Aller au contenu principal
FORTEMENT EXPOSÉTECH / DIGITAL

Analyste en Renseignement sur les Menaces (Threat Intelligence)

Verdict CRISTAL-10 v14.0 : Pivot

Analyste en Renseignement sur les Menaces (Threat Intelligence) - métier face à l’IA en 2026
80/100 · IA

Chiffres clés 2026

56 000 €Salaire médian / an
114Offres live FT
3 675Intentions BMO 2026

Tension marché : 2.42% postes vacants (39 688 postes secteur DARES).

Source : France Travail / DARES BMO 2026 / INSEE TIC 2025. Données pack mises à jour 15 mars 2026.

Impact IA sur le métier

Automatisable par l’IA

  • Agrégation et collecte automatisée de données depuis les flux OSINT et commercial (MISP, TAXII)
  • Détection de patterns known-bad via signatures sur bases d’indicateurs de compromission
  • Génération de rapports standardisés sur les familles de malwares récurrents
  • Corrélation d’événements par les SIEM et SOAR avec règles préconfigurées
  • Enrichissement automatique des IOC avec données VirusTotal, Shodan et AbuseIPDB

Reste humain

  • Évaluation du contexte géopolitique et motivation des acteurs de menace (état-nation, hacktivistes)
  • Analyse tactique des techniques inédites (zero-day, living-off-the-land) nécessitant un raisonnement heuristique
  • Décision sur la pertinence et le partage d’alertes avec les pairs du secteur (ISAC)
  • Rédaction de recommandations de remédiation adaptées au contexte métier de l’entreprise
  • Négociation et communication de crise avec la direction lors d’incidents critiques

Compétences clés

Normes de sécuritéRègles de sécurité Informatique et TélécomsRéseaux informatiques et télécomsGestion des configurationsSystèmes d’exploitation informatiqueArchitecture webAnglais techniqueConfiguration de pare-feu et de systèmes de prévention d’intrusionAccompagner l’appropriation d’un outil par ses utilisateursCréer une documentation techniqueRéaliser un diagnostic techniqueRédiger un cahier des charges, des spécifications techniquesDéterminer des mesures correctivesStructurer, synthétiser des informationsGérer une situation d’urgenceRéaliser des études et développements informatiques

20 compétences ROME. Source : France Travail.

Carrière et formation

Formations RNCP

5 fiches disponibles. Top 4 :

  • RNCP35353 — Qualité, Logistique Industrielle et Organisation : Management de la tr (Niveau 6)
  • RNCP35401 — Science des données : exploration et modélisation statistique (Niveau 6)
  • RNCP35402 — Science des données : visualisation, conception d’outils décisionnels (Niveau 6)
  • RNCP35408 — Génie Électrique et Informatique Industrielle : Automatisme et Informa (Niveau 6)

Reconversion & CPF

Grille salarialeFormations 2026ReconversionGuide IA

Salaire détaillé

Voir grille junior/médiane/senior + méthodologie
NiveauMédian estiméP90 estiméBase
Junior (0-2 ans)39 200 €45 080 €0.70 × médian
Médian (3-7 ans)56 000 €64 399 €DARES+INSEE
Senior (8+ ans)70 000 €75 600 €1.25 × médian

Méthodologie : Médian = données DARES/INSEE salaires bruts annuels 2024-2025 pour le code ROME associé. Junior/Senior = extrapolations ratios standards (0.70x / 1.25x). P90 = niveau atteint par 10 % des supérieurs de la catégorie. Pour précision par expérience/secteur/région : consulter Michael Page, Robert Half, Talent.com.

Tendances 2026-2030

2026
3 675 intentions de recrutement (BMO France Travail).
2027
Eurobarometer : 21% des Français utilisent l’IA au travail, 49% craignent pour leur emploi.
2028
BPI France : 20% des PME adoptent IA générative, 35% planifient sous 12 mois.
2029
INSEE TIC : 13% du secteur adopte IA (vs 8% moyenne France).
2030
L’analyste en renseignement sur les menaces délègue à l’IA la collecte d’indicateurs et la corrélation de signaux, mais conserve l’analyse géopolitique, l’évaluation des sources et l’interprétation des motivations adverses.

Freins adoption IA (BPI France 2024) : 42% citent le manque de compétences, 38% citent les coûts.

Questions fréquentes & sources

L’IA va-t-elle remplacer ce métier ?
Non. Avec environ 80.0% des tâches exposées, le métier se réorganise autour de ce que la machine ne couvre pas : le jugement, la validation et la relation humaine.
Quel salaire pour Analyste en Renseignement sur les Menaces (Threat Intelligence) en 2026 ?
Médian estimé : 56 000 €/an brut. Source : France Travail (DARES et INSEE).
Quelle formation pour devenir analyste en renseignement sur les menaces (threat intelligence) ?
5 fiches RNCP disponibles (code ROME M1844). CPF + Pôle Emploi finançables. Voir la section Carrière ci-dessus.

Sources officielles

France Travail (BMO 2026)
DARES (salaires)
INSEE TIC (emploi)
France Compétences (RNCP)
CPF
Méthodologie CRISTAL-10

Metiers proches face a l IA

Analyse approfondie

Analyste en renseignement sur les menaces threat intelligence : fiche complète 2026

La cybercriminalité ne cesse de se professionnaliser. Les attaques par rançongiciel, espionnage industriel et phishing ciblé se multiplient. Les entreprises cherchent à anticiper ces menaces plutôt que de les subir. L’analyste en renseignement sur les menaces, ou threat intelligence analyst, collecte, analyse et interprète les signaux faibles pour protéger les systèmes d’information. Ce métier hybride, à mi-chemin entre la cybersécurité et le renseignement, connaît une demande soutenue sur le marché français.

Périmètre du métier et différences vs métiers proches

L’analyste en threat intelligence se distingue de l’analyste SOC (Security Operations Center). Ce dernier réagit aux alertes en temps réel et gère les incidents en cours. L’analyste en renseignement travaille en amont : il étudie les tactiques des groupes d’attaquants, les vulnérabilités émergentes et les indicateurs de compromission. Il produit des rapports stratégiques et opérationnels à destination des équipes techniques et de la direction.

Contrairement à l’expert en forensic qui intervient après une attaque pour analyser les traces, le threat intelligence analyst adopte une posture proactive. Le RSSI (Responsable de la Sécurité des Systèmes d’Information) définit la politique de sécurité ; l’analyste CTI (Cyber Threat Intelligence) fournit la matière première pour orienter cette politique. Les passerelles existent, mais le métier requiert une double compétence technique et analytique rare.

Cadre réglementaire 2026

Plusieurs réglementations encadrent l’activité de threat intelligence en France. Le règlement général sur la protection des données (RGPD) impose de protéger les données personnelles, ce qui inclut la détection précoce des fuites. L’AI Act européen, applicable en 2026, classe certains outils de cybersécurité basés sur l’intelligence artificielle comme systèmes à haut risque. Les analystes doivent documenter leurs méthodes de détection et garantir la traçabilité des décisions algorithmiques.

La directive CSRD (Corporate Sustainability Reporting Directive) étend les obligations de reporting extra-financier. Elle intègre désormais la cybersécurité comme un enjeu de durabilité. Les entreprises cotées doivent publier leur exposition aux risques cyber. Le Code du travail, via l’obligation générale de sécurité de l’employeur, impose la mise en place de mesures techniques pour protéger les systèmes. Les analystes CTI contribuent à cette obligation en fournissant des alertes précoces. La convention collective applicable est généralement celle des bureaux d’études techniques (Syntec), sans précision d’IDCC.

Spécialités et sous-métiers

Le métier se décline en plusieurs spécialités. Le threat hunter recherche activement les compromissions dans les réseaux, en utilisant des hypothèses fondées sur les renseignements collectés. Il ne se contente pas d’attendre les alertes : il creuse pour trouver des signes d’intrusion invisibles pour les outils automatiques.

L'analyste OSINT (Open Source Intelligence) exploite les sources ouvertes : forums clandestins, réseaux sociaux, bases de données leakées. Il traque les discussions sur les vulnérabilités zero-day et les ventes d’accès compromis. Son travail alimente les indicateurs de compromission qui seront intégrés dans les pare-feu et les EDR.

L'analyste en intelligence technique se concentre sur l’analyse de code malveillant, la rétro-ingénierie de logiciels et la compréhension des infrastructures adverses. Il collabore avec les équipes de réponse aux incidents pour caractériser les attaques.

Le renseignement stratégique s’adresse aux directions générales. Il synthétise les tendances géopolitiques, les risques sectoriels et les évolutions règlementaires. Ce profil nécessite une forte capacité de synthèse et une aisance en communication.

Enfin, l'analyste CTI spécialisé par secteur (finance, santé, énergie, défense) connaît les menaces propres à son domaine. Il adapte ses recherches aux acteurs et aux enjeux spécifiques de son industrie.

Outils et environnement technique

L’environnement technique de l’analyste CTI repose sur plusieurs familles d’outils :

  • Plateformes de renseignement sur les menaces : MISP (Malware Information Sharing Platform) pour le partage d’indicateurs, OpenCTI pour la gestion des connaissances, ThreatConnect.
  • Solutions EDR et SIEM : Microsoft Defender for Endpoint, Splunk, Elastic Security. L’analyste y interroge les logs et y corrèle les indicateurs.
  • Outils OSINT : Maltego pour la cartographie des relations, Shodan pour les objets connectés exposés, The Harvester pour la collecte d’emails.
  • Bases de données de vulnérabilités : CVE Details, Exploit-DB, NVD. L’analyste suit les publications de correctifs et les preuves de concept.
  • Services cloud : AWS, Google Cloud, Azure. Les infrastructures des adversaires sont souvent hébergées sur ces plateformes. L’analyste doit comprendre les mécanismes de déploiement.
  • Outils de collaboration et partage : les analystes travaillent en réseau avec d’autres équipes via le protocole STIX/TAXII. Le partage d’information avec des CERT (Computer Emergency Response Team) est courant.

Grille salariale 2026

Grille salariale brute annuelle 2026 (en euros)
Profil Paris et région parisienne Régions
Junior (0-2 ans) 38 000 – 44 000 € 33 000 – 38 000 €
Confirmé (3-5 ans) 50 000 – 65 000 € 42 000 – 55 000 €
Senior (6+ ans) 65 000 – 85 000 € 55 000 – 75 000 €

Les salaires indiqués sont des fourchettes médianes observées. Les profils disposant de certifications reconnues ou d’une expérience en secteur critique (défense, banque) peuvent prétendre au haut de la fourchette. Le salaire médian national est d’environ 40 000 euros brut par an selon l’APEC.

Formations et diplômes

Plusieurs parcours mènent au métier. Un bac professionnel en systèmes numériques constitue une base technique minimale, mais la quasi-totalité des recrutements se fait au niveau bac+3 et plus. Le BTS Services informatiques aux organisations (SIO) option SISR ou le BTS Cybersécurité, Informatique et Réseaux (CIEL) offrent les fondamentaux réseau et sécurité.

La licence professionnelle en cybersécurité (mention administration et sécurité des réseaux) prépare à des postes opérationnels. Le master en cybersécurité (facultés, écoles d’ingénieurs, instituts comme le CNAM) constitue la voie majoritaire. Certains masters intègrent des modules spécifiques de threat intelligence et de renseignement d’origine humaine (ROHUM).

Les écoles d’ingénieurs (Telecom Paris, INSA, EPITA, Centrale) proposent des spécialisations en sécurité défensive et offensive. Les formations en intelligence économique et en relations internationales offrent aussi des passerelles pour le volet stratégique du métier.

Reconversion vers ce métier

Plusieurs profils en reconversion accèdent au métier d’analyste CTI :

  • Analyste SOC : familier des outils de détection et des procédures d’incident. Il lui manque souvent la pratique de l’analyse de sources OSINT et la rédaction de rapports stratégiques. Une formation courte en threat intelligence (plusieurs mois) et la pratique personnelle sur des plateformes comme TryHackMe comblent cet écart.
  • Développeur ou administrateur systèmes/réseaux : ces profils maîtrisent déjà les infrastructures IT. Ils doivent acquérir les méthodes d’analyse des menaces et la connaissance des tactiques adverses. La certification CompTIA Security+ ou l’obtention d’un titre professionnel de niveau 6 en cybersécurité sécurise la transition.
  • Chercheur en sciences humaines ou en intelligence économique : ces profils apportent une expertise en analyse de sources, en rédaction et en compréhension des contextes géopolitiques. Ils doivent renforcer leurs compétences techniques (réseaux, systèmes, scripting Python). Un bootcamp en cybersécurité de 6 mois suivi d’une première expérience en SOC constitue une voie réaliste.

Exposition au risque IA

Le score CRISTAL-10 d’exposition à l’IA est de 80 %. Ce score élevé signifie que l’IA transforme profondément le métier. Les tâches les plus automatisables sont la collecte d’indicateurs de compromission, la classification des échantillons de code malveillant et la génération de rapports standards. Les assistants IA générative (LLM) permettent déjà une analyse accélérée d’articles techniques et de forums en plusieurs langues.

Le risque principal n’est pas le remplacement pur, mais une recomposition des tâches. L’analyste qui ne mobilise pas l’IA sera moins productif. En revanche, l’interprétation des données, la formulation d’hypothèses adverses et la prise de décision stratégique restent des compétences humaines distinctives. L’analyste devient un superviseur des algorithmes, un validateur des résultats et un traducteur des signaux bruts pour les décideurs. La rareté de ces compétences d’analyse critique protège partiellement le métier d’une substitution totale.

Marché de l’emploi

Le marché de l’emploi pour les analystes CTI est en forte tension. La demande dépasse l’offre de candidats formés. Les secteurs les plus recruteurs sont la défense et la sécurité nationale (ministères, armées, agences), les banques et assurances, les opérateurs d’importance vitale (OIV) comme EDF, Orange, SNCF, et les grandes entreprises technologiques (Dassault Systèmes, Airbus, Thales).

Les cabinets de conseil en cybersécurité (Atos, Capgemini, Accenture) recrutent en continu pour leurs pôles de threat intelligence. Les PME et ETI commencent aussi à créer ces postes, souvent mutualisés au niveau du groupe. Les offres d’emploi mentionnent de plus en plus la connaissance des réglementations sectorielles (santé, finance, industrie) comme un atout. La mobilité géographique est un accélérateur de carrière : les postes se concentrent fortement en région parisienne, mais des hubs secondaires existent à Toulouse, Lyon, Rennes et Bordeaux.

Tendances 2026 du marché CTI
Indicateur Constat
Volume d’offres Hausse continue sur 3 ans
Niveau de tension Fort (difficulté à recruter des profils confirmés)
Types de contrats Majoritairement CDI ; forte proportion de missions pour les consultants
Niveau d’expérience demandé Premium sur les profils 3-5 ans

Certifications et labels reconnus

Les certifications renforcent la crédibilité du candidat. Les plus reconnues dans le domaine sont :

  • Qualiopi : certification qualité des organismes de formation. Sans être une certification individuelle, elle garantit la qualité des formations suivies.
  • Certifications GIAC : GIAC Certified Incident Analyst, GIAC Open Source Intelligence, GIAC Cyber Threat Intelligence. Elles sont très valorisées aux États-Unis et en Europe.
  • CISSP (Certified Information Systems Security Professional) : reconnue mondialement, elle atteste d’une vision large de la sécurité des systèmes. Souvent exigée pour les postes seniors.
  • CEH (Certified Ethical Hacker) : utile pour comprendre les techniques offensives des adversaires.
  • ITIL Foundation : apprécié pour la gestion des services IT, il n’est pas spécifique à la cybersécurité mais témoigne d’une approche structurée.

Les certifications ISO 9001 (qualité) sont pertinentes pour les postes en conseil ou en management. Les certifications en OSINT proposées par des organismes comme SANS ou le CRAT sont un plus différenciant.

Évolution de carrière

À 3 ans, l’analyste junior devient un contributeur autonome. Il prend en charge des dossiers complets de renseignement sur une menace spécifique. Il peut évoluer vers un poste de threat hunter ou se spécialiser sur un secteur (finance, industrie).

À 5 ans, il accède à un poste de senior analyst. Il encadre des juniors, coordonne les échanges avec les CERT et les partenaires externes. Il participe à la définition de la stratégie de détection de l’entreprise. Certains rejoignent des équipes de conseil ou des agences gouvernementales.

À 10 ans, les trajectoires se diversifient. L’analyste peut devenir responsable du pôle threat intelligence (CTI manager), directeur adjoint de la cybersécurité, ou expert reconnu avec une activité de conférencier et de formateur. D’autres bifurquent vers le renseignement économique, la gestion de crise cyber, ou la création d’une société de conseil spécialisée. La double compétence métier (finance, santé, énergie) et technique reste le principal levier d’évolution salariale.

Perspectives du métier

La généralisation de l’IA générative chez les attaquants comme chez les défenseurs modifie profondément le rapport de force, obligeant les analystes à intégrer des outils de détection d’attaques par prompt injection et de deepfakes. La cybersécurité industrielle et IoT s’impose comme un axe majeur, tandis que la montée en puissance des régulations comme l’AI Act et la CSRD impose une documentation plus rigoureuse des dispositifs de renseignement. Le partage d’information intersectoriel se structure via des plateformes dédiées à la santé, à la finance et à l’énergie. L’analyste de demain combine des compétences techniques solides, une culture juridique et une capacité à vulgariser des sujets complexes pour les non-initiés.

Continuer l’exploration

Explorer

Outils

Comprendre