Aller au contenu principal
FORTEMENT EXPOSÉTECH / DIGITAL

Analyste Renseignement Menaces Informatiques

Verdict CRISTAL-10 v14.0 : Pivot

Analyste Renseignement Menaces Informatiques - métier face à l’IA en 2026
80/100 · IA

Chiffres clés 2026

46 000 €Salaire médian / an
174Offres live FT
3 675Intentions BMO 2026

Tension marché : 2.42% postes vacants (39 688 postes secteur DARES).

Source : France Travail / DARES BMO 2026 / INSEE TIC 2025. Données pack mises à jour 15 mars 2026.

Impact IA sur le métier

Automatisable par l’IA

  • Collecte automatisée de flux de threat intelligence depuis les plateformes OSINT
  • Corrélation automatique des indicateurs de compromission (IOCs) avec les logs internes
  • Génération de templates de rapports sur les campagnes de menaces détectées
  • Veille automatisée sur les CVE et vulnérabilités publiées
  • Détection de patterns suspects via apprentissage automatique sur les données de trafic

Reste humain

  • Interprétation contextuelle des alertes selon le contexte métier de l’organisation
  • Attribution des campagnes à des groupes APT spécifiques et analyse de leurs motivations
  • Communication des niveaux de risque aux décideurs non-techniques
  • Investigations approfondies sur les chaines d’attaque complexes
  • Définition des priorités de remédiation selon le risque résiduel

Compétences clés

Normes de sécuritéRègles de sécurité Informatique et TélécomsRéseaux informatiques et télécomsGestion des configurationsSystèmes d’exploitation informatiqueArchitecture webAnglais techniqueConfiguration de pare-feu et de systèmes de prévention d’intrusionAccompagner l’appropriation d’un outil par ses utilisateursCréer une documentation techniqueRéaliser un diagnostic techniqueRédiger un cahier des charges, des spécifications techniquesDéterminer des mesures correctivesStructurer, synthétiser des informationsGérer une situation d’urgenceRéaliser des études et développements informatiques

20 compétences ROME. Source : France Travail.

Carrière et formation

Formations RNCP

5 fiches disponibles. Top 4 :

  • RNCP35353 — Qualité, Logistique Industrielle et Organisation : Management de la tr (Niveau 6)
  • RNCP35401 — Science des données : exploration et modélisation statistique (Niveau 6)
  • RNCP35402 — Science des données : visualisation, conception d’outils décisionnels (Niveau 6)
  • RNCP35408 — Génie Électrique et Informatique Industrielle : Automatisme et Informa (Niveau 6)

Reconversion & CPF

Salaire détaillé

Voir grille junior/médiane/senior + méthodologie
NiveauMédian estiméP90 estiméBase
Junior (0-2 ans)32 199 €37 028 €0.70 × médian
Médian (3-7 ans)46 000 €52 899 €DARES+INSEE
Senior (8+ ans)57 500 €62 100 €1.25 × médian

Méthodologie : Médian = données DARES/INSEE salaires bruts annuels 2024-2025 pour le code ROME associé. Junior/Senior = extrapolations ratios standards (0.70x / 1.25x). P90 = niveau atteint par 10 % des supérieurs de la catégorie. Pour précision par expérience/secteur/région : consulter Michael Page, Robert Half, Talent.com.

Tendances 2026-2030

2026
3 675 intentions de recrutement (BMO France Travail).
2027
Eurobarometer : 21% des Français utilisent l’IA au travail, 49% craignent pour leur emploi.
2028
BPI France : 20% des PME adoptent IA générative, 35% planifient sous 12 mois.
2029
INSEE TIC : 13% du secteur adopte IA (vs 8% moyenne France).
2030
L’analyste en renseignement sur les menaces informatiques délègue à l’IA la collecte et la corrélation d’indicateurs, mais conserve l’interprétation stratégique, la lecture géopolitique des acteurs et l’évaluation des risques pour son organisation.

Freins adoption IA (BPI France 2024) : 42% citent le manque de compétences, 38% citent les coûts.

Questions fréquentes & sources

L’IA va-t-elle remplacer ce métier ?
Non. Avec environ 80.0% des tâches exposées, le métier se réorganise autour de ce que la machine ne couvre pas : le jugement, la validation et la relation humaine.
Quel salaire pour Analyste Renseignement Menaces Informatiques en 2026 ?
Médian estimé : 46 000 €/an brut. Source : France Travail (DARES et INSEE).
Quelle formation pour devenir analyste renseignement menaces informatiques ?
5 fiches RNCP disponibles (code ROME M1844). CPF + Pôle Emploi finançables. Voir la section Carrière ci-dessus.

Sources officielles

Metiers proches face a l IA

Analyse approfondie

Analyste renseignement menaces informatiques : fiche complète 2026

Les cyberattaques deviennent plus ciblées et sophistiquées. Les entreprises subissent des attaques furtives qui contournent les défenses traditionnelles. L’analyste en renseignement sur les menaces informatiques (Threat Intelligence Analyst) émerge comme un rempart stratégique. Ce spécialiste collecte, corrèle et interprète des signaux faibles pour anticiper les attaques. Son rôle dépasse la simple réaction : il devient un pivot entre données techniques et décisions de sécurité. En 2026, ce métier illustre le paradoxe de l’IA : automatisé sur les tâches lourdes, mais plus humain que jamais dans l’analyse contextuelle.

Périmètre du métier et différences vs métiers proches

L’analyste renseignement ne se confond pas avec un analyste SOC (Security Operations Center). Le SOC chasse les incidents en temps réel dans les logs et alertes. L’analyste CTI (Cyber Threat Intelligence) travaille en amont : il étudie les groupes d’attaquants, leurs techniques (TTPs), leurs infrastructures et leurs motivations. Il produit des rapports d’intelligence pour orienter les défenses. Différence clé avec le Threat Hunter : le hunter fouille activement le réseau pour y débusquer des compromissions déjà présentes. L’analyste CTI lui fournit les indicateurs de compromission (IoC) et les scénarios d’attaque probables. Le chercheur en vulnérabilités (bug bounty) décortique le code applicatif. L’analyste CTI, lui, opère à un niveau plus macroscopique : il cartographie l’écosystème des menaces. Ce métier combine une dimension technique solide (analyse de malware, OSINT, renseignement de sources ouvertes) et une capacité rédactionnelle forte. Les livrables sont des notes d’intelligence, des fiches de menace, des briefings pour la direction. L’analyste CTI travaille souvent en mode projet avec les équipes SOC, les architectes sécurité et le RSSI.

Cadre réglementaire 2026

Le paysage normatif impose aux entreprises de connaître leurs menaces. L’AI Act européen classe les outils de cybersécurité en catégorie de risque. Un analyste CTI manipulant des systèmes d’IA pour le renseignement doit évaluer leur robustesse et leurs biais. Le RGPD continue d’encadrer la collecte et le traitement des données personnelles, y compris issues de sources OSINT. L’analyste doit anonymiser ses sources lorsqu’elles contiennent des données à caractère personnel. NIS 2 (Network and Information Security 2) étend les obligations de signalement et de cartographie des risques aux secteurs critiques. L’analyste CTI fournit les éléments probants pour démontrer une veille proactive. La CSRD (Corporate Sustainability Reporting Directive) intègre désormais la résilience cyber dans le reporting extra-financier. Le Code du travail impose à l’employeur d’assurer la sécurité des données traitées ; l’analyste CTI manipulant des sources sensibles relève de cette responsabilité. La convention collective applicable dépend du secteur : métallurgie (UIMM) pour l’industrie, Syntec pour le conseil et les SSII, ou convention collective des télécommunications. Aucun texte spécifique ne régit encore le titre d’analyste CTI. Le secret professionnel et la discrétion sont des obligations contractuelles fortes.
Cadrage réglementaire applicable à l’analyste CTI en 2026
RéglementationImpact sur le métierConséquence pratique
AI Act 2026Classification des outils de Threat Intelligence utilisant l’IAAudit des biais et traçabilité des décisions automatisées
RGPDEncadrement de la collecte OSINT contenant des données personnellesAnonymisation stricte des sources, registre des traitements
NIS 2Obligation de veille proactive sur les fournisseurs et partenairesProduction de fiches menace pour la chaîne d’approvisionnement
CSRDReporting de résilience cyber dans le rapport de durabilitéRédaction d’indicateurs CTI pour le comité de direction
Code du travailProtection des données traitées par l’analysteChiffrement des livrables, gestion des habilitations

Spécialités et sous-métiers

La Threat Intelligence se décline en plusieurs branches. Le spécialiste en renseignement géopolitique cyber suit les tensions internationales, les groupes parrainés par des États, les conflits hybrides. Il travaille avec des sources en langues étrangères et produit des notes de contexte pour les directions. L’analyste en intelligence de la menace interne (Insider Threat) se concentre sur les risques venant des collaborateurs, sous-traitants ou partenaires. Il croise des données comportementales, des accès anormaux et des fuites. Cette spécialité exige une approche fine du droit du travail et du RGPD. Le reverser (reverse engineering de malware) analyse les échantillons collectés pour extraire des indicateurs et comprendre les techniques adverses. Il travaille dans des sandbox et produit des règles de détection (YARA, Sigma). C’est la spécialité la plus technique. L’analyste OSINT mène des enquêtes à partir de sources ouvertes : forums, réseaux sociaux, sites du dark web, registres d’entreprises. Il cartographie les infrastructures adverses et les fuites de données. Cette branche nécessite une maîtrise des outils d’investigation et une connaissance des limites légales. Enfin, le consultant en Threat Intelligence intervient en mission pour des clients multiples. Il réalise des audits de maturité, des exercices de simulation (tabletops) et des programmes de renforcement des capacités.

Outils et environnement technique

L’analyste CTI utilise une palette d’outils spécialisés. Les plateformes de Threat Intelligence (TI Platform) agrègent des flux de données : compromissions, adresses IP malveillantes, hashs de malwares. Les solutions de type MISP (Malware Information Sharing Platform) permettent le partage structuré d’indicateurs au sein de communautés de confiance. Les moteurs de recherche spécialisés comme Shodan ou Censys cartographient les appareils connectés exposés. Les services de VirusTotal ou AlienVault OTX fournissent une base communautaire de signatures. Les outils d’OSINT automatisés (TheHarvester, SpiderFoot) collectent des données sur les périmètres cibles. L’environnement technique inclut aussi des SIEM (Splunk, Elastic Security) pour corréler les indicateurs avec les logs internes. Les solutions EDR (CrowdStrike, SentinelOne) aident à valider les hypothèses de compromission. L’analyste manipule régulièrement du Python pour automatiser des collectes ou parser des flux. La veille se fait via des lecteurs RSS, des flux Telegram spécialisés, des listes de diffusion. L’infrastructure de travail nécessite une machine isolée (VM) pour ouvrir des échantillons suspects. Le cloud (AWS, Azure, Google Cloud) est utilisé pour déployer des collecteurs et stocker les données d’intelligence.

Grille salariale 2026

Les rémunérations reflètent la tension sur ce profil pointu. Un analyste junior (0-2 ans d’expérience) perçoit entre 38 000 et 45 000 euros brut par an en région, contre 42 000 à 50 000 euros à Paris. Le salaire médian national de 55 000 euros correspond au profil confirmé (3-6 ans). Un analyste senior (7 ans et plus) atteint 65 000 à 80 000 euros en fonction de l’expertise (reverse engineering, spécialisation secteur critique). Les postes de responsable Threat Intelligence ou de chef de piste grimpent jusqu’à 95 000 euros. Les missions de conseil en cabinet benchmarkent autour de 600 à 900 euros par jour. Les primes variables restent modestes (5 à 10 % du fixe) sauf dans les grands groupes bancaires ou les opérateurs d’importance vitale (OIV) où l’intéressement peut atteindre 15 %. Le télétravail partiel et le budget formation sont des éléments de négociation fréquents.
Grille salariale indicative pour un poste d’analyste CTI en 2026
NiveauParis et Île-de-FranceRégionsStatut
Junior (0-2 ans)42 000 – 50 000 €38 000 – 45 000 €Cadre ou assimilé
Confirmé (3-6 ans)55 000 – 65 000 €50 000 – 60 000 €Cadre
Senior (7+ ans)65 000 – 80 000 €60 000 – 75 000 €Cadre supérieur
Responsable / Lead80 000 – 95 000 €75 000 – 90 000 €Cadre dirigeant

Formations et diplômes

Aucun diplôme unique ne mène à ce métier. Les profils viennent majoritairement de formations en cybersécurité, informatique ou systèmes d’information. Un bac+2 (BTS SIO option SISR, BTS CIEL) constitue un socle technique, mais le poste exige un niveau bac+5 pour les responsabilités. Les masters spécialisés en cybersécurité (universités, écoles d’ingénieurs) intègrent des modules de Threat Intelligence. Les écoles du numérique (EPITECH, ESGI, 42) proposent des cursus avec des projets concrets de renseignement. Les formations continues de l’AFPA ou du CNAM offrent des titres professionnels en cybersécurité. Les diplômes d’écoles de commerce ou de sciences politiques avec une spécialisation cyber sont appréciés pour les profils tournés vers la géopolitique. La double compétence (droit + cyber ou langues + cyber) devient un atout distinctif. Les stages et alternances en SOC ou en équipe CTI restent le meilleur sésame pour l’embauche.

Reconversion vers ce métier

La formation continue et les certifications permettent une reconversion en 12 à 24 mois. Trois profils sources se distinguent :
  • Analyste SOC ou administrateur sécurité : ces professionnels maîtrisent déjà les logs, les alertes et les fondamentaux de la détection. Ils doivent approfondir la veille proactive, la rédaction de notes d’intelligence et la connaissance des groupes adverses. Formation courte en Threat Intelligence (plusieurs mois en centre ou à distance).
  • Journaliste ou analyste géopolitique : leur compétence en recherche, analyse de sources et synthèse est directement transférable. Ils doivent acquérir les bases techniques : OSINT avancé, compréhension des protocoles réseau, analyse de malwares. Une remise à niveau technique de 6 mois est nécessaire.
  • Officier de renseignement ou militaire en reconversion : ils possèdent la méthodologie d’analyse, la discrétion et la résistance au stress. Ils doivent se former aux outils cyber, au droit du travail et au contexte réglementaire. Un stage de 6 à 12 mois en entreprise permet la transition.
Les dispositifs comme le CPF (Compte Personnel de Formation) ou les POE (Préparation Opérationnelle à l’Emploi) financent ces parcours. Les écoles de reconversion certifiantes (OpenClassrooms, Jedha, Le Wagon) proposent des bootcamps orientés Threat Intelligence.

Exposition au risque IA

Le score CRISTAL-10 de 80 % place l’analyste CTI parmi les métiers à forte exposition. L’IA automatise déjà une partie des tâches répétitives : collecte de données, classification d’indicateurs, génération de rapports préliminaires. Les outils de Threat Intelligence intègrent du machine learning pour détecter des motifs d’attaque dans des volumes massifs de données. Cependant, l’analyse de l’intention adverse, la contextualisation géopolitique et la rédaction de recommandations stratégiques restent difficilement automatisables. L’IA produit des faux positifs que seul un analyste humain peut filtrer avec son expérience. La capacité à mettre en récit les menaces pour la direction et à animer des exercices de crise demeure une valeur ajoutée humaine. Le risque réside dans la standardisation : les tâches de niveau 1 (collecte et agrégation) pourraient disparaître d’ici 2028. Les analystes juniors doivent donc monter rapidement en compétence vers l’analyse et le conseil. L’IA devient un assistant puissant, pas un remplacement total.

Marché de l’emploi

Le marché est en tension forte. Les entreprises de toutes tailles cherchent à anticiper les attaques, pas seulement à les subir. Les secteurs les plus demandeurs sont la défense, la banque-assurance, l’énergie, les télécommunications et les opérateurs d’importance vitale. Les cabinets de conseil en cybersécurité recrutent massivement des profils CTI pour leurs missions. La demande dépasse l’offre de candidats. Les analystes CTI confirmés reçoivent plusieurs sollicitations par mois. Les offres d’emploi mentionnent de plus en plus ce titre, alors qu’il était quasi absent il y a cinq ans. Les régions qui concentrent l’emploi sont l’Île-de-France, la région bordelaise et la métropole lyonnaise, mais le télétravail élargit les possibilités. Le marché des indépendants et des consultants est actif. Les analystes freelances facturent entre 500 et 800 euros par jour en fonction de leur réputation. Les missions d’audit de maturité CTI et de renforcement d’équipe sont les plus courantes. La rareté des compétences garantit une employabilité élevée à moyen terme.

Certifications et labels reconnus

Les certifications techniques et méthodologiques sont un passage obligé pour crédibiliser son profil :
  • CISSP (Certified Information Systems Security Professional) : certification large en sécurité de l’information, reconnue mondialement. Exige 5 ans d’expérience.
  • CISM (Certified Information Security Manager) : orientée gestion et gouvernance, utile pour évoluer vers le management.
  • OSCP (Offensive Security Certified Professional) : très technique, axée sur le test d’intrusion, elle démontre une compréhension fine des attaques.
  • SANS GIAC (Global Information Assurance Certification) : plusieurs certifications spécifiques à la Threat Intelligence (GCTI, GCIH, GPEN). Très reconnues dans le domaine.
  • CompTIA Security+ : certification d’entrée, utile pour les juniors ou les personnes en reconversion.
  • Certifications OSINT : proposées par des organismes comme le SANS ou des formations privées, elles valident les compétences d’investigation en sources ouvertes.
Les labels de formation (Qualiopi) garantissent la qualité des cursus de reconversion. Les certifications ISO 27001 (management de la sécurité de l’information) sont un plus pour les postes en conformité.

Évolution de carrière

La progression suit plusieurs trajectoires. À 3 ans, l’analyste CTI peut devenir référent sur une spécialité (géopolitique, malware, OSINT) ou prendre la responsabilité d’une petite équipe. À 5 ans, il évolue vers un poste de responsable du renseignement menace (Threat Intelligence Lead) ou d’architecte sécurité en charge de la détection. À 10 ans, les possibilités incluent directeur de la cybersécurité (CISO) dans une ETI, ou associé dans un cabinet de conseil spécialisé. Certains rejoignent les agences étatiques (ANSSI, ministères) ou des organisations internationales. La polyvalence et la capacité à parler aux directions générales sont des facteurs clés de progression. Les passerelles vers l’enseignement et la formation sont fréquentes : les analystes seniors animent des modules de Threat Intelligence dans des écoles ou des formations continues. La recherche en cybersécurité (laboratoires académiques, centres R&D) est également une voie possible.

Perspectives du métier

Le renseignement sur les attaques de la chaîne d’approvisionnement explose, les entreprises devant connaître les faiblesses de leurs partenaires et sous-traitants. L’IA générative sert aux deux camps, les attaquants l’utilisant pour produire des spear-phishing plus crédibles et des malwares adaptatifs, tandis que les défenseurs l’emploient pour accélérer la rédaction de rapports et la génération de règles de détection. La régulation pousse à plus de transparence, et les analystes capables de traduire des signaux techniques en impact business sont les plus recherchés. Le manque de talents reste structurel, et la guerre entre secteurs public et privé s’intensifie avec des dispositifs de formation accélérée et des passerelles depuis l’armée.