exploitent.

Ce que la TI n’est pas : une simple liste de menaces. La donnée brute (« cette adresse IP est malveillante ») n’est pas du renseignement. Le renseignement commence quand cette donnée est contextualisée (« cette IP appartient à un serveur de commande utilisé par le groupe APT29, qui cible les ministères européens depuis 2023, avec une technique de spear phishing exploitant des documents Office piégés »). La différence entre une donnée et un renseignement, c’est le contexte qui la rend exploitable.

Pour qu’un renseignement soit utile, il doit être spécifique à l’organisation (adapté à sa surface d’attaque), contextuel (avec des détails sur les techniques et les acteurs), et exploitable (l’équipe de sécurité peut agir sur la base de ce qu’elle apprend).

Les trois niveaux de threat intelligence

Le renseignement cyber ne s’adresse pas qu’aux analystes techniques. Il se décline en trois niveaux, chacun destiné à un public et un usage différent.

Niveau Public cible Contenu Horizon Exemple
Stratégique RSSI, direction, conseil d’administration Tendances, motivations des attaquants, risques sectoriels, géopolitique Mois à années « Les groupes affiliés à la Russie intensifient les attaques sur le secteur énergétique européen depuis 2024 »
Opérationnelle Responsables SOC, équipes de réponse à incident Campagnes en cours, groupes actifs, TTP (tactiques, techniques, procédures) Semaines à mois « Le groupe Akira a lancé une campagne ciblant les VPN Cisco non patchés depuis mars 2025 »
Tactique Analystes SOC, ingénieurs sécurité, outils automatisés IOC (hashes, IP, domaines), signatures, règles de détection Heures à jours « Bloquer l’IP 185.220.xx.xx (C2 LockBit) et le hash SHA256 a3f2c9… »

En 2025, le renseignement stratégique représentait environ 34 % du marché de la TI (Mordor Intelligence). C’est ce niveau qui guide les investissements de sécurité et les décisions du comité de direction. Le renseignement opérationnel est celui qui alimente les investigations en cours. Le tactique, le plus technique, est souvent automatisé : les IOC sont injectés directement dans les SIEM, les EDR et les pare-feu pour bloquer les menaces connues.

Le cycle de vie du renseignement cyber

La threat intelligence n’est pas un produit qu’on achète une fois. C’est un processus continu, structuré en six étapes qui se répètent. Ce cycle est hérité du renseignement militaire et adapté à la cybersécurité.

1. Planification. Définir les besoins. Quelles menaces sont prioritaires pour l’organisation ? Quels sont les actifs critiques ? Quels groupes d’attaquants ciblent le secteur ? Cette étape implique les parties prenantes : RSSI, direction, équipes SOC, responsables métier.

2. Collecte. Rassembler les données depuis des sources multiples : feeds d’indicateurs (STIX/TAXII), dark web, forums clandestins, OSINT (sources ouvertes), logs internes, rapports de CERT, partage entre pairs (ISAC sectoriels). La diversité des sources est ce qui fait la richesse du renseignement.

3. Traitement. Normaliser, dédupliquer, enrichir. Transformer les données brutes en format exploitable. Un hash de fichier seul ne dit rien. Enrichi avec sa famille de malware, les campagnes associées et les groupes qui l’utilisent, il devient un renseignement.

4. Analyse. C’est l’étape où l’humain fait la différence. L’analyste CTI corrèle les données, identifie des patterns, formule des hypothèses, et produit des rapports exploitables. Un bon analyste ne se contente pas de lire les données : il les interprète et anticipe.

5. Diffusion. Transmettre le renseignement au bon public, au bon format. Un bulletin stratégique pour la direction. Des règles de détection pour le SIEM. Des indicateurs pour l’EDR. Le renseignement qui n’atteint pas son destinataire ne sert à rien.

6. Retour d’expérience. Évaluer ce qui a fonctionné, ce qui a manqué, ce qui doit être ajusté. Le cycle recommence.

Cycle de vie de la threat intelligence : schéma circulaire des 6 étapes
Les six étapes du cycle de vie de la threat intelligence (planification, collecte, traitement, analyse, diffusion, retour d’expérience), un processus continu hérité du renseignement militaire.

Indicateurs de compromission (IOC) et d’attaque (IOA)

Les indicateurs sont la matière première de la threat intelligence tactique. On distingue deux types, qui répondent à des questions différentes.

Les IOC (Indicators of Compromise) signalent qu’une compromission a eu lieu ou est en cours. Ce sont des preuves numériques : un hash de fichier malveillant (MD5, SHA256), une adresse IP de serveur de commande (C2), un nom de domaine utilisé pour le phishing, une URL de téléchargement de payload, un pattern dans les logs. L’IOC est réactif : il permet de détecter une menace connue. Sa limite : les attaquants changent leurs IOC à chaque opération. Un hash de malware n’est valide que jusqu’à ce que l’attaquant recompile son code.

Les IOA (Indicators of Attack) sont plus durables. Ils décrivent des comportements d’attaque plutôt que des artefacts techniques : un processus PowerShell qui tente d’accéder au LSASS pour extraire des identifiants, un mouvement latéral via PsExec, une exfiltration de données vers un service cloud. L’IOA est proactif : il détecte l’intention de l’attaquant, pas juste sa trace. C’est le fondement de l’analyse comportementale des EDR modernes.

Les IOC les plus courants en environnement d’entreprise : anomalies de connexion (horaires inhabituels, accès non autorisé), activité suspecte sur les comptes à privilèges, hausse soudaine de la lecture des bases de données, requêtes répétées sur un même fichier, modifications non planifiées des fichiers système. En l’absence d’IOC détectables, un attaquant peut rester des semaines dans un réseau sans être repéré. C’est ce qu’on appelle le « dwell time », et il atteint encore 10 jours en médiane pour les compromissions détectées en interne (données Mandiant 2025).

Savoir lire les traces d’une attaque, ça s’apprend

Analyser des IOC, corréler des signaux, remonter une chaîne d’attaque : c’est le quotidien d’un analyste SOC ou d’un threat hunter. Nos étudiants travaillent sur ces scénarios dès la première année, en conditions réelles.

Bachelor · MSc · Paris, Lyon, Bordeaux

Découvrir le MSc Renseignement et Analyse de la Menace →

MITRE ATT&CK et les frameworks de threat intelligence

La threat intelligence repose sur des cadres communs qui permettent aux défenseurs de parler le même langage. Trois frameworks structurent le domaine.

MITRE ATT&CK est le plus connu. Cette matrice publique, maintenue par l’organisation MITRE avec des contributions du gouvernement américain et de la communauté cyber, recense les tactiques (ce que veut faire l’attaquant : accès initial, persistance, élévation de privilèges, exfiltration…) et les techniques (comment il le fait : phishing, exploitation de faille, mouvement latéral via RDP…) utilisées par les groupes d’attaquants dans le monde réel. En 2026, la matrice Enterprise couvre 14 tactiques et plus de 200 techniques. Les solutions EDR, SIEM et plateformes de TI cartographient leurs détections sur cette matrice, ce qui permet de mesurer la couverture défensive et d’identifier les angles morts.

STIX/TAXII sont les standards d’échange. STIX (Structured Threat Information eXpression) définit le format dans lequel les indicateurs et le renseignement sont structurés. TAXII (Trusted Automated eXchange of Indicator Information) est le protocole de transport. Ce sont des standards OASIS depuis 2021. Concrètement, ils permettent à une plateforme de TI de recevoir automatiquement des feeds d’indicateurs depuis des sources multiples, dans un format normalisé.

Extrait simplifié de la matrice MITRE ATT&CK avec 5 tactiques et leurs techniques
Extrait simplifié de la matrice MITRE ATT&CK (Enterprise) montrant cinq tactiques – accès initial, exécution, persistance, mouvement latéral, exfiltration – et quelques techniques associées.

Le Diamond Model est un cadre d’analyse des intrusions qui structure chaque événement autour de quatre sommets : l’adversaire, l’infrastructure utilisée, la victime et la capacité technique déployée. Moins connu que MITRE ATT&CK, il est utilisé par les analystes CTI pour relier des incidents entre eux et attribuer des campagnes à des groupes spécifiques.

Les principales plateformes de TI en 2026

Le marché se partage entre des plateformes commerciales à haute valeur ajoutée et des solutions open source qui ont prouvé leur fiabilité. Voici les six plateformes les plus déployées.

Plateforme Éditeur Type Point fort Limite Prix
Recorded Future Mastercard Commercial Volume de données (900 Mds points/jour), IA prédictive, couverture dark web Réponse à incident moins aboutie que la concurrence Sur devis (modulaire)
Mandiant Threat Intelligence Google Cloud Commercial Attribution APT de référence, 350+ groupes suivis, expertise incident response Coût élevé, surdimensionné pour les PME Sur devis (accès gratuit limité)
CrowdStrike Falcon Intelligence CrowdStrike Commercial Télémétrie de 24 000+ clients, 230+ groupes profilés, intégration EDR native Plein potentiel avec Falcon (écosystème fermé) Inclus dans Falcon Premium, ou standalone sur devis
MISP CIRCL (Luxembourg) Open source Partage d’IOC entre organisations, standard de fait pour les CERT Pas de couche analytique avancée, nécessite expertise interne Gratuit
OpenCTI Filigran (France) Open source Plateforme CTI complète, soutenue par l’ANSSI et le CERT-EU, modèle STIX natif Courbe d’apprentissage, infrastructure à maintenir Gratuit (version entreprise sur devis)
IBM X-Force Exchange IBM Commercial Base collaborative large, accès gratuit limité, intégration QRadar Moins de profondeur que Recorded Future ou Mandiant Gratuit (basique), premium sur devis
Écosystème de la threat intelligence : sources de renseignement alimentant une plateforme TIP
L’écosystème du renseignement cyber : les sources (OSINT, dark web, feeds STIX/TAXII, CERT, ISAC, logs internes) convergent vers une plateforme TIP qui redistribue le renseignement aux outils et équipes du SOC (SIEM, EDR, SOAR, analystes, threat hunters, RSSI).

Deux faits marquants en 2024-2025 ont redéfini le marché. Le rachat de Recorded Future par Mastercard pour 2,65 milliards de dollars valide l’idée que la threat intelligence a une valeur directe pour le business, pas seulement pour la sécurité. Côté open source, OpenCTI (développé par la société française Filigran) s’est imposé comme une alternative crédible aux plateformes commerciales. La plateforme est utilisée par des CERT nationaux, des entreprises du CAC 40 et des institutions européennes.

L’IA au service du renseignement cyber

En 2026, 68 % des plateformes de threat intelligence intègrent de l’IA pour automatiser la corrélation d’indicateurs, réduire les faux positifs et accélérer l’analyse. Comprendre ces technologies, c’est comprendre l’avenir du renseignement cyber.

Jedha · IA et cybersécurité · 17 campus

Découvrir la formation Cybersécurité Jedha →

La threat intelligence en pratique dans un SOC

La TI ne vit pas dans un silo. Elle prend toute sa valeur quand elle est intégrée dans les opérations quotidiennes du SOC (Security Operations Center).

Enrichissement des alertes. Quand un EDR ou un pare-feu génère une alerte, la première question de l’analyste SOC est : « est-ce que cet indicateur est connu ? ». La plateforme de TI enrichit l’alerte avec du contexte : cette IP appartient à tel groupe, ce hash est associé à telle campagne de ransomware, ce domaine a été enregistré il y a 48 heures (signal de phishing). L’analyste passe de « je vois une anomalie » à « je comprends ce qui se passe ».

Threat hunting proactif. Le threat hunter ne se contente pas d’attendre les alertes. Il utilise le renseignement opérationnel pour formuler des hypothèses et les tester dans les données du SI. Exemple : « Le groupe Qilin cible les VPN Fortinet non patchés. Nos appliances sont-elles à jour ? Y a-t-il des connexions suspectes sur nos concentrateurs VPN depuis les IP référencées ? » Cette approche proactive a permis à des organisations de détecter des compromissions qui seraient restées invisibles pendant des semaines.

Réponse à incident. Quand un incident est confirmé, la TI accélère l’investigation. Les rapports sur le groupe attaquant identifié permettent d’anticiper ses prochaines actions (mouvement latéral, persistance, exfiltration) et de concentrer les efforts de remédiation sur les techniques les plus probables.

Mesure de la couverture. En mappant les techniques MITRE ATT&CK couvertes par les règles de détection du SIEM et de l’EDR, l’équipe peut identifier les lacunes et prioriser les investissements. Une organisation qui couvre 60 % des techniques de la matrice sait exactement où sont ses angles morts.

Les métiers du renseignement cyber

La threat intelligence a fait émerger des profils spécialisés, parmi les plus recherchés du secteur.

L’analyste CTI est le profil central. Il collecte les données depuis les sources OSINT, les feeds commerciaux et le dark web, les corrèle, et produit des rapports exploitables par les équipes opérationnelles. C’est un profil qui combine des compétences techniques (réseaux, systèmes, analyse de malware) avec une capacité d’analyse stratégique (géopolitique, motivations des acteurs).

Le threat hunter utilise le renseignement produit par l’analyste CTI pour mener des recherches proactives dans le système d’information. C’est un analyste SOC de niveau avancé, capable de formuler des hypothèses à partir des TTP d’un groupe et de les tester dans les données.

Le RSSI consomme le renseignement stratégique pour orienter les investissements de sécurité et rendre compte au comité de direction. En 2026, la directive NIS2 (dont la promulgation en France est attendue pour mi-2026) imposera aux entités régulées de démontrer une capacité de détection et de réponse, ce qui renforce le besoin de TI structurée.

Pour découvrir l’ensemble des parcours, consultez les fiches métiers en cybersécurité.

Se former à la cybersécurité et à l’IA en France

Collecter du renseignement, analyser des campagnes d’attaque, cartographier des menaces sur MITRE ATT&CK : ces compétences s’acquièrent par la pratique, dans des environnements qui reproduisent les conditions du terrain.

Guardia

Formations en cybersécurité du Bac au Bac+5, intégrant CTF, investigations numériques et projets professionnalisants. Le MSc Manager en Renseignement et Analyse de la Menace forme les futurs analystes CTI. Trois campus : Paris, Lyon et Bordeaux.

Jedha

Formations intensives en intelligence artificielle, data et cybersécurité, du débutant au niveau expert, sur 17 campus en France et en Europe. Éligibles CPF et France Travail.

Questions fréquentes

C’est quoi la CTI en cybersécurité ?

La CTI (Cyber Threat Intelligence) désigne le processus de collecte, d’analyse et d’exploitation d’informations sur les menaces cyber. Contrairement à une simple liste d’indicateurs, la CTI produit du renseignement exploitable : qui attaque, avec quelles techniques, quelles cibles, et comment s’en protéger. Elle alimente les équipes SOC, les analystes et les décideurs pour anticiper les attaques.

IOC et IOA, quelle différence ?

Un IOC (Indicator of Compromise) est une preuve qu’une compromission a eu lieu ou est en cours : hash de fichier, adresse IP de serveur de commande, nom de domaine suspect. Un IOA (Indicator of Attack) signale un comportement d’attaque avant que le dommage ne soit fait : tentative d’élévation de privilèges, mouvement latéral, exfiltration. L’IOC est réactif, l’IOA est proactif.

À quoi sert MITRE ATT&CK ?

MITRE ATT&CK est une base de données publique qui recense les tactiques et techniques utilisées par les groupes d’attaquants. Les équipes de sécurité l’utilisent pour cartographier leurs détections, identifier les lacunes dans leur couverture, et comprendre à quelle phase de l’attaque correspond une alerte. C’est le langage commun de la threat intelligence. En 2026, la matrice couvre 14 tactiques et plus de 200 techniques.

Faut-il un SOC pour faire de la threat intelligence ?

Non, mais la TI prend tout son sens quand elle est intégrée dans un processus opérationnel. Pour les organisations sans SOC, des services managés (MDR) intègrent la threat intelligence dans leurs prestations. Des outils open source comme MISP ou OpenCTI permettent de démarrer avec un investissement limité, à condition de disposer d’une personne capable d’interpréter les données.

Quels outils open source pour la threat intelligence ?

MISP (Malware Information Sharing Platform) est la référence pour le partage d’indicateurs entre organisations. OpenCTI, développé par la société française Filigran avec le soutien de l’ANSSI et du CERT-EU, est une plateforme complète de gestion du renseignement cyber. IBM X-Force Exchange propose un accès gratuit limité. AlienVault OTX est une autre communauté de partage d’indicateurs en libre accès.

La threat intelligence est-elle réservée aux grandes entreprises ?

Non. Les PME sont parmi les cibles les plus fréquentes. Des feeds gratuits (MISP, OTX, CERT-FR) permettent de s’informer sans budget dédié. Les services MDR incluent une couche de renseignement dans leurs offres. OpenCTI est gratuit et utilisable par toute organisation disposant d’un minimum de compétences techniques. Le marché évolue vers des solutions accessibles.

Quels métiers travaillent en threat intelligence ?

L’analyste CTI collecte et produit le renseignement. Le threat hunter l’utilise pour chercher des menaces cachées. L’analyste SOC consomme les alertes enrichies. Le RSSI s’appuie sur le renseignement stratégique pour orienter les investissements. Les formations en cybersécurité préparent à ces métiers, du Bachelor au MSc.

Ressources complémentaires

Les contenus de Guardia

Contenus récents

johntheripper
Guide complet pour apprendre John the Ripper
no-code
Le No-Code et la cybersécurité : avantages et défis
Voir tous les articles
TÉLÉCHARGEZ GRATUITEMENT
Le Grand Livre de la Cybersécurité
Plus de 180 pages d'articles indispensables rédigés pour mieux comprendre le secteur de la Cybersécurité
Télécharger
Le Grand Livre de la Cybersécurité
Vous êtes un professionnel ?
Vous consultez actuellement l’espace dédié aux étudiants :
Si vous êtes un professionnel en reconversion ou en montée en compétences, des formations spécifiques (éligibles au CPF et à France Travail) sont disponibles dans la rubrique « Pros ».
Voir les formations pros
S’inscrire aux jpo pros
Voir les formations pros

Prochaine étape 👇

Prenez rendez-vous pour affiner votre projet

Vous semblez avoir le profil pour rejoindre une de nos écoles. Vous pouvez d'ores et déjà prendre rendez-vous avec nos chargés d'admission pour discuter de votre projet de formation 👇

Vous ne parvenez pas à prendre rdv ? Ecrivez à contact@guardia.school.