Cybersécurité

Cyber Threat Intelligence (CTI) : le renseignement menaces en entreprise

Le CTI transforme des données brutes en décisions de sécurité. Niveaux, sources, TLP, MITRE ATT&CK et intégration au SOC : le guide RSSI 2026.

Marc Aubert · Mis à jour le par Marc Aubert

Le renseignement sur les menaces, ou Cyber Threat Intelligence (CTI), souffre du même travers que le Zero Trust : il est devenu un argument commercial avant d’être compris comme une discipline. Les éditeurs vendent des flux d’indicateurs au volume, les organisations les achètent par réflexe de conformité, et les analystes croulent ensuite sous des millions de données qu’ils ne savent pas exploiter. Le résultat est un investissement qui ne réduit aucun risque.

Cet article propose une lecture pragmatique du CTI : ce qu’il est réellement, ses trois niveaux, ses sources, les standards qui le structurent (MITRE ATT&CK, protocole TLP), et surtout la manière de le brancher à une capacité de détection pour qu’il produise des décisions plutôt que du bruit.

Le CTI n’est pas un flux : c’est un cycle

La confusion fondamentale consiste à réduire le CTI à un robinet de données. Un flux d’adresses IP malveillantes n’est pas du renseignement : c’est une matière première. Le renseignement naît du traitement de cette matière première en fonction d’un besoin précis.

La discipline reprend le cycle du renseignement classique, transposé au domaine cyber. Il comporte cinq phases.

Orientation. L’équipe définit les besoins prioritaires de renseignement, en partant des questions auxquelles la direction et le SOC doivent répondre. Quels groupes d’attaquants ciblent notre secteur ? Quelles techniques utilisent-ils ? Quelles vulnérabilités exploitent-ils actuellement ? Sans cette phase, le CTI collecte tout et n’éclaire rien.

Collecte. L’équipe rassemble les données pertinentes à partir des sources retenues : bulletins des CERT, flux communautaires, sources ouvertes (OSINT), forums clandestins, télémétrie interne.

Traitement. Les données brutes sont normalisées, dédoublonnées, enrichies et structurées dans un format exploitable. Cette phase, souvent négligée, conditionne toute la suite.

Analyse. Les données traitées sont confrontées au contexte de l’entité pour produire du renseignement : un attaquant donné cible-t-il vraiment notre périmètre ? Cette technique est-elle détectable par nos outils ? Cette vulnérabilité est-elle présente chez nous ?

Diffusion. Le renseignement produit est transmis au bon destinataire, dans un format adapté à son usage : une note synthétique pour la direction, une règle de détection pour le SOC, une liste d’indicateurs pour le SIEM.

Ce cycle est itératif : la diffusion alimente une nouvelle orientation. Une organisation qui achète un flux sans dérouler ce cycle ne fait pas de CTI. Elle stocke des données.

Les trois niveaux de renseignement

Le CTI ne s’adresse pas à un seul public. Il se décline en trois niveaux, chacun servant un destinataire et une décision différents. Confondre ces niveaux est la première source d’échec d’un programme CTI.

NiveauDestinataireHorizonNatureExemple
StratégiqueDirection, comité des risquesLong termeTendances, motivations, géopolitiqueÉvolution de la menace rançongiciel sur le secteur santé
TactiqueRSSI, architectes, SOCMoyen termeTTP des attaquantsUn groupe utilise tel vecteur d’accès initial
Opérationnel et techniqueAnalystes SOC, outilsCourt termeIndicateurs de compromissionAdresses IP, domaines, empreintes de fichiers

Le CTI stratégique éclaire les décisions d’investissement et de priorisation. Il répond à des questions de direction : où placer le budget sécurité l’an prochain, quels scénarios de risque privilégier, comment la menace évolue sur notre secteur. Il se nourrit d’analyses de tendances, de rapports sectoriels et de l’observation des campagnes d’attaque. Sa production est rare et synthétique. Elle ne contient aucun détail technique.

Le CTI tactique décrit la manière dont les attaquants opèrent, indépendamment des outils précis qu’ils emploient à un instant donné. C’est le niveau des TTP (tactiques, techniques, procédures). Il alimente l’architecture de défense et la priorisation de la détection. Si l’on sait qu’un groupe actif sur notre secteur privilégie l’exploitation de services exposés non corrigés, on priorise la gestion des vulnérabilités sur ces actifs. Ce niveau est le plus durable et souvent le plus négligé.

Le CTI opérationnel et technique fournit les indicateurs de compromission (IOC) : adresses IP, noms de domaine, empreintes de fichiers, URL. Ces données alimentent directement les outils de détection. Elles sont précises mais éphémères : un attaquant change une adresse IP en quelques minutes. Ce niveau est le plus consommé et, paradoxalement, le moins stratégique.

Un programme CTI mature produit les trois niveaux. Un programme immature se limite aux IOC, c’est-à-dire au niveau qui apporte le moins de valeur durable.

IOC contre TTP : la pyramide de la douleur

La distinction entre indicateur de compromission et comportement d’attaque structure toute la discipline. Un modèle bien connu, la pyramide de la douleur, classe les indicateurs selon la difficulté qu’a l’attaquant à les modifier une fois détectés.

En bas de la pyramide, les empreintes de fichiers : un attaquant recompile son outil et change l’empreinte instantanément. Au-dessus, les adresses IP et les domaines : un peu plus coûteux à renouveler, mais trivial. Plus haut, les artefacts réseau et hôte. Au sommet, les TTP : pour changer son mode opératoire complet, un attaquant doit réapprendre, réoutiller, repenser sa chaîne d’attaque. C’est là que la détection fait le plus mal.

La conséquence opérationnelle est claire. Détecter sur des IOC produit un effet ponctuel et fragile. Détecter sur des TTP impose à l’attaquant un coût réel. Une stratégie de détection mature investit progressivement vers le haut de la pyramide, sans abandonner la base : les IOC restent utiles pour bloquer rapidement une campagne en cours, mais ils ne constituent pas une défense durable.

Cette logique rejoint celle de la détection comportementale décrite dans notre comparatif EDR, MDR et XDR pour RSSI : les signatures repèrent le connu, les comportements repèrent la méthode.

MITRE ATT&CK : la grammaire commune

Le CTI tactique a besoin d’un langage partagé pour décrire les comportements d’attaque. Ce langage existe : c’est MITRE ATT&CK, une base de connaissances publique et gratuite qui recense les tactiques et techniques observées dans des attaques réelles [1].

ATT&CK organise les comportements d’attaque en tactiques (les objectifs : accès initial, exécution, persistance, élévation de privilège, mouvement latéral, exfiltration) et en techniques (les moyens d’atteindre chaque objectif). Chaque technique reçoit un identifiant stable, ce qui permet à deux organisations de parler exactement de la même chose.

L’intérêt pour le CTI est triple.

Un référentiel commun. Quand un CERT publie qu’un groupe utilise telle technique d’accès initial, toutes les organisations qui parlent ATT&CK comprennent immédiatement de quoi il s’agit et peuvent vérifier leur couverture de détection sur cette technique.

Une cartographie de couverture. En projetant ses règles de détection sur la matrice ATT&CK, une équipe visualise ses angles morts : quelles techniques sont couvertes, lesquelles ne le sont pas. Cette cartographie oriente les investissements de détection bien mieux qu’un comptage d’alertes.

Une priorisation par la menace. Plutôt que de tenter de couvrir l’intégralité de la matrice, ce qui est irréaliste, l’équipe priorise les techniques effectivement utilisées par les attaquants qui ciblent son secteur. Le CTI fournit cette liste ; ATT&CK fournit le cadre pour l’exploiter.

ATT&CK n’est pas une solution magique. C’est une grammaire. Mais une grammaire commune change tout dans une discipline où l’absence de vocabulaire partagé a longtemps freiné l’échange.

Les sources : gratuit d’abord, payant ensuite

La question récurrente en réunion budgétaire est celle du flux commercial. Faut-il acheter du renseignement ? La réponse pragmatique commence par l’inverse : que peut-on obtenir gratuitement ?

Les CERT et CSIRT nationaux. En France, le CERT-FR, rattaché à l’ANSSI, publie des bulletins d’alerte, des avis de sécurité et des analyses de menaces accessibles à toutes les organisations [2]. C’est la source de base, gratuite et de qualité, que toute entité française devrait consommer.

Les agences européennes et internationales. L’ENISA publie des rapports de panorama des menaces et des analyses sectorielles [3]. Aux États-Unis, la CISA diffuse des alertes et des avis techniques largement repris [4]. Ces sources éclairent les tendances et les campagnes majeures.

Les communautés de partage. Des plateformes ouvertes comme MISP permettent à des communautés sectorielles de partager des indicateurs et des analyses entre pairs de confiance [5]. Un secteur d’activité dispose souvent d’un cercle de partage où les organisations s’échangent du renseignement sur les attaques qui les visent collectivement.

Les sources ouvertes (OSINT). Rapports d’éditeurs, blogs de chercheurs, dépôts publics d’indicateurs : une veille structurée sur ces sources produit déjà une valeur considérable.

Le CTI payant n’a de sens qu’une fois ces sources exploitées et leurs limites atteintes : couverture insuffisante d’un secteur de niche, besoin de renseignement sur une zone géographique particulière, accès à des sources clandestines surveillées par un prestataire spécialisé. Acheter un flux avant d’avoir épuisé le gratuit, et surtout avant d’être capable de l’exploiter, revient à payer pour du bruit.

Le protocole TLP : partager sans nuire

Le renseignement ne vaut que partagé, mais un partage non maîtrisé peut nuire : révéler une source, alerter un attaquant qu’il est détecté, exposer une victime. Le protocole TLP (Traffic Light Protocol) encadre ce partage par un code de couleurs simple, standardisé par le FIRST [6].

MarquageDiffusion autorisée
TLP:REDDestinataires nommés uniquement, aucune rediffusion
TLP:AMBEROrganisation du destinataire, sur la base du besoin d’en connaître
TLP:AMBER+STRICTOrganisation du destinataire uniquement, pas les partenaires
TLP:GREENCommunauté du destinataire, pas de diffusion publique
TLP:CLEARDiffusion libre, sans restriction

Respecter le TLP est une condition d’accès aux cercles de confiance. Une organisation qui rediffuse un renseignement TLP:RED se voit exclue des partages futurs. Inversement, une organisation qui marque correctement ce qu’elle partage gagne la confiance de ses pairs et alimente un cercle vertueux. Le TLP n’est pas une formalité bureaucratique : c’est l’infrastructure sociale du partage de renseignement.

Brancher le CTI à la détection

Un programme CTI déconnecté de la détection est un centre de coût. Sa valeur naît de son intégration dans la chaîne opérationnelle de sécurité. Quatre points d’intégration structurent cette articulation.

Le SIEM. Les indicateurs techniques alimentent les règles de corrélation du SIEM, qui confronte la télémétrie interne aux indicateurs de menace connus. Mais attention au piège du volume : injecter des millions d’IOC sans contexte dégrade les performances et noie les analystes. Le renseignement injecté doit être qualifié, daté et expiré. Notre article sur le SIEM et la journalisation détaille cette mécanique de corrélation.

L’EDR et le XDR. Les indicateurs et surtout les TTP alimentent les règles de détection comportementale au niveau des endpoints et des plateformes de corrélation. Un TTP cartographié dans ATT&CK se traduit en une règle de détection mesurable.

La gestion des vulnérabilités. Le CTI enrichit la priorisation des correctifs. Une vulnérabilité activement exploitée par un attaquant qui cible votre secteur passe en tête de file, indépendamment de son score théorique. Cette logique de priorisation par la menace est développée dans notre article sur la gestion des vulnérabilités CVE et CVSS.

Le threat hunting. Le renseignement fournit les hypothèses de recherche proactive. Plutôt que d’attendre une alerte, l’analyste part d’un comportement d’attaquant documenté par le CTI et cherche activement ses traces dans la télémétrie. Cette recherche, qui suppose un SOC mature, transforme le renseignement en détection avant l’incident.

L’intégration au SOC est centrale. Un SOC externalisé ou interne qui ne consomme pas de renseignement opère à l’aveugle, en réaction pure. Le CTI lui donne l’avance, c’est-à-dire la capacité d’anticiper les techniques avant de les subir.

La place du CTI face au rançongiciel

Le rançongiciel illustre l’apport concret du CTI mieux qu’aucun discours. Les groupes d’attaquants qui opèrent en mode rançongiciel suivent des modes opératoires identifiables : vecteurs d’accès initial privilégiés, outils de mouvement latéral, méthodes d’exfiltration avant chiffrement.

Le CTI documente ces modes opératoires et permet d’agir en amont. Si le renseignement indique qu’un groupe actif sur votre secteur exploite systématiquement une famille de vulnérabilités sur des services exposés, vous priorisez la correction de ces services. S’il privilégie un outil de mouvement latéral particulier, vous instrumentez sa détection. Le renseignement transforme une menace générique en une liste d’actions défensives priorisées.

Notre analyse des vecteurs d’attaque du rançongiciel en 2026 détaille ces modes opératoires. Le CTI est précisément ce qui permet de les connaître avant d’en être victime, plutôt que de les découvrir pendant la crise.

NIS2 et la dimension réglementaire

La directive NIS2 ne nomme pas le CTI, mais elle en crée le besoin de plusieurs manières [7]. Elle impose une analyse des risques fondée sur la connaissance des menaces, une capacité de détection des incidents, et elle encourage le partage d’informations sur les menaces au sein de l’Union, notamment via les CSIRT et les cercles sectoriels.

En pratique, conduire une analyse de risques crédible sans renseignement sur les attaquants qui ciblent réellement son secteur relève de l’exercice théorique. De même, détecter des incidents sans connaître les techniques employées revient à chercher sans savoir quoi chercher. Le CTI devient donc une brique implicite de la conformité, au même titre que la détection ou la gestion des vulnérabilités. Notre guide NIS2 entreprise 2026 replace ces exigences dans leur contexte d’ensemble.

L’enjeu pour le RSSI n’est pas de cocher une case CTI, mais d’intégrer le renseignement dans les processus que NIS2 exige déjà : analyse des risques, détection, réponse, partage.

Construire un programme à sa maturité

Le CTI se construit par paliers, alignés sur la maturité de l’organisation. Vouloir brûler les étapes produit du gaspillage.

Palier 1 : consommer. L’organisation s’abonne aux sources gratuites (CERT-FR, ENISA, cercles sectoriels), lit les bulletins, et applique les recommandations. Ce palier ne coûte que du temps et apporte déjà une valeur réelle. C’est le point de départ obligatoire de toute PME.

Palier 2 : intégrer. L’organisation injecte les indicateurs qualifiés dans son SIEM et son EDR, cartographie sa détection sur MITRE ATT&CK, et priorise ses correctifs en fonction de la menace. Ce palier suppose un SOC opérationnel et une discipline de qualification des indicateurs.

Palier 3 : produire. L’organisation génère son propre renseignement à partir de sa télémétrie, conduit du threat hunting, partage avec ses pairs dans le respect du TLP, et dispose d’analystes CTI dédiés. Ce palier ne se justifie qu’à partir d’une taille et d’une maturité élevées.

La majorité des organisations a intérêt à exceller au palier 1 et à progresser méthodiquement vers le palier 2, plutôt qu’à se précipiter vers un palier 3 coûteux et inexploitable. Le CTI mal calibré est l’un des investissements de sécurité les plus fréquemment gaspillés. Bien calibré, il est l’un des plus rentables, parce qu’il oriente tous les autres.

Références

[1] MITRE ATT&CK, base de connaissances des tactiques et techniques adverses. [2] CERT-FR (ANSSI), bulletins d’alerte, avis et analyses de menaces. [3] ENISA, rapports de panorama des menaces (Threat Landscape). [4] CISA, alertes et avis sur les menaces et vulnérabilités. [5] Projet MISP, plateforme de partage d’indicateurs de menace. [6] FIRST, spécification du Traffic Light Protocol (TLP). [7] Directive (UE) 2022/2555 (NIS2), articles relatifs à l’analyse des risques, à la détection et au partage d’informations.

Sources primaires : MITRE ATT&CK, CERT-FR, ENISA, CISA, MISP, FIRST TLP, EUR-Lex NIS2.

Questions fréquentes

Le CTI est-il réservé aux grandes entreprises ?

Non. Une PME tire déjà une valeur réelle du CTI gratuit : bulletins du CERT-FR, alertes sectorielles, indicateurs publics partagés par les communautés. Le CTI payant et la constitution d'une équipe dédiée ne se justifient qu'à partir d'une certaine taille et d'un SOC opérationnel. Le principe à retenir est qu'une PME doit consommer du renseignement avant d'envisager d'en produire.

Faut-il acheter un flux de threat intelligence commercial ?

Pas en priorité. Beaucoup d'organisations achètent un flux commercial avant d'être capables de l'exploiter, et déversent des millions d'indicateurs dans leur SIEM sans contexte. Le préalable est une capacité de détection mature et une qualification du besoin. Un flux payant se justifie lorsque les sources gratuites ne couvrent plus le secteur ou la zone géographique de l'entité, et que l'équipe peut transformer ces données en règles de détection.

Quelle différence entre un IOC et un TTP ?

Un IOC (indicateur de compromission) est un artefact technique observable : une adresse IP, un nom de domaine, une empreinte de fichier. Il est précis mais fragile, car l'attaquant le change facilement. Un TTP (tactique, technique, procédure) décrit un comportement d'attaque, indépendamment de l'outil utilisé. Il est plus durable et plus difficile à contourner. La détection moderne privilégie les TTP, modélisés via MITRE ATT&CK, sans abandonner les IOC pour autant.

Le CTI est-il imposé par NIS2 ?

La directive NIS2 ne mentionne pas le CTI nommément. Elle impose en revanche une analyse des risques, une détection des incidents et un partage d'informations facilité au sein de l'Union. En pratique, satisfaire ces exigences sans consommer de renseignement sur les menaces relève de la gageure. Le CTI devient donc une brique attendue, sans être un objet réglementaire isolé.

Sources citées

  1. https://attack.mitre.org/
  2. https://www.first.org/tlp/
  3. https://www.cert.ssi.gouv.fr/
  4. https://www.enisa.europa.eu/
  5. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
#CTI#threat intelligence#renseignement#MITRE ATT&CK#SOC#RSSI
Cybersécurité

Cryptographie post-quantique : préparer la migration en entreprise

Un ordinateur quantique cassera le chiffrement actuel, et les données volées aujourd'hui seront déchiffrées plus tard. La méthode de migration post-quantique en entreprise.
Cybersécurité

SIEM et journalisation : centraliser les logs pour détecter

Sans journaux centralisés, une intrusion reste invisible. Collecte, corrélation, cas d'usage SIEM : la méthode pour bâtir une vraie capacité de détection en entreprise.
Cybersécurité

Cyber Resilience Act : ce que le CRA impose aux fabricants en 2026

Le règlement (UE) 2024/2847 impose la sécurité aux produits numériques vendus en Europe. Obligations, calendrier, marquage CE : le décryptage pour DSI et fabricants.