Aller au contenu principal
FORTEMENT EXPOSÉTECH / DIGITAL

Analyste en Cyber Threat Intelligence

Verdict CRISTAL-10 v14.0 : Pivot

Analyste en Cyber Threat Intelligence - métier face à l’IA en 2026
80/100 · IA

Chiffres clés 2026

55 000 €Salaire médian / an
174Offres live FT
3 675Intentions BMO 2026

Tension marché : 2.42% postes vacants (39 688 postes secteur DARES).

Source : France Travail / DARES BMO 2026 / INSEE TIC 2025. Données pack mises à jour 15 mars 2026.

Impact IA sur le métier

Automatisable par l’IA

  • Collecte et parsing automatisé de flux de threat feeds (OSINT, darkweb, VirusTotal, AlienVault OTX)
  • Corrélation d’indicateurs de compromission (IoC) et détection de patterns via engines XDR/SIEM boostés IA
  • Tri et priorisation automatique des alertes de vulnérabilités (CVSS scoring)
  • Génération de templates de rapports d’incidents et de bulletins de menace
  • Enrichissement automatique des indicateurs avec des bases de données de réputation

Reste humain

  • Analyse tactique du comportement adversarial : attribution, motivation, modes d’opération pour anticiper les attaques zero-day
  • Contextualisation stratégique des menaces pour un secteur ou une organisation cible (threat mapping adversarial)
  • Production de threat briefs destinés aux décideurs non-techniques et coordination avec les équipes SOC et CERT
  • Conduite d’exercices de simulation d’attaques adverses (purple team, red team) et ajustement des contre-mesures
  • Évaluation qualitative de la crédibilité des sources humaines (informateurs, partenaires CERT, retours terrain)

Compétences clés

Normes de sécuritéRègles de sécurité Informatique et TélécomsRéseaux informatiques et télécomsGestion des configurationsSystèmes d’exploitation informatiqueArchitecture webAnglais techniqueConfiguration de pare-feu et de systèmes de prévention d’intrusionAccompagner l’appropriation d’un outil par ses utilisateursCréer une documentation techniqueRéaliser un diagnostic techniqueRédiger un cahier des charges, des spécifications techniquesDéterminer des mesures correctivesStructurer, synthétiser des informationsGérer une situation d’urgenceRéaliser des études et développements informatiques

20 compétences ROME. Source : France Travail.

Carrière et formation

Formations RNCP

5 fiches disponibles. Top 4 :

  • RNCP35353 — Qualité, Logistique Industrielle et Organisation : Management de la tr (Niveau 6)
  • RNCP35401 — Science des données : exploration et modélisation statistique (Niveau 6)
  • RNCP35402 — Science des données : visualisation, conception d’outils décisionnels (Niveau 6)
  • RNCP35408 — Génie Électrique et Informatique Industrielle : Automatisme et Informa (Niveau 6)

Reconversion & CPF

Salaire détaillé

Voir grille junior/médiane/senior + méthodologie
NiveauMédian estiméP90 estiméBase
Junior (0-2 ans)38 500 €44 275 €0.70 × médian
Médian (3-7 ans)55 000 €63 249 €DARES+INSEE
Senior (8+ ans)68 750 €74 250 €1.25 × médian

Méthodologie : Médian = données DARES/INSEE salaires bruts annuels 2024-2025 pour le code ROME associé. Junior/Senior = extrapolations ratios standards (0.70x / 1.25x). P90 = niveau atteint par 10 % des supérieurs de la catégorie. Pour précision par expérience/secteur/région : consulter Michael Page, Robert Half, Talent.com.

Tendances 2026-2030

2026
3 675 intentions de recrutement (BMO France Travail).
2027
Eurobarometer : 21% des Français utilisent l’IA au travail, 49% craignent pour leur emploi.
2028
BPI France : 20% des PME adoptent IA générative, 35% planifient sous 12 mois.
2029
INSEE TIC : 13% du secteur adopte IA (vs 8% moyenne France).
2030
L’IA absorbe la corrélation des indicateurs de compromission et la veille du dark web, mais l’analyste demeure essentiel pour décrypter l’intention de l’adversaire et anticiper les manœuvres stratégiques.

Freins adoption IA (BPI France 2024) : 42% citent le manque de compétences, 38% citent les coûts.

Questions fréquentes & sources

L’IA va-t-elle remplacer ce métier ?
Non. Avec environ 80.0% des tâches exposées, le métier se réorganise autour de ce que la machine ne couvre pas : le jugement, la validation et la relation humaine.
Quel salaire pour Analyste en Cyber Threat Intelligence en 2026 ?
Médian estimé : 55 000 €/an brut. Source : France Travail (DARES et INSEE).
Quelle formation pour devenir analyste en cyber threat intelligence ?
5 fiches RNCP disponibles (code ROME M1844). CPF + Pôle Emploi finançables. Voir la section Carrière ci-dessus.

Sources officielles

Metiers proches face a l IA

Analyse approfondie

Analyste en cyber threat intelligence : fiche complète 2026

L’attaque informatique n’est plus une hypothèse, c’est une variable opérationnelle permanente pour les entreprises. L’analyste en cyber threat intelligence est le spécialiste qui anticipe, qualifie et contextualise ces menaces avant qu’elles ne se matérialisent. Un métier stratégique, en forte demande depuis le durcissement du contexte géopolitique et réglementaire. Il ne se confond ni avec l’analyste SOC, qui réagit à chaud, ni avec l’expert en forensique, qui enquête après coup.

Périmètre du métier et différences vs métiers proches

L’analyste en cyber threat intelligence (CTI) collecte, analyse et diffuse des données sur les menaces pesant sur l’organisation. Il produit des renseignements actionnables pour les équipes techniques, la direction et parfois les clients. Contrairement au responsable sécurité (CISO), il n’a pas de fonction managériale. Contrairement au pentester, il ne réalise pas de tests d’intrusion : il étudie les adversaires, leurs TTP (tactiques, techniques, procédures) et les indicateurs de compromission (IoC). Le périmètre couvre la veille OSINT, l’analyse de malwares, le renseignement humain (HUMINT) et la modélisation d’attaques. Les livrables sont des rapports, des fiches de menace et des flux d’IoC pour les SIEM.

Cadre réglementaire 2026

L’AI Act européen, entré en vigueur en 2025-2026, catégorise les systèmes d’IA utilisés en cybersécurité comme à risque limité, imposant une transparence accrue sur les modèles de détection. Le RGPD encadre la collecte de données personnelles issues de l’OSINT. La directive NIS 2 oblige les opérateurs de services essentiels à mettre en place une cellule de threat intelligence. La CSRD (Corporate Sustainability Reporting Directive) intègre désormais les cyber-risques dans le reporting extra-financier. Le Code du travail, via l’obligation générale de sécurité de l’employeur, confère une responsabilité juridique aux analystes qui signalent ou non des vulnérabilités. La convention collective applicable dépend du secteur (métallurgie, banque, sociétés d’assurances, bureaux d’études techniques) ; aucune convention unique ne couvre ce métier transverse.

Spécialités et sous-métiers

La CTI stratégique s’adresse aux décideurs : elle produit des notes de conjoncture sur les cyber-risques géopolitiques, les tendances ransomware et les évolutions réglementaires. Les analystes travaillent souvent dans des cabinets de conseil ou des directions risques. La CTI opérationnelle alimente les équipes SOC et CERT avec des renseignements exploitables en temps réel : IoC, règles YARA, signatures Suricata. C’est le profil le plus courant. La CTI tactique se concentre sur l’étude des groupes d’attaquants et de leurs outils : reverse engineering de malwares, cartographie des infrastructures malveillantes. Enfin, le threat hunting est une spécialité proactive qui cherche des compromissions non détectées, en s’appuyant sur des hypothèses tirées du renseignement.

Outils et environnement technique

  • Plateformes de threat intelligence (MISP, OpenCTI, ThreatConnect)
  • SIEM/EDR pour l’analyse corrélée (Splunk, Microsoft Sentinel, Elastic Security)
  • Outils OSINT automatisés (Maltego, Shodan, SpiderFoot, TheHarvester)
  • Environnements sandbox pour l’analyse de malwares (Cuckoo, CAPE, Joe Sandbox)
  • Outils de renseignement open source spécialisés (VirusTotal, AlienVault OTX, Recorded Future)
  • Langages de script (Python, PowerShell, Bash) pour automatiser la collecte
  • Bases de connaissances et wikis de menace (ATT&CK de MITRE, STIX/TAXII pour l’échange standardisé)
  • Outils de visualisation de données et de reporting (Grafana, Canva, Jupyter Notebooks)

Grille salariale 2026

Salaire brut annuel par niveau d’expérience et localisation (2026)
ProfilParis et Île-de-FranceRégions
Junior (0-2 ans)40 000 – 48 000 €35 000 – 42 000 €
Confirmé (3-6 ans)50 000 – 65 000 €45 000 – 58 000 €
Senior (7+ ans)65 000 – 85 000 €55 000 – 75 000 €

Le salaire médian national de 48 000 € brut/an, estimé par l’APEC, place ce métier dans la moyenne haute des experts cybersécurité. Les analystes en threat intelligence stratégique sont mieux rémunérés que les profs techniques en SOC. Les primes de marché et PEE peuvent ajouter 8 à 15 % pour les profils expérimentés dans les grands groupes bancaires ou les ESN.

Formations et diplômes

  • Master en cybersécurité (universités Paris-Saclay, Rennes 1, Grenoble INP) avec spécialisation en renseignement cyber
  • Diplôme d’ingénieur généraliste avec option cyber (INSA, Centrale, Telecom)
  • Formation AFPA ou CNAM en cybersécurité de niveau 7 (bac+5)
  • BTS ou licence pro en réseaux et sécurité, complétés par une expérience opérationnelle (SOC, Pentest)
  • Écoles spécialisées privées type ESGI, EPITA, Epitech avec majeure sécurité offensive/défensive

Les recruteurs valorisent l’expérience pratique et les certifications plus que le nom du diplôme. Un bac+5 dans un domaine connexe (informatique, mathématiques, relations internationales) peut suffire si le candidat démontre une maîtrise des outils CTI et des frameworks de menace.

Reconversion vers ce métier

Trois profils sources offrent des passerelles solides vers la CTI. Le développeur backend ou sécurité maîtrise déjà le scripting et l’analyse de code : il lui manque la culture du renseignement et la connaissance des TTP adverses. Une formation courte de 6 mois en threat intelligence (AFPA, CNAM, formation continue en école) avec un mentorat en SOC permet de basculer. L’analyste SOC ou incident responder connaît les signaux opérationnels mais pas la vision stratégique : il évolue naturellement vers la CTI après 2-3 ans de pratique, en se formant aux frameworks MITRE et aux techniques OSINT poussées. Enfin, le journaliste ou analyste géopolitique spécialisé cyber apporte un sens critique et une aptitude à la synthèse que peu de techniciens possèdent : il doit se former aux outils techniques (maltego, MISP) auprès d’instituts comme le pôle d’excellence cyber ou les formations courtes des écoles de guerre économique.

Exposition au risque IA

Le score global de 80 % au référentiel CRISTAL-10 reflète une exposition forte mais non totale à l’automatisation par intelligence artificielle. Les tâches de collecte et de tri de masse des données OSINT sont largement automatisables : ingestion de flux, extraction d’IoC, dédoublonnage. Les LLM permettent désormais de générer des rapports préliminaires en langage naturel. En revanche, l’analyse fine des intentions d’un attaquant, la corrélation d’informations non structurées issues du dark web, ou la validation d’une piste géopolitique restent des activités humaines. L’IA est un multiplicateur de productivité, pas un remplacement. Les analystes qui intègrent des compétences en machine learning (classification de menaces, NLP appliqué aux forums) restent protégés. Ceux qui se cantonnent à la veille manuelle risquent une érosion de leur valeur ajoutée d’ici 2028.

Marché de l’emploi

Le marché français de la cyber threat intelligence est en tension depuis 2023. Selon les enquêtes de l’ANSSI et les données de France Travail, les offres pour ce profil augmentent plus vite que la moyenne des métiers IT. Les secteurs les plus recruteurs sont les banques et assurances (BNP Paribas, Société Générale, AXA), les opérateurs d’importance vitale (EDF, Orange, SNCF), les ESN spécialisées en cybersécurité (Thales, Atos, Airbus CyberSecurity) et les cabinets de conseil (PwC, Deloitte, Accenture). La région Île-de-France concentre environ la moitié des offres ; les grandes métropoles régionales (Lyon, Toulouse, Rennes, Lille) affichent une demande croissante grâce aux clusters cyber. Le télétravail partiel reste courant, surtout pour les postes de CTI stratégique qui ne nécessitent pas de présence en salle SOC.

Répartition des offres par secteur employeur (estimation qualitative 2026)
SecteurPart des offresÉvolution vs 2024
Banque / AssuranceEnviron 30 %En hausse modérée
Conseil et ESNEnviron 35 %Stable
Industrie / OIVEnviron 20 %En forte hausse
Administration / DéfenseEnviron 15 %Stable

Certifications et labels reconnus

  • CISSP (Certified Information Systems Security Professional) : socle de référence en sécurité de l’information, exigé par les grands comptes
  • OSCP (Offensive Security Certified Professional) : valorisé pour la compréhension des techniques offensives
  • GIAC Threat Intelligence (GCTI) : certification spécifique délivrée par le SANS Institute
  • CREST Practitioner Threat Intelligence Analyst (CREST CPTIA) : reconnu en Europe et exigé par certains appels d’offres
  • Certification ISO 27001 Lead Implementer : utile pour les analystes CTI intégrés dans un SMSI
  • Qualiopi : certification obligatoire pour les organismes de formation en cybersécurité

Les certifications techniques (OSCP, GCTI) priment pour les postes opérationnels ; le CISSP vaut sur les postes stratégiques et d’encadrement. Les labels comme "France Cybersecurity" ou "SecNumedu" rassurent les recruteurs sans être déterminants.

Évolution de carrière

À 3 ans, un analyste CTI peut évoluer vers un poste de lead analyste ou de chef de projet threat intelligence, supervisant une petite équipe de veilleurs et rédigeant les rapports de synthèse pour la direction. À 5 ans, trois trajectoires s’ouvrent : la direction opérationnelle (CISO adjoint dans un grand groupe), l’expertise technique (threat hunter senior, architecte de la fonction renseignement) ou la spécialisation sectorielle (analyste CTI dans l’industrie, la finance ou la défense). À 10 ans, les profils expérimentés peuvent accéder à des postes de CISO, de responsable de la cybersécurité ou de consultant senior en stratégie cyber. Certains deviennent formateurs ou créent leur propre cellule CTI externalisée. La rémunération peut dépasser 100 000 euros brut annuels en fin de carrière dans les fonctions dirigeantes.

Perspectives du métier

L’essor de l’IA générative chez les attaquants, avec les deepfakes, les malwares polymorphiques et le phishing personnalisé à grande échelle, oblige les analystes à adopter des outils de détection plus sophistiqués. La normalisation du partage de renseignements via les ISAC sectoriels se généralise, et la convergence entre cyber et physique dans les systèmes OT et IoT crée de nouveaux besoins sur les infrastructures critiques. La réglementation européenne comme l’AI Act et le Cyber Resilience Act imposera des obligations de reporting de menaces aux fabricants de logiciels, multipliant les postes en interne et faisant émerger le CTI strategic advisor comme spécialité à part entière.