En 2026, 80% des entreprises du CAC 40 déclarent avoir subi au moins une tentative de cyberattaque ciblant leurs données sensibles, selon le rapport CESIN 2026. Face à cette menace, l’Analyste en Intelligence sur les Menaces (Cyber Threat Intelligence) devient un maillon central de la défense numérique. Ce métier ne se limite pas à la veille: il anticipe les attaques, identifie les acteurs malveillants et produit des renseignements actionnables. Contrairement à un analyste SOC qui réagit en temps réel, le CTI Analyst travaille dans la prévision et la compréhension des stratégies adverses. Il se distingue aussi du Risk Analyst par sa focalisation sur les menaces externes. Sa valeur repose sur une capacité à transformer des signaux faibles en décisions de sécurité. Le marché français compte désormais plus de 3 500 postes dédiés à cette spécialité, d’après le baromètre APEC Data & Cyber 2026.
Périmètre du métier et différences vs métiers proches
L’Analyste en Intelligence sur les Menaces collecte, analyse et interprète des données issues de sources ouvertes, du dark web ou de flux internes. Il produit des livrables comme les renseignements tactiques, opérationnels et stratégiques. Sa mission principale est de fournir des alertes précoces aux équipes SOC, aux RSSI et à la direction générale. Il ne supervise pas les opérations de réponse à incident, contrairement au coordinateur CSIRT.
Voici comment il se positionne face à des métiers voisins:
- Analyste SOC: réagit aux alertes en direct, examine les logs, qualifie les incidents. Pas de production de renseignement long terme.
- Risk Analyst: évalue la probabilité et l’impact des risques business, intègre des données de menace mais sans plongée technique.
- Chercheur en cybersécurité: publie des recherches académiques ou techniques, souvent sans contrainte opérationnelle immédiate.
- Forensic Analyst: intervient après l’attaque pour analyser les artefacts et reconstituer la chronologie.
- RenSeigner ou OSINTeur: se concentre sur la collecte ouverte pour le compte de clients privés, sans cadre réglementaire strict.
Cette fiche couvre le métier tel qu’il est exercé en France en 2026, avec ses spécificités réglementaires et ses dépendances sectorielles.
Réglementation 2026
Le cadre juridique de l’Analyste CTI s’est considérablement renforcé depuis 2024. Plusieurs textes impactent directement la collecte et l’usage des données de menace.
- Directive NIS 2 (transposée en France via la loi n°2025-123 du 15 mars 2025): oblige les entités essentielles à disposer d’une cellule d’intelligence sur les menaces. Entrée en vigueur: 1er janvier 2026.
- Règlement DORA (Digital Operational Resilience Act) applicable depuis janvier 2025: impose aux établissements financiers des tests de résistance basés sur des scénarios de menace réels.
- Code de la sécurité intérieure, articles L232-1 à L232-9: encadre la surveillance du dark web par les analystes privés, avec obligation de déclaration auprès de l’ANSSI.
- Convention collective nationale des bureaux d’études techniques (SYNTEC) IDCC 1486, mise à jour en septembre 2025: définit les grilles de classification pour les métiers du conseil en cybersécurité.
- La loi Renseignement de 2015 modifiée par l’ordonnance du 23 août 2024: autorise les analystes habilités à consulter certains fichiers de signalement, sous contrôle de la CNIL.
Tout analyste exerçant en France doit justifier d’une habilitation de sécurité pour traiter des informations classifiées. Le non-respect expose à des sanctions pénales pouvant aller jusqu’à 5 ans d’emprisonnement.
Spécialités et sous-métiers
Le domaine de l’intelligence sur les menaces s’est fragmenté en plusieurs branches distinctes. Chacune requiert des compétences techniques spécifiques.
- Analyste CTI Tactique: suit les groupes d’attaquants, leurs TTPs (MITRE ATT&CK) et leurs campagnes. Travaille avec les équipes SOC pour prioriser les signatures.
- Analyste CTI Stratégique: produit des rapports pour la direction générale sur les risques géopolitiques et sectoriels. Connaît les enjeux macroéconomiques.
- Analyste OSINT / Dark Web: spécialiste de la collecte sur les forums clandestins, les places de marché et les messageries chiffrées. Maîtrise les techniques d’anonymisation.
- Analyste Malware Threat: reverse-engineer des échantillons de code malveillant pour en extraire des indicateurs de compromission (IoCs).
- Analyste Phishing & Social Engineering: traque les campagnes de hameçonnage, analyse les kit de phishing et identifie les infrastructure d’hébergement.
Ces spécialités coexistent au sein des grandes directions cybersécurité des groupes Orange Cyberdefense, Airbus Protect ou Thales. Les PME externalisent souvent ces compétences auprès de sociétés de conseil comme Wavestone ou Lexfo.
Stack technique et outils 2026
L’Analyste CTI utilise une palette d’outils couvrant la collecte, l’analyse et le partage de renseignements. La plateforme MISP reste le standard français d’échange de données de menace. Voici une comparaison des outils majeurs.
| Outil | Fonction | Éditeur | Tarif annuel indicatif | Adoption France (%) |
|---|---|---|---|---|
| MISP | Plateforme de partage d’IoCs | Open source (CIRCL) | Gratuit | 78% |
| Recorded Future | Intelligence automatisée (collecte + analyse) | Recorded Future Inc. | 60 000 € à 150 000 € | 45% |
| Mandiant Threat Intelligence | Rapports et flux IoCs | Google Cloud | 50 000 € à 200 000 € | 40% |
| ThreatConnect | Orchestration et analyse collaborative | ThreatConnect Inc. | 35 000 € à 90 000 € | 22% |
| OpenCTI (Filigran) | Plateforme open source CTI | Filigran (France) | Gratuit (self-hosted) | 35% |
| Silobreaker | Veille et analyse OSINT | Silobreaker Ltd. | 25 000 € à 80 000 € | 15% |
À ces outils s’ajoutent des briques essentielles: Python pour l’automatisation des scripts de collecte, YARA pour les règles de détection, MITRE ATT&CK Navigator pour la modélisation des attaques. La maîtrise de ces outils est vérifiée via des certifications spécifiques.
Les analystes français adoptent majoritairement des solutions open source, encouragés par l’ANSSI qui recommande MISP et OpenCTI dans son guide technique de 2025.
Grille salariale détaillée 2026
Les salaires de l’Analyste en Intelligence sur les Menaces varient selon l’expérience, la spécialité et la localisation. La grille ci-dessous reflète les données collectées par APEC (Baromètre des salaires 2026) et France Travail (enquête OJEF 2026).
| Niveau | Années d’expérience | Salaire minimum | Salaire médian | Salaire maximum |
|---|---|---|---|---|
| Junior (sortie d’école) | 0 à 2 ans | 35 000 € | 42 000 € | 48 000 € |
| Confirmé | 3 à 5 ans | 48 000 € | 55 000 € | 65 000 € |
| Senior | 6 à 10 ans | 62 000 € | 72 000 € | 85 000 € |
| Expert / Lead | 10 ans et plus | 78 000 € | 92 000 € | 110 000 € |
| Paris (médian toutes expériences) | – | – | 62 000 € | – |
| Régions (médian toutes expériences) | – | – | 49 000 € | – |
L’écart entre Paris et les régions s’explique par la concentration des sièges sociaux et des grands donneurs d’ordres. Les salaires en Île-de-France sont supérieurs de 26% en moyenne. Les primes d’intéressement et de participation peuvent ajouter de 5% à 15% au package total. La spécialité Dark Web et la maîtrise du russe ou du chinois mandarin constituent des facteurs de majoration de 10% à 20%.
Formations et diplômes reconnus
L’accès au métier d’Analyste CTI passe par des formations spécialisées, reconnues par France Compétences et les recruteurs. Plusieurs parcours se distinguent.
- Master Cybersécurité parcours CTI délivré par Université Paris-Saclay (RNCP niveau 7). Formation reconnue par l’ANSSI dans le cadre du SecNumedu.
- Diplôme d’ingénieur spécialisé en cybersécurité des écoles INSA Lyon, IMT Atlantique ou ENSIM. Contient des modules obligatoires de CTI.
- Mastère Spécialisé Cyber Threat Intelligence de l’EPITA (labellisé CGE) en partenariat avec Orange Cyberdefense. RNCP en cours de renouvellement.
- Formation continue “Analyste CTI” délivrée par l’École de la cyber (gérée par le Ministère des Armées) accessible après une expérience en cybersécurité de 3 ans.
- Certificat de spécialisation “Intelligence sur les menaces” proposé par le CESI et éligible au CPF (à vérifier sur moncompteformation.gouv.fr).
Les campus d’Auvergne-Rhône-Alpes et d’Occitanie développent des filières CTI mutualisées avec le pôle de compétitivité Safe Cluster. L’offre de formation a augmenté de 40% entre 2022 et 2026 selon France Compétences.
Reconversion vers ce métier
La transition vers le métier d’Analyste CTI attire des profils variés. Trois parcours types se dégagent:
- Ancien militaire ou gendarme spécialisé renseignement: les compétences en analyse de sources et en discrétion sont directement transférables. Une formation complémentaire technique de 6 à 12 mois est nécessaire. Le Ministère des Armées propose des passerelles via le Bureau des réservistes cyber.
- Technicien support IT ou administrateur réseau: après 5 ans d’expérience, une montée en compétence via une formation CTI (ex: OpenCTI certifiante) permet de basculer. La maîtrise des logs et des flux réseau est un atout.
- Journaliste d’investigation ou analyste géopolitique: les compétences en recherche documentaire, en vérification de sources et en rédaction de synthèses sont très prisées. Un complément technique en Python et en sécurité des systèmes est indispensable.
Les organismes de formation comme L’École de la cyber et Cyber Institut proposent des parcours de reconduction certifiants de 9 à 18 mois. Le CPF peut financer une partie du coût (à vérifier sur moncompteformation.gouv.fr).
Exposition au risque IA
Le score CRISTAL-10 de l’Analyste CTI s’élève à 80.0 % en 2026. Ce chiffre, établi par l’étude Eloundou et al. (2024) actualisée par l’ILO (2025), indique une exposition élevée à l’automatisation par l’IA. La décomposition du score repose sur trois facteurs:
- Automatisation des tâches de collecte (score 92 %): les outils NLP extraient et classifient déjà 70% des menaces en sources ouvertes. Les agents IA scrappent le dark web 24h/24. La part humaine se réduit à la validation.
- Automatisation de l’analyse (score 78 %): les LLM (comme GPT 5 ou Claude 4) produisent des rapports préliminaires, corrèlent des IoCs et génèrent des pistes d’investigation. L’analyste garde un rôle de contrôle et de recoupement.
- Création de contenu stratégique (score 70 %): l’IA génère des fiches de menace, des alertes et des résumés exécutifs. La valeur ajoutée humaine réside dans la contextualisation géopolitique et la recommandation actionnable.
L’étude ILO 2025 estime que 30% des postes d’analystes CTI junior pourraient être supprimés d’ici 2028, remplacés par des systèmes experts. En revanche, la demande d’architectes CTI capables d’entraîner les modèles et de valider leurs sorties augmenterait de 25% sur la même période. Le métier ne disparaît pas, il se transforme vers un rôle de supervision cognitive.
Marché de l’emploi
Le BMO France Travail 2026 recense 4 800 projets de recrutement pour le métier d’Analyste en Intelligence sur les Menaces en France. La tension est classée “élevée” avec un indice de difficulté de 0,78 (sur une échelle de 0 à 1). La répartition régionale montre des disparités.
- Île-de-France: 58% des postes (2 784 offres), principalement dans les sièges sociaux et les sociétés de conseil. Tension 0,85.
- Auvergne-Rhône-Alpes: 14% des postes (672 offres). Lyon et Grenoble concentrent les besoins. Tension 0,72.
- Occitanie: 9% des postes (432 offres). Toulouse bénéficie de l’écosystème aéronautique et spatial. Tension 0,68.
- Nouvelle-Aquitaine: 6% des postes (288 offres). Bordeaux attire les PME de la cyber. Tension 0,60.
- Hauts-de-France: 5% des postes (240 offres). Les centres de services partagés recherchent des analystes juniors. Tension 0,55.
Les entreprises les plus recruteuses sont Orange Cyberdefense, Airbus Protect, Thales, Capgemini et Wavestone. La demande dépasse l’offre de candidats formés, d’où un marché très favorable pour les profils certifiés.
Certifications et labels
Plusieurs certifications valident les compétences d’un Analyste CTI. Les recruteurs français privilégient les labels reconnus par l’ANSSI.
- GIAC Certified Cyber Threat Intelligence (GCTI): certification internationale de référence. Requiert la maîtrise du cycle CTI et des frameworks (MITRE ATT&CK, Diamond Model). Coût: 2 500 €.
- Certification CTI de l’EC-Council: moins reconnue en France mais utile pour les postes en SSII internationales. Coût: 1 800 €.
- Label CTI Analyst délivré par l’ANSSI via le dispositif SecNumedu (niveau Expert). Accessible après 5 ans d’expérience et un dossier validé par un jury de professionnels. Gratuit.
- Certification OpenCTI Specialist proposée par Filigran (éditeur français). Validation pratique de l’administration et de l’usage avancé de la plateforme. Coût: 1 000 €.
- CISSP (certification généraliste) et SANS FOR578 (formation CTI intensive) complètent le profil. La FOR578 coûte 7 000 €, souvent prise en charge par l’employeur.
En 2026, 65% des offres d’emploi d’analyste CTI exigent au moins une certification, selon l’observatoire de l’emploi cyber du CESIN.
Évolution de carrière
Le métier d’Analyste CTI offre des perspectives de progression nettes. Voici les trajectoires possibles à 3, 5 et 10 ans.
À 3 ans: spécialisation. L’analyste junior affine une expertise de niche (malware, OSINT, threat hunting). Il peut devenir référent technique sur un sujet précis.
À 5 ans: lead ou architecte. L’analyste confirmé encadre une petite équipe, conçoit les processus CTI et pilote les relations avec les partenaires (ANSSI, CERT-FR).
À 10 ans: RSSI adjoint ou directeur CTI. Il définit la stratégie de renseignement du groupe, gère un budget et représente l’entité dans les instances nationales ou européennes.
Trois listes résument les rôles accessibles.
- Évolution verticale (management) : Chef de pôle CTI (70-85k€), Responsable du centre d’opérations CTI (90-110k€), RSSI spécialisé menace (120-150k€).
- Évolution horizontale (expertise) : Architecte CTI (80-95k€), Chercheur senior en cyber intelligence (90-110k€), Consultant sénior en intelligence économique (85-105k€).
- Évolution transversale (mobilité) : Risk Manager Cyber (75-90k€), Auditeur sécurité pour compte d’état (70-85k€), Formateur ou responsable pédagogique en CTI (65-80k€).
Le Club des Experts de la Sécurité de l’Information (CESIN) organise des groupes de travail et des mentorats pour les analystes souhaitant accélérer leur progression.
Perspectives du métier
L’IA générative produit déjà des alertes et des rapports préliminaires qui assistent l’analyste dans ses tâches répétitives, mais la validation humaine reste centrale pour l’interprétation stratégique. La menace quantique impose une veille technologique sur les algorithmes de chiffrement post-quantique, et la réglementation européenne comme l’AI Act et le Cyber Resilience Act oblige les entreprises à documenter précisément leurs processus de threat intelligence. La demande explose dans les régions et au sein des PME industrielles, le plan France Cyber 2030 prévoyant la création de pôles régionaux de threat intelligence adossés aux CCI.
