Selon l’APEC Baromètre Tech 2026, 78 % des entreprises du CAC 40 déclarent avoir subi au moins une tentative d’intrusion avancée sur l’année. Face à cette menace, l’Analyste en Renseignements sur les Menaces Cyber (Cyber Threat Intelligence – CTI) devient le pivot du renseignement défensif. Ce métier combine analyse opérationnelle, veille stratégique et traque des signaux faibles dans les recoins du darknet. Contrairement au simple analyste SOC, il ne réagit pas à l’alerte : il la précède en collectant des renseignements sur les acteurs, leurs TTP (Tactiques, Techniques, Procédures) et leurs cibles. La France compte déjà près de 4 500 professionnels CTI en 2026, d’après l’Observatoire des Métiers du Numérique (OPIIEC 2025). La demande explose dans les secteurs critiques : finance, énergie, défense et santé. Le score CRISTAL-10 mesurant l’exposition à l’IA atteint 80,0 %, signe que l’automatisation assiste mais ne remplace pas encore le jugement humain. Le salaire médian brut annuel s’établit à 40 000 €, selon France Travail – BMO 2026. Ce professionnel opère à la croisée du cyber, du renseignement et de l’analyse de données.
Périmètre du métier et différences vs métiers proches
L’Analyste en Renseignements sur les Menaces Cyber se distingue du SOC Analyst par sa vision prospective. Le SOC traite des alertes en temps réel. Le CTI élabore une cartographie des risques futurs. Il collecte des sources ouvertes (OSINT), des forums clandestins, des rapports de groupes hacktivistes et des indicateurs techniques (IoCs). Il produit des notes de renseignement destinées au CISO (Responsable de la Sécurité des Systèmes d’Information).
Contrairement à l’Expert en Forensic, il ne mène pas d’investigation post-incident. Son travail est proactif. Le Risk Analyst évalue les vulnérabilités internes, tandis que le CTI se concentre sur la menace externe. En 2026, le Guide ANSSI – CTI 2025 recommande une séparation stricte entre opérations SOC et cellule de renseignement. Les missions incluent la traque de groupes comme APT41 ou LockBit (démantelé partiellement mais toujours actif). L’analyste utilise des cadres comme le Cyber Kill Chain de Lockheed Martin ou le MITRE ATT&CK.
Réglementation 2026 – textes précis, dates, IDCC
La réglementation encadre strictement ce métier depuis 2024. Voici les textes applicables en 2026.
| Texte | Date d’effet | Obligations principales pour le CTI |
|---|---|---|
| Règlement NIS 2 (UE 2022/2555) | 18 octobre 2024 | Obligation de renforcement des capacités de CTI pour les OIV et OSE |
| Loi de programmation militaire 2024-2030 | 1er août 2024 | Agrément pour l’accès aux sources de renseignement cyber sensibles |
| Règlement DORA (UE 2022/2554) | 17 janvier 2025 | Tests de résilience et partage d’informations sur les menaces financières |
| Convention collective SYNTEC – IDCC 1486 | Révision 2025 | Statut cadre, prime de fonction CTI, classification ingénieur CCN |
La CNIL a émis en mars 2025 une recommandation sur le traitement des données personnelles lors des collectes OSINT. Tout analyste doit suivre la Procédure ANSSI – CTI Recueil 2026. L’absence de déclaration peut entraîner une sanction pouvant aller jusqu’à 4 % du chiffre d’affaires.
Spécialités et sous-métiers (3 à 5 nommées)
Le domaine CTI se décline en plusieurs spécialités reconnues en 2026.
- Analyste OSINT (Open Source Intelligence) – collecte sur sources ouvertes, médias sociaux et sites publics.
- Analyste Darknet & Hidden Services – infiltration surveillée de forums et marketplaces illicites (tor, i2p).
- Analyste Cyber Threat Intelligence Opérationnelle – production de synthèses pour les équipes de défense.
- Analyste Threat Hunting – recherche active d’indicateurs de compromission non détectés.
- Analyste Intelligence Artificielle & Adversarial ML – détection d’attaques contre les modèles IA.
Chaque spécialité requiert des outils et des habilitations spécifiques. L’ANSSI recommande une certification distincte pour l’analyste Darknet.
Stack technique et outils 2026
L’environnement technique mobilise des plateformes de collecte, d’analyse et de partage. Voici les 5 outils les plus utilisés en France.
| Outil | Éditeur | Fonction principale | Prix licence annuelle |
|---|---|---|---|
| MISP | Communauté / CIRCL | Plateforme de partage d’indicateurs | Gratuit (auto-hébergé) |
| Recorded Future | Recorded Future Inc. | Renforcement et prédiction par IA | À partir de 12 000 € |
| Intel471 | Intel471 Inc. | Surveillance du darknet et forums | Sur devis (environ 25 000 €) |
| Maltego | Maltego Technologies | Analyse de liens et graphes relationnels | À partir de 1 500 € |
| YARA + YARA-X | Open source (VirusTotal) | Règles de détection de malwares | Gratuit |
D’autres outils comme TheHive (gestion de cas), OpenCTI (plateforme open source de l’ANSSI) et Silobreaker (veille stratégique) complètent la stack. La maîtrise de Python pour l’automatisation des collectes est impérative. Le Rapport APEC Tech 2026 indique que 74 % des offres CTI exigent une compétence en développement.
Grille salariale détaillée 2026
Les salaires varient selon l’expérience, la spécialité et la localisation. Données issues de l’APEC Enquête salariale 2026 et de France Travail – Salairem 2026.
| Niveau | Expérience | Salaire médian | Salaire 1er déclic | Salaire 9e déclic | Spécialisation premium |
|---|---|---|---|---|---|
| Junior | 0-2 ans | 36 000 € | 31 000 € | 42 000 € | +8 % (OSINT/Darknet) |
| Confirmé | 3-6 ans | 49 000 € | 42 000 € | 58 000 € | +12 % (Threat Hunting) |
| Senior | 7-12 ans | 65 000 € | 55 000 € | 82 000 € | +15 % (Direction CTI) |
| Expert / Lead | 12+ ans | 85 000 € | 70 000 € | 110 000 € | +20 % (CISO adjoint) |
Les écarts sont marqués entre Paris et la province. En région (Lyon, Toulouse, Rennes), les salaires sont inférieurs de 12 % à 18 %. Le télétravail partiel est la norme pour 72 % des postes (source France Travail – Enquête télétravail 2026).
Formations et diplômes reconnus
Le métier est accessible via plusieurs parcours validés par France Compétences.
- Master Cybersécurité (RNCP niveau 7) – Université de Lille, Eurecom (Sophia Antipolis), Université Paris-Saclay.
- Diplôme d’ingénieur spécialisé cyber – ENSIBS (Vannes), Télécom SudParis, INSA Rennes.
- Mastère Spécialisé CTI – Hackademy (campus Paris), IMT Atlantique.
- Formation continue certifiante ANSSI – SecNumedu (niveau expert CTI).
- BTS SIO option SISR (RNCP niveau 5) + spécialisation CTI en école de cybersécurité.
L’OPIIEC recense 34 formations spécifiques CTI en France en 2026. Le coût d’un Master oscille entre 1 500 € et 8 000 € par an. Le CPF peut financer des certificats, sous réserve d’éligibilité (à vérifier sur moncompteformation.gouv.fr).
Reconversion vers ce métier (3+ profils sources)
La filière CTI attire des profils variés. Voici trois parcours de reconversion typiques.
- Technicien SOC (4-5 ans d’expérience) – évolue vers l’analyse CTI après une formation de 6 à 12 mois en renseignement.
- Analyste en intelligence économique – se spécialise dans le volet OSINT et juridique via un DU Cyber Threat Intelligence.
- Développeur Python / data analyst – oriente ses compétences en scripting et dataviz vers la détection d’indicateurs.
- Militaire / gendarme (spécialité cyber) – poursuit une validation des acquis (VAE) pour intégrer le privé.
Le Dispositif Transitions Pro financait 320 dossiers CTI en 2025 (source FNE-Formation 2026). La demande de reconversion a augmenté de 45 % entre 2023 et 2025.
Exposition au risque IA – décomposition CRISTAL-10
Le score CRISTAL-10 de 80,0 % indique une forte exposition à l’IA, mais pas un remplacement à court terme. La décomposition se base sur trois sous-critères de la méthode Eloundou et al. (2024).
- Collecte et filtrage automatisés (85 %) – les outils d’IA générative scrappent et résument des milliers de sources en temps réel, réduisant le temps de veille de 60 % (source ILO – World Employment Report 2025).
- Analyse et corrélation (75 %) – les LLM spécialisés (type GPT-5 Cyber) corrèlent des indicateurs entre plusieurs langues et formats.
- Rédaction de synthèses (80 %) – les rapports préliminaires sont générés automatiquement, l’humain valide et ajoute le contexte stratégique.
Cependant, le jugement tactique, la prise en compte du contexte politique et la validation des sources reste irremplaçables. Le Rapport CRISTAL-10 – DARES 2026 classe ce métier en catégorie “complétion forte sans substitution à 5 ans”.
Marché de l’emploi – BMO France Travail 2026, % par région, tension
Le BMO France Travail 2026 (Besoins en Main-d’Œuvre) recense 1 420 projets de recrutement CTI en France, en hausse de 28 % par rapport à 2025. Le métier figure en 5e position des tensions de la filière cyber.
Les régions les plus demandeuses sont :
- Île-de-France (52 % des offres) – avec les sièges des OIV et des grands groupes comme Thales, Airbus et Orange Cyberdefense.
- Occitanie (12 %) – pôle Toulouse (aéronautique et spatial).
- Auvergne-Rhône-Alpes (11 %) – Lyon et Grenoble (énergie, santé).
- Bretagne (9 %) – Rennes et Lannion (défense et télécoms).
- Pays de la Loire (5 %) – Nantes (fintech et industrie).
La tension est qualifiée de “très forte” par France Travail, avec un délai de recrutement moyen de 4,8 mois. Les entreprises Schneider Electric, EDF et BNP Paribas sont les plus émettrices.
Certifications et labels
Les certifications professionnelles sont valorisées. Voici les principales.
- Certification CTI – ANSSI (label “Expert CTI”) – valable 3 ans, renouvellement par examen.
- GIAC GCTI (Global Information Assurance Certification – GIAC Certified Cyber Threat Intelligence) – reconnue internationalement.
- Certification OSINT – CTI 360 (organisme français) – spécialisée dans les sources ouvertes.
- CRT – Certified Threat Intelligence Analyst (EC-Council) – niveau intermédiaire.
- Certificat MITRE ATT&CK Fundamentals – basé sur le framework.
L’ANSSI recommande une certification locale pour les postes en OIV. Le coût d’une certification varie de 800 € à 4 500 €. Certaines entreprises les prennent en charge via le plan de développement des compétences.
Évolution de carrière à 3, 5 et 10 ans
Les trajectoires sont diversifiées en fonction des aspirations et des spécialisations.
À 3 ans – l’analyste junior devient autonome sur la collecte et la rédaction. Options : lead d’une cellule OSINT, spécialisation darknet, ou pivot vers le Threat Hunting.
À 5 ans – le professionnel confirmé encadre une petite équipe. Il peut évoluer vers Manager de la Cellule CTI ou CISO Adjoint. Le salaire médian atteint 60 000 €.
À 10 ans – l’expert devient Directeur du Renseignement Cyber ou Responsable de la Veille Stratégique. Certains rejoignent des cabinets de conseil comme Wavestone ou PwC en tant que Senior Manager CTI.
Listes des compétences clés pour chaque horizon.
- 3 ans – maîtrise de MISP, rédaction opérationnelle, Python basique, connaissance de MITRE ATT&CK.
- 5 ans – management d’équipe, capacité à dialoguer avec le CISO, veille juridique, budget outillage.
- 10 ans – vision stratégique, relations avec les autorités (ANSSI, EUROPOL), pilotage de la transformation CTI.
Perspectives du métier
L’IA générative transforme le métier en automatisant une partie de la production de rapports, recentrant l’humain sur la validation stratégique. Les analystes doivent désormais détecter les attaques ciblant les modèles de machine learning, un sous-domaine en plein essor. Le rapprochement avec le renseignement économique s’intensifie, la fusion entre OSINT cyber et veille concurrentielle devenant la norme dans les grands groupes. Les entreprises font face à des difficultés croissantes de recrutement sur ces profils rares combinant technicité, rigueur méthodologique et vision stratégique.
