68% des entreprises françaises ont subi au moins une cyberattaque en 2025, selon le CESIN. L’Analyste en Renseignement sur les Menaces Cyber (Threat Intelligence Analyst) collecte, analyse et corrèle des données issues de multiples sources. Il anticipe les attaques avant qu’elles ne se produisent. Ce professionnel transforme des signaux faibles en alertes actionnables. Il se distingue de l’analyste SOC par sa dimension prospective. Il ne réagit pas à un incident en cours, il prévient les prochaines campagnes malveillantes. Son travail alimente les décisions stratégiques des RSSI. La DARES classe ce métier dans la famille des experts en cybersécurité, en forte croissance depuis 2023.
1. Périmètre du métier et différences vs métiers proches
L’Analyste en Renseignement sur les Menaces Cyber appartient à la branche Tech / Digital. Il ne doit pas être confondu avec le pentester ni avec le forensicien. Le pentester cherche des vulnérabilités dans un périmètre défini. L’analyste threat intelligence cartographie l’écosystème adverse global. Le forensicien intervient après l’incident pour comprendre le mode opératoire. L’analyste threat intelligence travaille en amont, sur des indicateurs de compromission (IOC) et des tactiques émergentes. Il produit des rapports pour les équipes de défense. Il utilise des frameworks comme MITRE ATT&CK ou Diamond Model. Son horizon temporel est de 3 à 12 mois.
La différence avec l’analyste SOC est nette. L’analyste SOC surveille les alertes en temps réel. Il trie les faux positifs. Son collègue threat intelligence étudie les tendances lourdes. Il identifie les groupes d’attaquants (APT, cybercriminels). Il suit leurs infrastructures et leurs outils. Ce métier requiert une forte capacité de synthèse et une veille documentée. France Travail (ROME M1805 pour cybersécurité) note un taux de tension de 0,8 en 2025 pour ce profil spécifique, signe de pénurie.
2. Réglementation 2026
Plusieurs textes encadrent strictement cette activité en 2026. La directive NIS 2 (transposée par ordonnance du 18 octobre 2024, n°2024-936) impose des obligations de signalement et de renseignement sur les menaces pour les opérateurs de services essentiels (OSE). Le Règlement Général sur la Protection des Données (RGPD 2016/679) s’applique au traitement des données personnelles collectées lors des investigations. La loi « Cyber Resilience Act » (Règlement UE 2025/…, applicable mars 2026) exige que les éditeurs de logiciels partagent certaines informations sur les vulnérabilités découvertes.
En France, la loi de programmation militaire 2024-2030 (LPM, loi n°2023-703) renforce les moyens de la ANSSI. Elle crée un cadre juridique pour l’échange d’informations entre entités publiques et privées. La Convention Collective Nationale des Bureaux d’Études (IDCC 1486, Syntec) couvre la majorité des salariés de ce métier. Depuis janvier 2025, l’avenant n°58 (publié au JO du 14/02/2025) ajoute une prime de pénurie de 8% pour les postes en cybersécurité offensive. Le Code de la défense (articles L2321-1 à L2321-4) criminalise la détention d’outils de hacking sans motif légitime.
3. Spécialités et sous-métiers
Ce métier se décline en plusieurs spécialités distinctes en 2026. Le secteur privé et public recrute sur des profils variés. Voici les principales branches identifiées.
- Analyste en renseignement géopolitique cyber : suit les groupes APT (Advanced Persistent Threat) parrainés par des États (Russie, Chine, Corée du Nord, Iran). Produit des notes pour les gouvernements et les grands groupes.
- Analyste en cybercriminalité financière : cible les ransomwares, les BEC (Business Email Compromise) et les fraudes à la carte bancaire. Travaille avec la DGCCRF et Tracfin.
- Analyste en menaces industrielles (OT-ICS) : spécialisé dans les systèmes de contrôle industriels. Suit les attaques contre les infrastructures critiques (énergie, eau, transport).
- Analyste en OSINT (Open Source Intelligence) : ne collecte que des données ouvertes. Croise sources publiques, forums clandestins et réseaux sociaux. Rédige des rapports de due diligence.
- Analyste en renseignement technique (malware reverse) : désassemble des codes malveillants. Identifie les signatures et les C2 (command and control). Alimente les bases d’IOC de l’ANSSI.
4. Stack technique et outils 2026
L’écosystème technique de l’analyste threat intelligence s’est fortement outillé depuis 2024. Les solutions de TIP (Threat Intelligence Platform) sont devenues centrales. Les outils de corrélation, de visualisation et de partage sont indispensables. Voici une comparaison des solutions les plus déployées en France en 2026.
| Outil | Éditeur | Spécificité | Part de marché France |
|---|---|---|---|
| MISP | Open source (Circl) | Plateforme de partage open source, adoptée par l’ANSSI | 45% (secteur public) |
| ThreatConnect | ThreatConnect Inc | TIP avec orchestration et automatisation | 20% (grands comptes) |
| Recorded Future | Recorded Future (Mastercard) | IA générative intégrée, 1000+ sources linguistiques | 55% (CAC 40) |
| AlienVault OTX | AT&T Cybersecurity | Communauté mondiale de partage d’IOC | 15% (PME/ETI) |
| YARA | Open source (Virustotal) | Langage de règles pour classification de malwares | Universal |
Les analystes utilisent aussi Python pour l’automatisation des collectes. Elasticsearch et Kibana servent pour la visualisation de données. TheHive est le standard pour le case management. MITRE ATT&CK Navigator est indispensable pour cartographier les techniques adverses. Shodan et Censys sont utilisés pour la reconnaissance de surface d’attaque. En 2026, 80% des analystes interrogés par le CLUSIF (baromètre annuel 2026) utilisent au moins une plateforme TIP commerciale.
5. Grille salariale détaillée 2026
Les salaires de l’Analyste en Renseignement sur les Menaces Cyber varient selon l’expérience, la localisation et la taille de l’entreprise. Le salaire médian France 2026 s’établit à 46 000 € brut/an (source : APEC Baromètre Tech 2026). Les écarts sont marqués entre Paris et la province. Voici une grille détaillée pour les trois principaux niveaux.
| Niveau d’expérience | Salaire bas (25e percentile) | Salaire médian | Salaire haut (75e percentile) |
|---|---|---|---|
| Junior (0-2 ans) | 34 000 € | 38 000 € | 42 000 € |
| Confirmé (3-5 ans) | 44 000 € | 50 000 € | 58 000 € |
| Senior (6+ ans) | 60 000 € | 68 000 € | 82 000 € |
| Expert/Lead (>10 ans) | 78 000 € | 90 000 € | 110 000 € |
Les salaires en Île-de-France sont en moyenne 22% plus élevés qu’en région. Orange Cyberdefense recrute actuellement 15 analystes threat intelligence à Rennes pour un salaire médian de 52 000 €. Thales propose 95 000 € pour un profil lead à Paris. La prime de pénurie Syntec (8%) s’ajoute souvent, portant le total à 72 000 € pour un senior confirmé.
6. Formations et diplômes reconnus
L’accès au métier d’Analyste en Renseignement sur les Menaces Cyber passe par plusieurs parcours reconnus. France Compétences liste 12 certifications de niveau 7 (Bac+5) dans le domaine de la cybersécurité en 2026. Voici les diplômes et écoles les plus visés par les recruteurs français.
- Master Cybersécurité de l’Université Paris-Dauphine (RNCP niveau 7, enregistré sous le code 39152) : parcours Threat Intelligence, en partenariat avec l’ANSSI. Taux d’insertion à 6 mois : 94% (source : ministère du Travail 2025).
- Télécom ParisTech – Mastère Spécialisé Cybersécurité et Cyberdéfense (RNCP niveau 7, code 37812) : formation continue et initiale. Accréditation ANSSI SecNumedu.
- EPSI – Bachelor Cybersécurité (RNCP niveau 6, code 34587) : accessible après Bac+2. Module spécifique OSINT et renseignement.
- CESI – Mastère Cybersécurité et Confiance Numérique (RNCP niveau 7, code 39421) : alternance possible, reconnu par le CLUSIF.
- ISTIC – Diplôme d’Ingénieur en Cybersécurité (Université de Rennes 1) : labellisé réseau CERT-FR. Stage obligatoire en cellule de threat intelligence.
L’éligibilité CPF pour ces formations est à vérifier sur moncompteformation.gouv.fr. Aucun diplôme ne garantit un emploi. La validation des acquis professionnels (VAE) est possible pour les profils avec 5 ans d’expérience en sécurité informatique.
7. Reconversion vers ce métier
La reconversion vers l’Analyse en Renseignement sur les Menaces Cyber attire de nombreux professionnels en 2026. La croissance du secteur (12% par an selon la DARES Métiers 2030) ouvre des passerelles. Trois profils sources se détachent nettement.
- Analyste SOC confirmé (3+ ans d’expérience) : la transition est naturelle. Il maîtrise déjà les SIEM et les log. Une formation de 6 mois en threat intelligence (ex : MISP administration, OSINT avancé) suffit. 70% des analystes SOC mutent vers le renseignement dans les 5 ans (source : APEC Cybersécurité 2025).
- Journaliste ou chercheur en OSINT : les profils issus des médias ou de la recherche académique (géopolitique, relations internationales) sont prisés. Pôle emploi (ancien France Travail) a labellisé 14 formations OSINT en 2025. OpenFacto recrute ce type de profil pour sa cellule de renseignement.
- Militaire ou gendarme en reconversion : les spécialistes du renseignement militaire (DGSE, DRM) ou de la cyberdéfense (COMCYBER) trouvent des débouchés dans le privé. Le Ministère des Armées et Thales ont signé une convention en 2025 pour faciliter ces transitions. Le salaire à l’embauche est souvent supérieur à 55 000 €.
8. Exposition au risque IA
Le score CRISTAL-10 pour l’Analyste en Renseignement sur les Menaces Cyber atteint 80,0 % en 2026. Ce score mesure l’exposition potentielle à l’automatisation par l’intelligence artificielle. La décomposition du risque s’appuie sur la méthodologie Eloundou et al. (2024) et les travaux de ILO (2025) sur l’avenir du travail.
L’IA générative (LLM, modèles de classification) peut automatiser la collecte et le tri de 40% des sources OSINT. La corrélation d’IOC est aujourd’hui massivement assistée par des modèles de deep learning. Les tâches les plus exposées sont le scraping, la traduction automatique de rapports en mandarin ou en russe, et la génération de résumés. En revanche, la validation finale, le contexte géopolitique et la décision stratégique restent humains. OpenAI et Mistral AI (modèle Mistral Large 2) testent des agents autonomes de threat intelligence depuis janvier 2026. IBM X-Force utilise déjà une IA propriétaire pour réduire de 60% le temps de classification des malwares.
Le risque de substitution partielle est réel pour les juniors. Les postes d’analystes de premier niveau (tri d’alertes, veille automatique) pourraient diminuer de 15% d’ici 2028 (source : INSEE Rapport sur l’emploi 2025). Les experts seniors, capables de superviser une IA, verront leur valeur ajoutée augmenter. La complémentarité humain-machine est la tendance dominante.
9. Marché de l’emploi
Le marché de l’emploi pour les analystes threat intelligence explose en France en 2026. L’enquête BMO France Travail (Besoin en Main-d’Œuvre) 2026 recense 4 200 projets de recrutement dans le domaine de la cybersécurité, dont 1 800 spécifiquement en renseignement. La tension sur ces profils est maximale : 85% des recrutements sont jugés « difficiles » par les entreprises. Voici la répartition régionale des offres.
- Île-de-France : 55% des offres. Écosystème dense (Orange Cyberdefense, Thales, Airbus CyberSecurity, Atos). Salaire médian de 52 000 €.
- Bretagne : 15% des offres (Rennes, Brest). Pôle d’excellence cyber avec le Pôle d’Excellence Cyber et la Gendarmerie nationale. Salaire médian de 44 000 €.
- Occitanie : 10% des offres (Toulouse, Montpellier). Secteur aéronautique et défense. Airbus CyberSecurity recrute 30 profils en 2026.
- Auvergne-Rhône-Alpes : 10% des offres (Lyon, Grenoble). Industrie, santé et banque. Salaires entre 38 000 € et 65 000 €.
- Autres régions : 10% des offres. Essor du télétravail pour ce métier (40% des postes acceptent le full remote).
France Travail note une durée moyenne de recrutement de 4,8 mois, contre 2,5 mois pour un développeur. Les entreprises françaises peinent à recruter. Sopra Steria a ouvert une école interne en 2025 pour former 50 analystes par an.
10. Certifications et labels
Les certifications renforcent la crédibilité d’un Analyste en Renseignement sur les Menaces Cyber sur le marché de l’emploi 2026. Les recruteurs français les exigent souvent en complément du diplôme. Voici les plus demandées.
- SANS FOR578 – GIAC Cyber Threat Intelligence (GCTI) : certification reconnue mondialement, axée sur le renseignement tactique et opérationnel. Prix : 7 500 € (financement entreprise courant).
- EC-Council Certified Threat Intelligence Analyst (CTIA) : certification centrée sur le cycle du renseignement. Reconnue par l’ANSSI dans son catalogue SecNumedu. Coût : 1 500 €.
- CREST Certified Threat Intelligence Analyst (CCTIA) : certification britannique standard pour les cabinets de conseil. Obligatoire pour certains appels d’offres publics en France.
- CISSP – Concentrations ISSAP/ISSMP : certification large, mais appréciée pour les postes de lead. L’ANSII (Autorité nationale de sécurité) la mentionne dans ses critères d’habilitation.
- SecNumedu de l’ANSSI : label obligatoire pour les formations en cybersécurité financées par l’État. À vérifier sur secnumedu.anssi.fr.
Les certifications EC-Council et GIAC sont éligibles au CPF sous conditions. À vérifier sur moncompteformation.gouv.fr. Aucune certification ne se substitue à une expérience pratique. Un CV avec CTIA et 2 ans d’expérience SOC double quasiment les chances d’entretien (source : APEC 2026).
11. Évolution de carrière
L’Analyste en Renseignement sur les Menaces Cyber bénéficie de perspectives d’évolution très favorables. Le marché en tension accélère les promotions. Voici les trajectoires typiques à 3, 5 et 10 ans.
À 3 ans : l’analyste junior devient un threat intelligence specialist. Il gère seul des dossiers complexes. Il participe à des communautés de partage (MISP, CERT-FR). Possibilité de spécialisation en OSINT ou en renseignement technique. Le salaire passe de 38 000 € à 48 000 € en médian.
À 5 ans : le professionnel accède à un poste de Senior Threat Intelligence Analyst ou de Team Lead. Il encadre une petite équipe (2 à 3 juniors). Il rédige les notes stratégiques pour le RSSI. Le salaire atteint 65 000 € en médian. 30% des profils rejoignent des cabinets de conseil (Wavestone, PwC, KPMG) avec des packages à 80 000 €.
À 10 ans : l’évolution mène à des postes de Responsable Threat Intelligence ou de Directeur Cybersécurité (RSSI adjoint). Le salaire dépasse 90 000 €. Certains deviennent consultants indépendants (TJM entre 700 € et 1 200 €). D’autres rejoignent des agences étatiques (ANSSI, DGSE) sur des postes d’expertise.
Voici trois listes d’évolutions possibles en fonction du secteur d’activité.
- Secteur privé (grands groupes) : Responsable Threat Intelligence, RSSI adjoint, Directeur de la cybersécurité, Chief Information Security Officer (CISO), Consultant en cybersécurité.
- Secteur public (État, défense) : Analyste ANSSI, Officier cyber au COMCYBER, Expert au CERT-FR, Enseignant-chercheur en cybersécurité, Auditeur des systèmes d’information.
- Secteur indépendant (freelance) : Consultant OSINT, Formateur threat intelligence, Auteur de rapports de renseignement, Expert judiciaire en cybercriminalité, Fondateur d’une startup de cybersécurité.
12. Tendances 2026-2030
Les projections de la DARES Métiers 2030 confirment une croissance soutenue de l’emploi en cybersécurité. Le nombre d’analystes threat intelligence pourrait doubler en France entre 2025 et 2030, passant de 4 500 à 9 000 postes. La CNIL (baromètre cyber 2026) alerte sur la multiplication des attaques par ransomware ciblant les PME. Les besoins en renseignement vont donc s’étendre au-delà des grands groupes.
Plusieurs tendances structurent l’évolution du métier. L’IA générative devient un outil central, mais aussi une menace. Les deepfakes et les malwares pilotés par LLM nécessitent de nouvelles méthodes de détection. La coopération européenne s’intensifie avec le CERT-UE et le Réseau des CSIRT. La réglementation NIS 2 impose un partage obligatoire d’informations entre États membres. En France, l’INSEE (Projections 2024-2030) estime que le secteur de la cybersécurité créera 50 000 emplois nets d’ici 2030, dont 20% en renseignement.
Les compétences linguistiques deviennent discriminantes. L’anglais est indispensable. Le russe, le mandarin, le coréen ou le persan offrent un avantage concurrentiel massif. Thales et Orange Cyberdefense recrutent spécifiquement des analystes russophones et sinophones. Le CLUSIF (rapport 2026) indique que 40% des offres en threat intelligence mentionnent une langue rare comme critère souhaité. Le métier s’universalise et se spécialise en même temps. L’analyste de 2030 sera un hybride entre un data scientist, un géopolitologue et un hacker éthique.