Aller au contenu principal
FORTEMENT EXPOSÉTECH / DIGITAL

Analyste en Threat Intelligence

Verdict CRISTAL-10 v14.0 : Pivot

Analyste en Threat Intelligence - métier face à l’IA en 2026
80/100 · IA

Chiffres clés 2026

56 000 €Salaire médian / an
44Offres live FT
3 675Intentions BMO 2026

Tension marché : 2.42% postes vacants (39 688 postes secteur DARES).

Source : France Travail / DARES BMO 2026 / INSEE TIC 2025. Données pack mises à jour 15 mars 2026.

Impact IA sur le métier

Automatisable par l’IA

  • Agrégation automatisée de threat feeds via APIs
  • Détection de patterns d’IOCs connus dans les logs
  • Corrélation automatique d’alertes avec bases de signatures
  • Génération de rapports de synthèse hebdomadaires
  • Monitoring temps réel des darknets via outils scraping

Reste humain

  • Interprétation contextuelle des campagnes d’attaque
  • Analyse des techniques APT zero-day
  • Décision sur la priorisation et réponse aux menaces
  • Communication avec les équipes métier et RSSI
  • Construction de la stratégie de threat intelligence

Compétences clés

Analyse de données expérimentalesIntelligence artificiellePrincipes d’optimisation des coûtsBusiness Intelligence (BI) - Informatique décisionnelleApplication des méthodes de machine learning dans BIConformité réglementaireMaster mention mathématiques appliquées, statistiquePlanification stratégiqueEcrire une ou plusieurs langues étrangèresStructurer, synthétiser des informationsPréparer et animer une réunion, un groupe de travail, un atelierRéaliser un auditMettre en place des outils d’aide à la décisionProposer des pistes d’amélioration des solutionsAnalyser les indicateurs pertinents sur les tendances et les usages des clientsAssurer le suivi des chiffres de vente et réaliser le reporting associé

20 compétences ROME. Source : France Travail.

Carrière et formation

Formations RNCP

5 fiches disponibles. Top 4 :

  • RNCP35353 — Qualité, Logistique Industrielle et Organisation : Management de la tr (Niveau 6)
  • RNCP35401 — Science des données : exploration et modélisation statistique (Niveau 6)
  • RNCP35402 — Science des données : visualisation, conception d’outils décisionnels (Niveau 6)
  • RNCP35408 — Génie Électrique et Informatique Industrielle : Automatisme et Informa (Niveau 6)

Reconversion & CPF

Grille salarialeFormations 2026ReconversionGuide IA

Salaire détaillé

Voir grille junior/médiane/senior + méthodologie
NiveauMédian estiméP90 estiméBase
Junior (0-2 ans)39 200 €45 080 €0.70 × médian
Médian (3-7 ans)56 000 €64 399 €DARES+INSEE
Senior (8+ ans)70 000 €75 600 €1.25 × médian

Méthodologie : Médian = données DARES/INSEE salaires bruts annuels 2024-2025 pour le code ROME associé. Junior/Senior = extrapolations ratios standards (0.70x / 1.25x). P90 = niveau atteint par 10 % des supérieurs de la catégorie. Pour précision par expérience/secteur/région : consulter Michael Page, Robert Half, Talent.com.

Tendances 2026-2030

2026
3 675 intentions de recrutement (BMO France Travail).
2027
Eurobarometer : 21% des Français utilisent l’IA au travail, 49% craignent pour leur emploi.
2028
BPI France : 20% des PME adoptent IA générative, 35% planifient sous 12 mois.
2029
INSEE TIC : 13% du secteur adopte IA (vs 8% moyenne France).
2030
L’IA prend en charge la surveillance automatisée du dark web et la corrélation d’indicateurs, mais l’analyste en threat intelligence demeure indispensable pour l’attribution géopolitique et l’évaluation des intentions adverses.

Freins adoption IA (BPI France 2024) : 42% citent le manque de compétences, 38% citent les coûts.

Questions fréquentes & sources

L’IA va-t-elle remplacer ce métier ?
Non. Avec environ 80% des tâches exposées, le métier se réorganise autour de ce que la machine ne couvre pas : le jugement, la validation et la relation humaine.
Quel salaire pour Analyste en Threat Intelligence en 2026 ?
Médian estimé : 56 000 €/an brut. Source : France Travail (DARES et INSEE).
Quelle formation pour devenir analyste en threat intelligence ?
5 fiches RNCP disponibles (code ROME M1851). CPF + Pôle Emploi finançables. Voir la section Carrière ci-dessus.

Sources officielles

France Travail (BMO 2026)
DARES (salaires)
INSEE TIC (emploi)
France Compétences (RNCP)
CPF
Méthodologie CRISTAL-10

Metiers proches face a l IA

Analyse approfondie

Analyste en threat intelligence : fiche complète 2026

Les cyberattaques ciblées, portées par des groupes étatiques ou criminels organisés, se multiplient et deviennent plus complexes à déjouer. Les entreprises françaises, des PME stratégiques aux grandes infrastructures critiques, peinent à anticiper ces menaces évolutives. L’analyste en threat intelligence (ou CTI) est le spécialiste qui transforme le bruit numérique en renseignement actionnable pour la direction et les équipes techniques. Ce métier, en pleine expansion, ne se confond pas avec celui d’analyste SOC ou de pentester : il require une posture proactive de chasseur de menaces, appuyée sur une culture du renseignement et de la data.

Périmètre du métier et différences vs métiers proches

L’analyste en threat intelligence collecte, évalue et diffuse de l’information sur les cybermenaces pesant sur une organisation. Il travaille en amont de l’incident, contrairement à l’analyste SOC (centré sur la détection et la réponse temps réel) ou à l’expert en criminalistique (post-incident). Il se distingue aussi du pentester, concentré sur la recherche de vulnérabilités techniques, et du RSSI, qui assume une responsabilité stratégique et managériale. Le CTI analyste est un pivot entre les sources techniques (logs, flux, malware) et les décideurs : il produit des rapports de renseignement sur les acteurs, leurs tactiques et leurs cibles.

Cadre réglementaire 2026

Le métier est encadré par plusieurs textes européens et français. Le Règlement Général sur la Protection des Données (RGPD) impose des règles strictes sur la collecte et le traitement des données personnelles, ce qui limite certaines méthodes d’OSINT et de partage d’information. La directive NIS 2, transposée en droit français, renforce les obligations de cybersécurité pour les opérateurs de services essentiels et oblige à une veille proactive sur les menaces. Le AI Act (2026) classe certains outils d’analyse automatisée des menaces comme systèmes à haut risque, imposant une documentation et une supervision humaine. En France, le Code du travail encadre le droit à la déconnexion et la confidentialité des données des salariés. Selon la convention collective nationale des bureaux d’études techniques (Syntec) ou celle des télécommunications, la classification des postes et les grilles salariales sont définies sans mention d’IDCC précis.

Spécialités et sous-métiers

La threat intelligence se décline en plusieurs spécialités selon le niveau d’analyse et le public cible. Le threat intelligence stratégique s’adresse aux directions générales : il produit des rapports macro sur les risques géopolitiques, les tendances secteurs et les impacts business. Le threat intelligence opérationnelle se concentre sur les groupes d’attaquants, leurs modes opératoires et leurs infrastructures, en utilisant le framework MITRE ATT&CK. Le threat intelligence tactique est plus technique : il collecte et enrichit des indicateurs de compromission (IoC), comme des adresses IP malveillantes ou des hash de fichiers, pour les intégrer dans les outils de détection. L’OSINT (open source intelligence) est une spécialité transverse qui exploite les sources publiques (sites, forums, réseaux sociaux) pour recueillir du renseignement sans accès illicite. Enfin, l’analyste CTI généraliste, souvent présent dans les PME, cumule ces approches.

Outils et environnement technique

  • Plateformes SIEM : Splunk, QRadar, ArcSight pour la corrélation d’événements et la visualisation des menaces.
  • Plateformes TIP : MISP (Malware Information Sharing Platform) pour le partage de renseignement entre organisations, ThreatConnect ou Anomali.
  • Outils OSINT : Maltego pour la cartographie des relations, Shodan pour l’analyse des appareils connectés, TheHarvester pour la collecte d’informations.
  • Analyse de malware : VirusTotal, ANY.RUN pour le sandboxing et l’extraction d’IoC.
  • Frameworks : MITRE ATT&CK pour modéliser les tactiques et techniques, Diamond Model pour l’analyse des intrusions.
  • Langages et API : Python pour l’automatisation, les requêtes API vers des bases de menace comme AlienVault OTX ou IBM X-Force.

Grille salariale 2026

Salaires bruts annuels médians par niveau d’expérience et zone géographique (France, 2026)
Niveau d’expérienceParisRégions
Junior (0-2 ans)40 000 – 48 000 €35 000 – 42 000 €
Confirmé (3-5 ans)55 000 – 70 000 €48 000 – 60 000 €
Senior (6 ans et plus)75 000 – 95 000 €65 000 – 85 000 €

Le salaire médian France 2026 est de 50 000 € brut par an. Les primes de performance et l’intéressement peuvent ajouter 5 à 15 % selon l’entreprise. Les postes en banque, assurance et défense offrent souvent des rémunérations supérieures de 10 à 20 % par rapport aux ESN ou PME.

Formations et diplômes

La majorité des analystes en threat intelligence sont diplômés d’un bac+5 en cybersécurité, informatique ou mathématiques appliquées. Les écoles d’ingénieurs (INSA, Centrale, UTC) proposent des spécialisations en sécurité informatique. Les masters universitaires en cybersécurité, comme ceux des universités de Rennes 1, Bordeaux ou Paris-Saclay, intègrent des modules de threat intelligence. Un bac+3 (BUT informatique, licence professionnelle en sécurité) peut donner accès à des postes juniors, mais la progression vers la CTI nécessite souvent une spécialisation complémentaire. Les formations courtes AFPA ou les bootcamps en cybersécurité sont possibles pour une reconversion, mais ne suffisent pas sans expérience.

Reconversion vers ce métier

  • Analyste SOC : la passerelle la plus naturelle. La maîtrise des logs, des SIEM et de la détection d’incidents est directement transférable. Une formation complémentaire en OSINT et en analyse de groupes menace est nécessaire.
  • Journaliste ou analyste veille : les compétences en collecte d’information, en synthèse et en rédaction de rapports sont précieuses. Une spécialisation technique (Python, MITRE ATT&CK) via une formation de 6 à 12 mois permet la transition.
  • Militaire ou renseignement : les profils issus des services de renseignement (DGSE, DRSD) ou de la gendarmerie possèdent une culture de l’analyse de menace et de la discrétion. Une certification technique (GCTI, CEH) et une expérience en cybersécurité sont attendues pour intégrer le privé.

Exposition au risque IA

Avec un score d’exposition de 80 %, l’analyste en threat intelligence est fortement exposé aux impacts de l’IA générative et de l’automatisation. Les tâches de collecte et d’enrichissement d’IoC, de classification de malware ou de rédaction de rapports préliminaires peuvent être automatisées par des modèles de langage et des outils IA. En revanche, les activités à forte valeur ajoutée – validation croisée des sources, contextualisation stratégique, décision sur le niveau de risque, interaction avec les décideurs – restent difficilement automatisables. L’émergence d’attaques générées par IA (deepfakes, emails de spear-phishing ultraréalistes) accroît même la demande d’analystes capables de détecter ces menaces. Le métier évolue : l’analyste passe d’une logique d’exécution à une logique de supervision et d’interprétation des résultats fournis par les outils IA.

Marché de l’emploi

Le marché est en tension. La demande d’analystes en threat intelligence dépasse nettement l’offre, selon les enquêtes de l’APEC et de Numeum. Les secteurs les plus recruteurs sont la banque et la finance (gestion des risques), la défense et la sécurité nationale, l’énergie (notamment nucléaire et renouvelable), les télécommunications et les grandes ESN spécialisées en cybersécurité. Les start-up de la cybersécurité embauchent aussi des profils CTI pour enrichir leurs solutions. La répartition géographique est concentrée sur l’Île-de-France, mais les métropoles régionales (Lyon, Toulouse, Rennes, Nice) développent des pôles cyber dynamiques. Le télétravail, partiel ou total, est courant pour ce métier.

Certifications et labels reconnus

Principales certifications du domaine
CertificationOrganismeDomaine
GIAC GCTI (GIAC Cyber Threat Intelligence)SANS InstituteThreat intelligence opérationnelle et stratégique
GIAC GCIH (GIAC Certified Incident Handler)SANS InstituteRéponse aux incidents et detection
CISSP (Certified Information Systems Security Professional)(ISC)²Cybersécurité globale (orientation management)
CEH (Certified Ethical Hacker)EC-CouncilTest d’intrusion et connaissance des attaquants
CompTIA Security+CompTIABases de la cybersécurité
QualiopiFrance CompétencesLabel qualité des organismes de formation (si formateur)

D’autres certifications comme l’ISO 27001 (Lead Implementer) sont valorisées pour les postes à responsabilité. La certification PMP (Project Management Professional) peut être un plus pour évoluer vers la gestion de projets CTI.

Évolution de carrière

  • 3 ans : un analyste junior devient confirmé. Il maîtrise l’OSINT, les TIP et la rédaction de rapports. Il peut se spécialiser sur un secteur (finance, défense) ou une méthode (analyse de malware, simulation d’attaques).
  • 5 ans : le professionnel accède à des postes de chef de projet CTI, responsable d’une cellule renseignement ou consultant senior. Il pilote des missions pour des clients et encadre une petite équipe. Il peut aussi évoluer vers un poste de threat hunter.
  • 10 ans : les trajectoires mènent à des fonctions de RSSI adjoint, directeur de la cybersécurité (CISO) ou consultant en stratégie cyber. L’expertise en threat intelligence devient un atout pour les postes de direction : connaitre les acteurs et les tendances est clé pour arbitrer les investissements sécurité.

Perspectives du métier

L’intelligence artificielle s’intègre dans les outils CTI pour générer des alertes plus fines, mais exige une validation humaine accrue. Le partage sectoriel d’information via les ISAC se structure, permettant de mutualiser la connaissance sur les groupes menaçants, tandis que la multiplication des objets connectés et du cloud hybride ouvre de nouvelles surfaces d’attaque. La double compétence technique et juridique devient un atout indispensable, la maîtrise de l’AI Act et du RGPD étant nécessaire pour produire un renseignement exploitable en conformité. Le métier évolue vers une approche data-driven où l’analyste orchestre des pipelines de collecte automatisée et interprète les résultats pour la prise de décision.

Continuer l’exploration

Explorer

Outils

Comprendre