Aller au contenu principal
FORTEMENT EXPOSÉ · SCORE 80.0%TECH / DIGITAL

ANALYSTE EN INTELLIGENCE DE MENACES

Verdict CRISTAL-10 v14.0 : Pivot

ANALYSTE EN INTELLIGENCE DE MENACES - métier face à l’IA en 2026
80.0% exposition IAScore CRISTAL-10 v14.0

Chiffres clés 2026

40 000 €Salaire médian / an
114Offres live FT
3 675Intentions BMO 2026

Tension marché : 2.42% postes vacants (39 688 postes secteur DARES).

Source : France Travail / DARES BMO 2026 / INSEE TIC 2025. Données pack mises à jour 15 mars 2026.

Impact IA sur le métier

Automatisable par l’IA

  • Analyser, exploiter, structurer des données
  • Respecter la confidentialité des informations
  • Concevoir et maintenir un système de cybersécurité
  • Gérer les risques de cybersécurité
  • Proposer des pistes d’amélioration des solutions

Reste humain

  • Travail en journée
  • Clientèle d’affaires
  • Station assise prolongée
  • Salarié secteur privé (CDI, CDD)
  • Travail en mode projet

Compétences clés

Normes de sécuritéRègles de sécurité Informatique et TélécomsRéseaux informatiques et télécomsGestion des configurationsSystèmes d’exploitation informatiqueArchitecture webAnglais techniqueConfiguration de pare-feu et de systèmes de prévention d’intrusionAccompagner l’appropriation d’un outil par ses utilisateursCréer une documentation techniqueRéaliser un diagnostic techniqueRédiger un cahier des charges, des spécifications techniquesDéterminer des mesures correctivesStructurer, synthétiser des informationsGérer une situation d’urgenceRéaliser des études et développements informatiques

20 compétences ROME. Source : France Travail.

Carrière et formation

Formations RNCP

5 fiches disponibles. Top 4 :

  • RNCP35353 — Qualité, Logistique Industrielle et Organisation : Management de la tr (Niveau 6)
  • RNCP35401 — Science des données : exploration et modélisation statistique (Niveau 6)
  • RNCP35402 — Science des données : visualisation, conception d’outils décisionnels (Niveau 6)
  • RNCP35408 — Génie Électrique et Informatique Industrielle : Automatisme et Informa (Niveau 6)

Reconversion & CPF

Grille salarialeFormations 2026ReconversionGuide IA

Salaire détaillé

Voir grille junior/médiane/senior + méthodologie
NiveauMédian estiméP90 estiméBase
Junior (0-2 ans)28 000 €32 199 €0.70 × médian
Médian (3-7 ans)40 000 €46 000 €DARES+INSEE
Senior (8+ ans)50 000 €54 000 €1.25 × médian

Méthodologie : Médian = données DARES/INSEE salaires bruts annuels 2024-2025 pour le code ROME associé. Junior/Senior = extrapolations ratios standards (0.70x / 1.25x). P90 = niveau atteint par 10 % des supérieurs de la catégorie. Pour précision par expérience/secteur/région : consulter Michael Page, Robert Half, Talent.com.

Tendances 2026-2030

2026
3 675 intentions de recrutement (BMO France Travail).
2027
Eurobarometer : 21% des Français utilisent l’IA au travail, 49% craignent pour leur emploi.
2028
BPI France : 20% des PME adoptent IA générative, 35% planifient sous 12 mois.
2029
INSEE TIC : 13% du secteur adopte IA (vs 8% moyenne France).
2030
Convergence métier + Data Science + Conseil. Transformation, pas disparition.

Freins adoption IA (BPI France 2024) : 42% citent le manque de compétences, 38% citent les coûts.

Questions fréquentes & sources

L’IA va-t-elle remplacer les analyste en intelligence de menacess ?
Non. Le verdict CRISTAL-10 v14.0 score 80.0% indique une transformation, pas une disparition. L’IA automatise les tâches répétitives mais l’humain garde le conseil stratégique, la validation et la relation client.
Quel salaire pour ANALYSTE EN INTELLIGENCE DE MENACES en 2026 ?
Médian estimé : 40 000 €/an brut. Junior (0-2 ans) : ~28 000 €. Senior (8+ ans) : ~50 000 €. Source DARES+INSEE 2025 extrapolation observatoire.
Quelle formation pour devenir analyste en intelligence de menaces ?
5 fiches RNCP disponibles (code ROME M1844). CPF + Pôle Emploi finançables. Voir la section Carrière ci-dessus.

Sources officielles

France Travail (BMO 2026)
DARES (salaires)
INSEE TIC (emploi)
France Compétences (RNCP)
CPF
Méthodologie CRISTAL-10

Analyse approfondie

Analyste en intelligence de menaces : fiche complète 2026

Les cyberattaques se sont industrialisées et les équipes de défense peinent à anticiper les assauts. L’analyste en intelligence de menaces transforme des signaux faibles en renseignements actionnables avant que l’incident ne se déclare. Ce métier, situé à la frontière entre investigation technique et analyse stratégique, connaît une demande croissante alors que les organisations cherchent à passer d’une posture réactive à une posture proactive. La menace devient asymétrique, et la veille permanente sur les acteurs, leurs outils et leurs cibles devient une priorité budgétaire pour les grandes entreprises et les entités critiques.

Périmètre du métier et différences vs métiers proches

L’analyste en intelligence de menaces collecte, analyse et diffuse du renseignement sur le cyberespace hostile. Il identifie les acteurs (États, groupes criminels, hacktivistes), leurs techniques (TTPs dans le langage MITRE ATT&CK) et leurs cibles privilégiées. Sa production nourrit les décideurs, les équipes SOC et les architectes sécurité.

  • Analyste SOC : agit sur des alertes en temps réel, escalade des incidents.
  • Threat hunter : cherche activement des compromissions dans un périmètre connu.
  • Analyste en intelligence de menaces : produit du renseignement en amont pour orienter la défense.
  • Renseigneur en sources ouvertes (OSINT) : se concentre sur l’exploitation exclusive de sources publiques sans intégration d’indicateurs techniques.

Le périmètre inclut la veille sur forums clandestins, l’analyse de malwares, la rédaction de notes de renseignement et la participation à des communautés sectorielles de partage (ISAC).

Cadre réglementaire 2026

Le métier s’exerce sous un faisceau de réglementations qui conditionnent la collecte, le stockage et le partage de données sensibles.

  • AI Act européen (2026) : les outils d’analyse prédictive et de profilage des menaces entrent dans la catégorie des systèmes à risque limité, imposant transparence et documentation des algorithmes utilisés.
  • RGPD : le traitement de données personnelles dans le cadre de la veille (adresses IP, logs) doit reposer sur une base légale adaptée (intérêt légitime de la sécurité).
  • CSRD : les grandes entreprises doivent publier leurs risques cyber et les dispositifs de renseignement déployés. L’analyste alimente ces rapports extra-financiers.
  • Code du travail : la surveillance des communications électroniques des salariés est strictement encadrée. La veille doit porter sur des menaces externes, non internes.
  • Convention collective : selon le secteur, les barèmes des métiers du numérique (SYNTEC, métallurgie) ou des télécoms s’appliquent, avec des grilles indicatives pour la classification ingénieur.

Spécialités et sous-métiers

Le domaine se fragmente en quatre grandes spécialités. Le CTI analyst opérationnel traite les indicateurs de compromission (IoC) et enrichit les signatures de détection. Il travaille main dans la main avec les équipes SOC. Le CTI analyst stratégique produit des rapports sectoriels et des profils d’acteurs pour la direction générale et la gestion des risques. Le malware reverse engineer désosse les échantillons pour extraire des TTPs et des IoCs, une compétence transverse souvent intégrée aux équipes CTI. Le cyber threat intelligence manager pilote la feuille de route, recrute et dialogue avec les autorités (ANSSI, Europol). Enfin, l'expert en OSINT creuse les sources ouvertes (réseaux sociaux, registres d’entreprises, sites de fuites) pour cartographier les infrastructures adverses.

Outils et environnement technique

L’environnement technique combine plateformes de gestion de renseignement, outils de collecte et frameworks d’analyse. La maîtrise des langages de script (Python, Bash) est devenue un prérequis.

Principales familles d’outils et exemples représentatifs
FonctionOutils génériques ou marques connues
Plateforme CTIMISP, TheHive, ThreatConnect, Cyware
Analyse de malwaresIDA Pro, Ghidra, YARA, Cuckoo Sandbox
Renforcement OSINTMaltego, Shodan, VirusTotal, WhoIS XML API
SIEM & détectionSplunk, Elastic Security, QRadar
Framework tactiqueMITRE ATT&CK, Cyber Kill Chain, Diamond Model

Les outils d’IA générative commencent à être utilisés pour automatiser la rédaction de rapports, la traduction de sources en langues étrangères et l’analyse de volumes de textes issus de forums. Leurs biais et leur fiabilité exigent une supervision humaine systématique.

Grille salariale 2026

Les rémunérations varient fortement selon l’expérience, la localisation et le niveau de spécialisation technique. Les grands groupes bancaires et les ESN de conseil en cybersécurité se situent dans le haut de la fourchette.

Salaires bruts annuels médians 2026 en France (source : enquêtes de rémunération APEC et cabinets de recrutement spécialisés)
ProfilParis et région parisienneRégions
Analyste junior (0-3 ans)38 000 – 45 000 €34 000 – 40 000 €
Analyste confirmé (4-8 ans)50 000 – 65 000 €45 000 – 55 000 €
Senior / Lead CTI (8-15 ans)70 000 – 90 000 €60 000 – 80 000 €

Le salaire médian France 2026 est de 50 000 € brut/an. Les primes liées à l’astreinte ou à la participation à des certifications augmentent le package de 5 à 15 %.

Formations et diplômes

Le recrutement privilégie un bac+5 en cybersécurité, informatique ou systèmes d’information. Les spécialisations CTI sont encore rares et se construisent souvent par l’expérience. Les formations reconnues incluent :

  • Master en cybersécurité (universités Paris-Saclay, Grenoble, Rennes, Bordeaux) avec option renseignement ou SSI.
  • Diplôme d’ingénieur spécialisé sécurité des systèmes (INSA, Centrale, UTC, Telecom Paris) avec projet CTI.
  • BTS ou BUT informatique suivi d’une licence pro en cybersécurité, puis d’un master ou d’une certification professionnelle.
  • Formations courtes AFPA, Simplon, écoles privées (sans citer de marque spécifique) : titres inscrits au RNCP niveau 7.

Les compétences en langues étrangères (anglais technique indispensable, russe ou chinois valorisé) font la différence pour l’analyse de sources internationales.

Reconversion vers ce métier

Trois profils sources se distinguent par leur transférabilité de compétences.

  • Militaire ou gendarme en renseignement (cyber ou sources humaines) : passage par l’école des officiers de la gendarmerie nationale ou le commandement cyber. Compétences en analyse, discrétion et travail en cellule. Via VAE ou contrat de reconversion dans le privé.
  • Journaliste d’investigation : maîtrise de la collecte en sources ouvertes, du croisement d’information et de la vérification. Passerelle via une formation certifiante CTI (6-12 mois) complétée d’une immersion technique.
  • Développeur ou administrateur système : compréhension des protocoles, des logs et des architectures. Montée en compétence sur l’analyse de malwares et les frameworks tactiques, avec un accompagnement par un mentor CTI.

France Travail et l’APEC proposent des aides au financement de certifications (CISSP, CEH, GIAC) pour les demandeurs d’emploi en reconversion.

Exposition au risque IA

Le score CRISTAL-10 de 80/100 place ce métier dans une zone d’exposition significative à l’automatisation cognitive. Plusieurs tâches sont déjà impactées : la collecte et le tri automatique d’indicators via des crawlers et du NLP, la génération de résumés de rapports longs en langage naturel, et la détection de corrélations entre événements. Les parties les moins automatisables restent l’analyse stratégique contextuelle, la validation des sources et la qualification des acteurs. L’humain garde la main sur l’itération de l’analyse et la prise de décision risquée. L’IA agit comme un amplificateur de productivité, pas comme un remplacement complet. Le nombre d’analystes pourrait augmenter pour absorber le flux croissant d’informations, mais leur cœur de métier se déplace vers la curation et la validation des outputs algorithmiques.

Marché de l’emploi

Le marché est en tension modérée. La France compte plusieurs centaines de postes ouverts en 2026, avec une croissance soutenue dans les secteurs critiques : banque/assurance, énergie, télécoms, défense et administrations publiques. Les ESN spécialisées en cybersécurité et les Cabinets de conseil recrutent en continu. La demande est forte dans les régions parisienne, toulousaine (aéronautique), lilloise (télécoms) et grenobloise (recherche). Les profils juniors peinent à trouver un premier poste sans certification ou expérience projet. Les seniors avec spécialisation technique (reverse, analyse de malwares) sont très recherchés. Les offres d’emploi pulubliées sur les jobboards spécialisés (Cybersecurity Jobs France, Indeed, LinkedIn) indiquent des délais de recrutement de 2 à 5 mois selon l’expertise.

Certifications et labels reconnus

Les certifications valident les compétences et accélèrent l’accès aux postes à responsabilité. Les plus reconnues en France en 2026 sont :

  • CISSP (ISC)² : référence pour la gestion et l’architecture sécurité.
  • CEH (EC-Council) : base pour la compréhension des techniques d’attaque.
  • GIAC (GCFA, GREM, GCTI) : programmes spécialisés en forensique, reverse et CTI.
  • OSCP (Offensive Security) : compétence pratique en pentest, utile pour comprendre l’attaquant.
  • SecNumedu (ANSSI) : label des formations académiques en cybersécurité reconnu (à vérifier sur France Compétences).
  • Qualiopi : certification qualité des organismes de formation sans lien direct avec le métier.

La certification GCTI (GIAC Cyber Threat Intelligence) est la plus spécifique au domaine.

Évolution de carrière

Les trajectoires diffèrent selon le choix de rester sur un cœur technique ou de basculer vers le management. Un analyste CTI peut évoluer vers :

  • 3-5 ans : analyste senior, spécialiste reverse ou OSINT, chef de projet CTI.
  • 5-8 ans : responsable de l’équipe CTI (CTI Lead), responsable de la veille sécurité, consultant senior en cabinet.
  • 8-15 ans : directeur de la sécurité des systèmes d’information (DSSI), architecte de la détection, CISO adjoint.

Une sortie vers la direction des risques ou la gestion de crise cyber reste possible après validation d’un master en management ou d’un MBA.

Tendances 2026-2030

La demande d’analystes CTI devrait continuer de croître, tirée par la multiplication des attaquants étatiques et criminels. L’IA générative facilite la production de rapports automatisés, mais les analystes devront certifier la qualité des sources. L’intelligence de menaces s’intègre dans les grandes plateformes de sécurité (XDR, SOAR) et dans les processus de conformité (CSRD). Les partenariats public-privé se structurent autour des ISAC sectoriels et de la plateforme nationale Cyber Threat Intelligence (CTIP) pilotée par l’ANSSI. Enfin, la spécialisation linguistique et régionale (menaces russophones, sinophones, iraniennes) devient un critère de différenciation fort sur le marché de l’emploi.