Aller au contenu principal
FORTEMENT EXPOSÉTECH / DIGITAL

Analyste en Renseignements sur les Menaces Cyber

Verdict CRISTAL-10 v14.0 : Pivot

Analyste en Renseignements sur les Menaces Cyber - métier face à l’IA en 2026
80/100 · IA

Chiffres clés 2026

55 000 €Salaire médian / an
114Offres live FT
3 675Intentions BMO 2026

Tension marché : 2.42% postes vacants (39 688 postes secteur DARES).

Source : France Travail / DARES BMO 2026 / INSEE TIC 2025. Données pack mises à jour 15 mars 2026.

Impact IA sur le métier

Automatisable par l’IA

  • Automatisation du parsing et de la correlation massive de flux de IoC (Indicators of Compromise)
  • Tri et priorisation automatisee des alertes/issues via machine learning sur données SIEM
  • Identification algorithmique de patterns de comportement malveillant dans les logs reseau
  • Generation automatique de rapports de synthese sur les campagnes de menaces detectees
  • Scan et evaluation robotisee des vulnerabilites CVE sur les actifs numeriques exposes

Reste humain

  • Analyse tactique avancee du comportement des groupes APT et de leurs motivations geo-politiques
  • Direction des operations de threat hunting proactive sur l’infrastructure de l’entreprise
  • Arbitrage humain sur la priorisation des risques et decision de reponse a incident
  • Interpretation contextuelle des alertes pour eviter les faux positifs critiques
  • Communication de crise et briefings executive face aux parties prenantes non-techniques

Compétences clés

Normes de sécuritéRègles de sécurité Informatique et TélécomsRéseaux informatiques et télécomsGestion des configurationsSystèmes d’exploitation informatiqueArchitecture webAnglais techniqueConfiguration de pare-feu et de systèmes de prévention d’intrusionAccompagner l’appropriation d’un outil par ses utilisateursCréer une documentation techniqueRéaliser un diagnostic techniqueRédiger un cahier des charges, des spécifications techniquesDéterminer des mesures correctivesStructurer, synthétiser des informationsGérer une situation d’urgenceRéaliser des études et développements informatiques

20 compétences ROME. Source : France Travail.

Carrière et formation

Formations RNCP

5 fiches disponibles. Top 4 :

  • RNCP35353 — Qualité, Logistique Industrielle et Organisation : Management de la tr (Niveau 6)
  • RNCP35401 — Science des données : exploration et modélisation statistique (Niveau 6)
  • RNCP35402 — Science des données : visualisation, conception d’outils décisionnels (Niveau 6)
  • RNCP35408 — Génie Électrique et Informatique Industrielle : Automatisme et Informa (Niveau 6)

Reconversion & CPF

Salaire détaillé

Voir grille junior/médiane/senior + méthodologie
NiveauMédian estiméP90 estiméBase
Junior (0-2 ans)38 500 €44 275 €0.70 × médian
Médian (3-7 ans)55 000 €63 249 €DARES+INSEE
Senior (8+ ans)68 750 €74 250 €1.25 × médian

Méthodologie : Médian = données DARES/INSEE salaires bruts annuels 2024-2025 pour le code ROME associé. Junior/Senior = extrapolations ratios standards (0.70x / 1.25x). P90 = niveau atteint par 10 % des supérieurs de la catégorie. Pour précision par expérience/secteur/région : consulter Michael Page, Robert Half, Talent.com.

Tendances 2026-2030

2026
3 675 intentions de recrutement (BMO France Travail).
2027
Eurobarometer : 21% des Français utilisent l’IA au travail, 49% craignent pour leur emploi.
2028
BPI France : 20% des PME adoptent IA générative, 35% planifient sous 12 mois.
2029
INSEE TIC : 13% du secteur adopte IA (vs 8% moyenne France).
2030
L’analyste en renseignements sur les menaces cyber voit l’IA automatiser la collecte et la corrélation des indicateurs, mais conserve l’interprétation géopolitique, l’attribution des attaquants et la contextualisation des risques organisationnels.

Freins adoption IA (BPI France 2024) : 42% citent le manque de compétences, 38% citent les coûts.

Questions fréquentes & sources

L’IA va-t-elle remplacer ce métier ?
Non. Avec environ 80.0% des tâches exposées, le métier se réorganise autour de ce que la machine ne couvre pas : le jugement, la validation et la relation humaine.
Quel salaire pour Analyste en Renseignements sur les Menaces Cyber en 2026 ?
Médian estimé : 55 000 €/an brut. Source : France Travail (DARES et INSEE).
Quelle formation pour devenir analyste en renseignements sur les menaces cyber ?
5 fiches RNCP disponibles (code ROME M1844). CPF + Pôle Emploi finançables. Voir la section Carrière ci-dessus.

Sources officielles

Metiers proches face a l IA

Analyse approfondie

Selon l’APEC Baromètre Tech 2026, 78 % des entreprises du CAC 40 déclarent avoir subi au moins une tentative d’intrusion avancée sur l’année. Face à cette menace, l’Analyste en Renseignements sur les Menaces Cyber (Cyber Threat Intelligence – CTI) devient le pivot du renseignement défensif. Ce métier combine analyse opérationnelle, veille stratégique et traque des signaux faibles dans les recoins du darknet. Contrairement au simple analyste SOC, il ne réagit pas à l’alerte : il la précède en collectant des renseignements sur les acteurs, leurs TTP (Tactiques, Techniques, Procédures) et leurs cibles. La France compte déjà près de 4 500 professionnels CTI en 2026, d’après l’Observatoire des Métiers du Numérique (OPIIEC 2025). La demande explose dans les secteurs critiques : finance, énergie, défense et santé. Le score CRISTAL-10 mesurant l’exposition à l’IA atteint 80,0 %, signe que l’automatisation assiste mais ne remplace pas encore le jugement humain. Le salaire médian brut annuel s’établit à 40 000 €, selon France Travail – BMO 2026. Ce professionnel opère à la croisée du cyber, du renseignement et de l’analyse de données.

Périmètre du métier et différences vs métiers proches

L’Analyste en Renseignements sur les Menaces Cyber se distingue du SOC Analyst par sa vision prospective. Le SOC traite des alertes en temps réel. Le CTI élabore une cartographie des risques futurs. Il collecte des sources ouvertes (OSINT), des forums clandestins, des rapports de groupes hacktivistes et des indicateurs techniques (IoCs). Il produit des notes de renseignement destinées au CISO (Responsable de la Sécurité des Systèmes d’Information).

Contrairement à l’Expert en Forensic, il ne mène pas d’investigation post-incident. Son travail est proactif. Le Risk Analyst évalue les vulnérabilités internes, tandis que le CTI se concentre sur la menace externe. En 2026, le Guide ANSSI – CTI 2025 recommande une séparation stricte entre opérations SOC et cellule de renseignement. Les missions incluent la traque de groupes comme APT41 ou LockBit (démantelé partiellement mais toujours actif). L’analyste utilise des cadres comme le Cyber Kill Chain de Lockheed Martin ou le MITRE ATT&CK.

Réglementation 2026 – textes précis, dates, IDCC

La réglementation encadre strictement ce métier depuis 2024. Voici les textes applicables en 2026.

Textes réglementaires applicables au CTI en 2026
TexteDate d’effetObligations principales pour le CTI
Règlement NIS 2 (UE 2022/2555)18 octobre 2024Obligation de renforcement des capacités de CTI pour les OIV et OSE
Loi de programmation militaire 2024-20301er août 2024Agrément pour l’accès aux sources de renseignement cyber sensibles
Règlement DORA (UE 2022/2554)17 janvier 2025Tests de résilience et partage d’informations sur les menaces financières
Convention collective SYNTEC – IDCC 1486Révision 2025Statut cadre, prime de fonction CTI, classification ingénieur CCN

La CNIL a émis en mars 2025 une recommandation sur le traitement des données personnelles lors des collectes OSINT. Tout analyste doit suivre la Procédure ANSSI – CTI Recueil 2026. L’absence de déclaration peut entraîner une sanction pouvant aller jusqu’à 4 % du chiffre d’affaires.

Spécialités et sous-métiers (3 à 5 nommées)

Le domaine CTI se décline en plusieurs spécialités reconnues en 2026.

  • Analyste OSINT (Open Source Intelligence) – collecte sur sources ouvertes, médias sociaux et sites publics.
  • Analyste Darknet & Hidden Services – infiltration surveillée de forums et marketplaces illicites (tor, i2p).
  • Analyste Cyber Threat Intelligence Opérationnelle – production de synthèses pour les équipes de défense.
  • Analyste Threat Hunting – recherche active d’indicateurs de compromission non détectés.
  • Analyste Intelligence Artificielle & Adversarial ML – détection d’attaques contre les modèles IA.

Chaque spécialité requiert des outils et des habilitations spécifiques. L’ANSSI recommande une certification distincte pour l’analyste Darknet.

Stack technique et outils 2026

L’environnement technique mobilise des plateformes de collecte, d’analyse et de partage. Voici les 5 outils les plus utilisés en France.

Comparatif des outils CTI 2026 (source : ANSSI Guide Pratique 2026)
OutilÉditeurFonction principalePrix licence annuelle
MISPCommunauté / CIRCLPlateforme de partage d’indicateursGratuit (auto-hébergé)
Recorded FutureRecorded Future Inc.Renforcement et prédiction par IAÀ partir de 12 000 €
Intel471Intel471 Inc.Surveillance du darknet et forumsSur devis (environ 25 000 €)
MaltegoMaltego TechnologiesAnalyse de liens et graphes relationnelsÀ partir de 1 500 €
YARA + YARA-XOpen source (VirusTotal)Règles de détection de malwaresGratuit

D’autres outils comme TheHive (gestion de cas), OpenCTI (plateforme open source de l’ANSSI) et Silobreaker (veille stratégique) complètent la stack. La maîtrise de Python pour l’automatisation des collectes est impérative. Le Rapport APEC Tech 2026 indique que 74 % des offres CTI exigent une compétence en développement.

Grille salariale détaillée 2026

Les salaires varient selon l’expérience, la spécialité et la localisation. Données issues de l’APEC Enquête salariale 2026 et de France Travail – Salairem 2026.

Grille salariale brute annuelle – Analyste CTI France 2026 (source : APEC & France Travail)
NiveauExpérienceSalaire médianSalaire 1er déclicSalaire 9e déclicSpécialisation premium
Junior0-2 ans36 000 €31 000 €42 000 €+8 % (OSINT/Darknet)
Confirmé3-6 ans49 000 €42 000 €58 000 €+12 % (Threat Hunting)
Senior7-12 ans65 000 €55 000 €82 000 €+15 % (Direction CTI)
Expert / Lead12+ ans85 000 €70 000 €110 000 €+20 % (CISO adjoint)

Les écarts sont marqués entre Paris et la province. En région (Lyon, Toulouse, Rennes), les salaires sont inférieurs de 12 % à 18 %. Le télétravail partiel est la norme pour 72 % des postes (source France Travail – Enquête télétravail 2026).

Formations et diplômes reconnus

Le métier est accessible via plusieurs parcours validés par France Compétences.

  • Master Cybersécurité (RNCP niveau 7) – Université de Lille, Eurecom (Sophia Antipolis), Université Paris-Saclay.
  • Diplôme d’ingénieur spécialisé cyber – ENSIBS (Vannes), Télécom SudParis, INSA Rennes.
  • Mastère Spécialisé CTIHackademy (campus Paris), IMT Atlantique.
  • Formation continue certifiante ANSSI – SecNumedu (niveau expert CTI).
  • BTS SIO option SISR (RNCP niveau 5) + spécialisation CTI en école de cybersécurité.

L’OPIIEC recense 34 formations spécifiques CTI en France en 2026. Le coût d’un Master oscille entre 1 500 € et 8 000 € par an. Le CPF peut financer des certificats, sous réserve d’éligibilité (à vérifier sur moncompteformation.gouv.fr).

Reconversion vers ce métier (3+ profils sources)

La filière CTI attire des profils variés. Voici trois parcours de reconversion typiques.

  • Technicien SOC (4-5 ans d’expérience) – évolue vers l’analyse CTI après une formation de 6 à 12 mois en renseignement.
  • Analyste en intelligence économique – se spécialise dans le volet OSINT et juridique via un DU Cyber Threat Intelligence.
  • Développeur Python / data analyst – oriente ses compétences en scripting et dataviz vers la détection d’indicateurs.
  • Militaire / gendarme (spécialité cyber) – poursuit une validation des acquis (VAE) pour intégrer le privé.

Le Dispositif Transitions Pro financait 320 dossiers CTI en 2025 (source FNE-Formation 2026). La demande de reconversion a augmenté de 45 % entre 2023 et 2025.

Exposition au risque IA – décomposition CRISTAL-10

Le score CRISTAL-10 de 80,0 % indique une forte exposition à l’IA, mais pas un remplacement à court terme. La décomposition se base sur trois sous-critères de la méthode Eloundou et al. (2024).

  • Collecte et filtrage automatisés (85 %) – les outils d’IA générative scrappent et résument des milliers de sources en temps réel, réduisant le temps de veille de 60 % (source ILO – World Employment Report 2025).
  • Analyse et corrélation (75 %) – les LLM spécialisés (type GPT-5 Cyber) corrèlent des indicateurs entre plusieurs langues et formats.
  • Rédaction de synthèses (80 %) – les rapports préliminaires sont générés automatiquement, l’humain valide et ajoute le contexte stratégique.

Cependant, le jugement tactique, la prise en compte du contexte politique et la validation des sources reste irremplaçables. Le Rapport CRISTAL-10 – DARES 2026 classe ce métier en catégorie “complétion forte sans substitution à 5 ans”.

Marché de l’emploi – BMO France Travail 2026, % par région, tension

Le BMO France Travail 2026 (Besoins en Main-d’Œuvre) recense 1 420 projets de recrutement CTI en France, en hausse de 28 % par rapport à 2025. Le métier figure en 5e position des tensions de la filière cyber.

Les régions les plus demandeuses sont :

  • Île-de-France (52 % des offres) – avec les sièges des OIV et des grands groupes comme Thales, Airbus et Orange Cyberdefense.
  • Occitanie (12 %) – pôle Toulouse (aéronautique et spatial).
  • Auvergne-Rhône-Alpes (11 %) – Lyon et Grenoble (énergie, santé).
  • Bretagne (9 %) – Rennes et Lannion (défense et télécoms).
  • Pays de la Loire (5 %) – Nantes (fintech et industrie).

La tension est qualifiée de “très forte” par France Travail, avec un délai de recrutement moyen de 4,8 mois. Les entreprises Schneider Electric, EDF et BNP Paribas sont les plus émettrices.

Certifications et labels

Les certifications professionnelles sont valorisées. Voici les principales.

  • Certification CTI – ANSSI (label “Expert CTI”) – valable 3 ans, renouvellement par examen.
  • GIAC GCTI (Global Information Assurance Certification – GIAC Certified Cyber Threat Intelligence) – reconnue internationalement.
  • Certification OSINT – CTI 360 (organisme français) – spécialisée dans les sources ouvertes.
  • CRT – Certified Threat Intelligence Analyst (EC-Council) – niveau intermédiaire.
  • Certificat MITRE ATT&CK Fundamentals – basé sur le framework.

L’ANSSI recommande une certification locale pour les postes en OIV. Le coût d’une certification varie de 800 € à 4 500 €. Certaines entreprises les prennent en charge via le plan de développement des compétences.

Évolution de carrière à 3, 5 et 10 ans

Les trajectoires sont diversifiées en fonction des aspirations et des spécialisations.

À 3 ans – l’analyste junior devient autonome sur la collecte et la rédaction. Options : lead d’une cellule OSINT, spécialisation darknet, ou pivot vers le Threat Hunting.

À 5 ans – le professionnel confirmé encadre une petite équipe. Il peut évoluer vers Manager de la Cellule CTI ou CISO Adjoint. Le salaire médian atteint 60 000 €.

À 10 ans – l’expert devient Directeur du Renseignement Cyber ou Responsable de la Veille Stratégique. Certains rejoignent des cabinets de conseil comme Wavestone ou PwC en tant que Senior Manager CTI.

Listes des compétences clés pour chaque horizon.

  • 3 ans – maîtrise de MISP, rédaction opérationnelle, Python basique, connaissance de MITRE ATT&CK.
  • 5 ans – management d’équipe, capacité à dialoguer avec le CISO, veille juridique, budget outillage.
  • 10 ans – vision stratégique, relations avec les autorités (ANSSI, EUROPOL), pilotage de la transformation CTI.

Perspectives du métier

L’IA générative transforme le métier en automatisant une partie de la production de rapports, recentrant l’humain sur la validation stratégique. Les analystes doivent désormais détecter les attaques ciblant les modèles de machine learning, un sous-domaine en plein essor. Le rapprochement avec le renseignement économique s’intensifie, la fusion entre OSINT cyber et veille concurrentielle devenant la norme dans les grands groupes. Les entreprises font face à des difficultés croissantes de recrutement sur ces profils rares combinant technicité, rigueur méthodologique et vision stratégique.