Aller au contenu principal
FORTEMENT EXPOSÉTECH / DIGITAL

Analyste en Renseignement sur les Menaces Cybersécurité

Verdict CRISTAL-10 v14.0 : Pivot

Analyste en Renseignement sur les Menaces Cybersécurité - métier face à l’IA en 2026
80/100 · IA

Chiffres clés 2026

55 000 €Salaire médian / an
114Offres live FT
3 675Intentions BMO 2026

Tension marché : 2.42% postes vacants (39 688 postes secteur DARES).

Source : France Travail / DARES BMO 2026 / INSEE TIC 2025. Données pack mises à jour 15 mars 2026.

Impact IA sur le métier

Automatisable par l’IA

  • Collecte automatisée de données OSINT via des bots scrapeurs
  • Corrélation automatique d’indicateurs de compromission (IOC) dans les SIEM
  • Détection de patterns d’attaque par apprentissage automatique sur les flux réseau
  • Génération automatique de rapports de menace à partir de templates NLP
  • Veille automatique sur les nouvelles vulnérabilités (CVE)

Reste humain

  • Interpréter le contexte géopolitique et intentionnel derrière une campagne d’attaque
  • Décider des contre-mesures adaptées au contexte métier de l’organisation
  • Valider manuellement les faux positifs générés par les outils automatisés
  • Construire et maintenir le réseau de sources d’information humaines (honeypots, ISACs, CERTS)
  • Adapter les recommandations de sécurité à la culture et aux priorités de l’entreprise

Compétences clés

Normes de sécuritéRègles de sécurité Informatique et TélécomsRéseaux informatiques et télécomsGestion des configurationsSystèmes d’exploitation informatiqueArchitecture webAnglais techniqueConfiguration de pare-feu et de systèmes de prévention d’intrusionAccompagner l’appropriation d’un outil par ses utilisateursCréer une documentation techniqueRéaliser un diagnostic techniqueRédiger un cahier des charges, des spécifications techniquesDéterminer des mesures correctivesStructurer, synthétiser des informationsGérer une situation d’urgenceRéaliser des études et développements informatiques

20 compétences ROME. Source : France Travail.

Carrière et formation

Formations RNCP

5 fiches disponibles. Top 4 :

  • RNCP35353 — Qualité, Logistique Industrielle et Organisation : Management de la tr (Niveau 6)
  • RNCP35401 — Science des données : exploration et modélisation statistique (Niveau 6)
  • RNCP35402 — Science des données : visualisation, conception d’outils décisionnels (Niveau 6)
  • RNCP35408 — Génie Électrique et Informatique Industrielle : Automatisme et Informa (Niveau 6)

Reconversion & CPF

Salaire détaillé

Voir grille junior/médiane/senior + méthodologie
NiveauMédian estiméP90 estiméBase
Junior (0-2 ans)38 500 €44 275 €0.70 × médian
Médian (3-7 ans)55 000 €63 249 €DARES+INSEE
Senior (8+ ans)68 750 €74 250 €1.25 × médian

Méthodologie : Médian = données DARES/INSEE salaires bruts annuels 2024-2025 pour le code ROME associé. Junior/Senior = extrapolations ratios standards (0.70x / 1.25x). P90 = niveau atteint par 10 % des supérieurs de la catégorie. Pour précision par expérience/secteur/région : consulter Michael Page, Robert Half, Talent.com.

Tendances 2026-2030

2026
3 675 intentions de recrutement (BMO France Travail).
2027
Eurobarometer : 21% des Français utilisent l’IA au travail, 49% craignent pour leur emploi.
2028
BPI France : 20% des PME adoptent IA générative, 35% planifient sous 12 mois.
2029
INSEE TIC : 13% du secteur adopte IA (vs 8% moyenne France).
2030
L’IA automatise la collecte et le recoupement d’indicateurs de compromission, mais l’analyste en renseignement garde l’interpretation de l’intention de l’adversaire et la lecture geopolitique des campagnes, qui relevent du jugement humain.

Freins adoption IA (BPI France 2024) : 42% citent le manque de compétences, 38% citent les coûts.

Questions fréquentes & sources

L’IA va-t-elle remplacer ce métier ?
Non. Avec environ 80.0% des tâches exposées, le métier se réorganise autour de ce que la machine ne couvre pas : le jugement, la validation et la relation humaine.
Quel salaire pour Analyste en Renseignement sur les Menaces Cybersécurité en 2026 ?
Médian estimé : 55 000 €/an brut. Source : France Travail (DARES et INSEE).
Quelle formation pour devenir analyste en renseignement sur les menaces cybersécurité ?
5 fiches RNCP disponibles (code ROME M1844). CPF + Pôle Emploi finançables. Voir la section Carrière ci-dessus.

Sources officielles

Metiers proches face a l IA

Analyse approfondie

Analyste en renseignement sur les menaces cybersécurité : fiche complète 2026

Les attaques par ransomware et les opérations d’espionnage étatique se multiplient. Les entreprises ne peuvent plus se contenter de réagir après l’incident. L’analyste en renseignement sur les menaces (CTI, Cyber Threat Intelligence) anticipe les attaques en collectant et interprétant les signaux faibles. Ce métier technique et stratégique est devenu central dans les directions cybersécurité, aussi bien chez les grands comptes que dans les administrations critiques. La demande de profils capables de traduire des données brutes en recommandations opérationnelles explose depuis 2024.

Périmètre du métier et différences vs métiers proches

L’analyste CTI se distingue de l’analyste SOC (Security Operations Center) qui traite les alertes en temps réel. Le CTI travaille en amont : il étudie les groupes d’attaquants, leurs techniques (TTPs) et les vulnérabilités émergentes. Contrairement au pentester qui teste les défenses, l’analyste CTI produit des rapports de menace et des indicateurs de compromission (IoCs) pour guider la posture défensive. Le threat hunter part des hypothèses et fouille les logs, tandis que l’analyste CTI se concentre sur l’environnement extérieur : forums clandestins, sources OSINT, flux de renseignement. La frontière est poreuse avec l’analyste SOC senior, mais le CTI a une composante stratégique plus marquée : il informe les choix budgétaires et les orientations de sécurité.

Cadre réglementaire 2026

Plusieurs textes encadrent l’activité. L’AI Act européen classifie les outils de cybersécurité utilisant l’intelligence artificielle : un système de détection de menaces basé sur du machine learning est considéré comme à haut risque s’il affecte des infrastructures critiques. Le RGPD impose la notification des violations de données, et le renseignement sur les menaces aide à anticiper ces fuites. La directive CSRD (Corporate Sustainability Reporting Directive) oblige les grandes entreprises à publier leurs risques cyber, ce qui inclut les analyses de menace. Le Code du travail impose une obligation de résultat en matière de protection des données personnelles des salariés. La convention collective applicable dépend du secteur d’activité de l’employeur : métallurgie (UIMM), bureaux d’études techniques (Syntec), ou banque-assurance. Chacune définit des grilles de classification pour les postes IT.

Spécialités et sous-métiers

Le premier sous-domaine est l’analyste CTI opérationnelle. Il suit des groupes d’attaquants spécifiques (APT, ransomware-as-a-service) et produit des indicateurs pour les chasseurs de menaces. Le second est l’analyste CTI stratégique, souvent intégré à une direction risques ou un cabinet de conseil. Il rédige des notes de synthèse pour les directions générales et les comités exécutifs. Une troisième spécialité émerge : l’analyste en renseignement géopolitique cyber, qui croise les tensions internationales avec les vecteurs d’attaque. Enfin, le renseignement sur les menaces industrielles (OT/ICS) est un créneau très recherché, nécessitant des compétences en protocoles SCADA et en automatismes. Les experts en analyse de la cybercriminalité financière (fraude, blanchiment via crypto) forment une cinquième branche, souvent au sein des banques et des fintechs.

Outils et environnement technique

L’analyste CTI utilise des plateformes de collecte et de corrélation. La famille des TIP (Threat Intelligence Platforms) comme MISP, OpenCTI ou ThreatConnect centralise les flux. Les solutions de sandboxing (Cuckoo Sandbox, Joe Sandbox) permettent d’analyser les malwares en isolation. Les outils OSINT comme Maltego, Shodan, et les bases de données VirusTotal sont quotidiens. Le renseignement automatisé passe par des crawlers et des scripts Python. Les SIEM (Splunk, IBM QRadar, Wazuh) reçoivent les indicateurs pour les intégrer aux opérations de détection. En 2026, l’usage d’outils IA générative pour la synthèse de rapports et l’analyse de forums en langue étrangère est devenu courant. Les environnements cloud (AWS, Azure, Google Cloud) hébergent des bases de données de menaces partagées.

Grille salariale 2026 pour analyste CTI (marché cadres, brut annuel)
Niveau Paris et région parisienne Régions (métropoles)
Junior (0-2 ans d’expérience) entre 42 000 € et 48 000 € entre 36 000 € et 42 000 €
Confirmé (3-6 ans) entre 52 000 € et 62 000 € entre 45 000 € et 55 000 €
Senior (7-12 ans) entre 65 000 € et 82 000 € entre 55 000 € et 70 000 €
Expert / Lead CTI (12+ ans) entre 80 000 € et 100 000 €+ entre 68 000 € et 85 000 €

Formations et diplômes

Plusieurs parcours mènent au métier. Le bac pro Systèmes numériques option cybersécurité constitue une base technique, mais le niveau requis est plus élevé. Le BTS SIO option SISR ou le BTS CIEL forme aux réseaux et à la sécurité. Un BUT Informatique avec parcours cybersécurité est une voie reconnue. Les licences professionnelles métiers de l’informatique (spécialité cybersécurité) sont nombreuses dans les IUT. Le master en cybersécurité (Université Paris Saclay, Grenoble INP, écoles d’ingénieurs privées) est la norme pour accéder à ce métier. Les écoles comme l’EPITA, l’ENSIBS, Telecom Nancy ou les formations CNAM offrent des spécialisations en threat intelligence. Les doubles compétences (droit, relations internationales, langues) sont très valorisées. Le niveau bac+5 est attendu pour les postes de senior et d’expert.

  • Les diplômes les plus recherchés pour ce métier :
  • Master en cybersécurité ou sécurité des systèmes d’information
  • Diplôme d’ingénieur spécialisé en sécurité informatique
  • Licence pro métiers de la sécurité informatique (principalement pour les profils techniques juniors)

Reconversion vers ce métier

Renseignement militaire ou police judiciaire : les agents en fin de contrat dans l’armée (cyberdéfense) ou la gendarmerie (C3N, cyberpatrouille) possèdent une culture du renseignement. Une formation complémentaire en OSINT et analyse de malwares permet la transition. Analyste SOC ou administrateur sécurité : ces techniciens connaissent déjà les attaques et les flux. Un module de spécialisation en CTI (stage ou certification SANS FOR578) suffit souvent pour évoluer. Journaliste spécialisé en cybersécurité : les journalistes d’investigation techniques ont des compétences en OSINT et en analyse de sources. Une validation des acquis (VAE) en master cybersécurité facilite la transition vers le privé. Les passerelles par l’alternance sont fréquentes : un contrat de professionnalisation sur un poste CTI junior est possible pour un adulte en reconversion.

Exposition au risque IA

Le score d’exposition de 80 % est élevé. L’IA générative est utilisée pour automatiser la collecte et le résumé de renseignements issus de sources multilingues (forums, pastebin). La synthèse de rapports de menace est partiellement automatisée. Les modèles de langage dédiés (LLM fine-tunés sur les corpus OSINT) peuvent produire des fiches de groupe d’attaquants en quelques secondes. Le risque principal porte sur les tâches de corrélation et de rédaction standard. En revanche, l’analyse contextuelle, la validation des sources et la décision stratégique restent difficilement automatisables. Les compétences en investigation humaine, en traduction d’indices non structurés et en production de recommandations business sont protégées. Les analystes qui savent piloter des agents IA et en vérifier les sorties verront leur valeur augmenter. Ceux qui ne font que du copier-coller de flux IoCs sont plus vulnérables.

Marché de l’emploi

Le marché est très dynamique en 2026. Les tensions de recrutement sont fortes sur les profils seniors et les experts OT. Selon les observatoires de la filière (Numeum, Club de la Sécurité de l’Information), le besoin en analystes CTI a augmenté de plus de 30% entre 2022 et 2025, avec une stabilisation à un niveau élevé. Les secteurs les plus recruteurs sont les banques et assurances (CAC 40), les opérateurs d’importance vitale (énergie, télécoms, transport), les ESN spécialisées en cybersécurité, et l’administration (ANSSI, ministères). Les PME sous-traitantes des grands groupes commencent aussi à créer des postes CTI mutualisés. La pénurie de candidats maintient les salaires à la hausse et permet des négociations favorables. Le télétravail partiel est la norme, surtout pour les postes de conseil.

Types d’employeurs et missions principales (analyste CTI)
Secteur employeur Missions fréquentes
Banque et assurance Analyse des menaces sur la fraude, surveillance des APT financières
Industrie (énergie, transport) Renseignement sur les menaces OT/ICS, veille vulnérabilités SCADA
ESN et cabinets de conseil Prestations CTI pour clients multiples, rédaction de rapports stratégiques
Administration et défense Surveillance des cyberattaques étatiques, coopération inter-agences
Technologies et télécoms Veille sur les malwares ciblant les infrastructures cloud, protection des données
  • Les profils les plus recherchés : analystes sachant opérer sous stress, avec une expérience en réponse à incident et une aisance en Python.
  • Les compétences linguistiques (russe, chinois, arabe, coréen) sont un avantage concurrentiel décisif.
  • La connaissance des frameworks MITRE ATT&CK et Cyber Kill Chain est désormais incontournable pour tous les postes.

Certifications et labels reconnus

Plusieurs certifications sont valorisées. Les plus reconnues viennent du SANS Institute : GIAC Cyber Threat Intelligence (GCTI) et GIAC Reverse Engineering Malware (GREM). FOR578 est le stage de référence. Du côté de l’offre commerciale, la certification EC-Council Certified Threat Intelligence Analyst (CTIA) est courante. Le certificat CompTIA Security+ ou CySA+ sert souvent de socle pour les juniors. Sans être une certification, la maîtrise du framework MITRE ATT&CK est quasi obligatoire. Le label Qualiopi (obligatoire pour les formations finançables par le CPF) concerne les organismes de formation, pas directement le métier. Les normes ISO 27001 et ISO 22301 sont connues mais sont des standards pour l’organisation, pas des certifications individuelles. Certains recruteurs valorisent l’ISTQB pour le test de sécurité ou le CISSP (ISC)² pour la vision large sécurité.

  • Certifications les plus pertinentes pour un analyste CTI :
  • GIAC GCTI (SANS) : la plus reconnue dans le métier
  • EC-Council CTIA : plus accessible, reconnue en France
  • Certified Ethical Hacker (CEH) : complémentaire, apporte une vision attaquant

Évolution de carrière

À 3 ans, un analyste CTI junior évolue vers un poste de confirmé en prenant la responsabilité d’un périmètre (secteur géographique, famille de menaces). Il peut aussi rejoindre une équipe SOC en tant que niveau 3. À 5 ans, deux trajectoires s’ouvrent : le management d’une équipe CTI (team lead) ou la spécialisation d’expert (analyse forensique avancée, reverse engineering). Certains deviennent référents techniques pour un éditeur de solutions de sécurité. À 10 ans, l’évolution mène à des postes de responsable de la veille cyber (Head of Threat Intelligence) au sein des grands groupes, ou de consultant principal en cabinet de conseil. Le passage vers la direction de la sécurité des systèmes d’information (RSSI/DSSI) est possible, surtout si l’analyste a développé des compétences en gestion de risques et en communication exécutive. La mobilité vers les métiers de la cyberguerre (armée, DGSE, ANSSI) est également fréquente pour les profils les plus engagés.

Perspectives du métier

Les plateformes CTI intègrent des agents IA capables de générer des fiches de menaces en temps réel, les analystes devant se concentrer sur la validation et la contextualisation de ces productions. La cybersécurité des objets connectés et des environnements edge computing génère un volume de renseignements croissant, et le Cloud Intelligence devient une spécialité distincte. La régulation européenne avec l’AI Act et le Digital Operational Resilience Act pousse à standardiser les formats de rapport de menace, et l’émergence de l’informatique quantique crée un besoin d’analystes capables de suivre les menaces sur les protocoles cryptographiques.