Threat intelligence

La threat intelligence (en français : renseignement sur les menaces), également désignée par le terme cyber threat intelligence (CTI), est un ensemble structuré de connaissances portant sur les cybermenaces actuelles et potentielles, destiné à informer et orienter les décisions de défense des organisations. Elle repose sur la collecte, le traitement et l'analyse d'informations relatives aux tactiques, techniques et procédures des acteurs malveillants, aux indicateurs de compromission et aux vulnérabilités activement exploitées. Intégrée aux processus de cybersécurité, la threat intelligence transforme des données brutes en renseignement actionnable, permettant aux équipes de sécurité d'anticiper les attaques plutôt que de simplement y réagir.

La threat intelligence se distingue des données brutes de sécurité par son caractère actionnable : une adresse IP suspecte ou un hachage de fichier malveillant ne constituent que des données ; elles deviennent du renseignement lorsqu'elles sont contextualisées, attribuées à un groupe d'attaquants identifié et mises en relation avec des secteurs ciblés et des modes opératoires documentés.

La notion de renseignement est empruntée aux domaines militaire et gouvernemental. Le cycle classique — planification, collecte, traitement, analyse, diffusion, retour d'expérience — s'y applique directement. Ce cycle garantit que les informations produites répondent à des besoins définis plutôt qu'à une collecte opportuniste.

Les sources de threat intelligence se répartissent en trois catégories principales :

• Sources ouvertes (OSINT) : forums de sécurité, bases de données publiques de vulnérabilités (NVD, CVE), rapports d'éditeurs, réseaux sociaux, dark web indexé ;
• Sources fermées : flux commerciaux d'éditeurs spécialisés (Recorded Future, Mandiant, CrowdStrike), cercles de partage inter-organisationnel sous accord de confidentialité ;
• Sources internes : journaux système, alertes SIEM, rapports d'incidents passés, analyses post-mortem.

L'intelligence stratégique s'adresse aux décideurs : RSSI, direction générale, conseil d'administration. Elle décrit les tendances de long terme — évolution du paysage des menaces, géopolitique cyber, secteurs les plus ciblés, motivations des groupes d'attaquants (espionnage étatique, cybercriminalité financière, hacktivisme, sabotage). Son horizon temporel est de plusieurs mois à plusieurs années. Un rapport annuel sur les campagnes d'espionnage ciblant la chaîne d'approvisionnement d'un secteur industriel en constitue un exemple typique.

L'intelligence opérationnelle concerne les campagnes d'attaque en cours ou imminentes : objectifs des attaquants, calendrier probable, cibles identifiées au sein d'un secteur ou d'une région géographique. Destinée aux responsables des opérations de sécurité et aux équipes SOC, son horizon temporel est de quelques jours à quelques semaines.

L'intelligence tactique décrit les tactiques, techniques et procédures (TTP) des acteurs malveillants : vecteurs d'intrusion initiaux, techniques de persistance, méthodes de mouvement latéral, outils d'exfiltration. Ce type de renseignement alimente directement les règles de détection et les procédures de réponse aux incidents.

L'intelligence technique est la plus granulaire : adresses IP et plages CIDR malveillantes, noms de domaine compromis, hachages de fichiers (MD5, SHA-256, SHA-1), URLs de serveurs de commande et contrôle (C2), signatures YARA de maliciels. Ces indicateurs de compromission (IoC) sont directement intégrables dans les outils de détection automatique (pare-feu, EDR, SIEM).

Le cycle de renseignement sur les menaces comprend six étapes interdépendantes :

1. Planification et orientation : définition des besoins de renseignement (intelligence requirements) en collaboration avec les parties prenantes — quelles menaces surveiller, quels acteurs cibler, quels secteurs prioriser ;
2. Collecte : agrégation de données depuis les sources internes, les flux commerciaux et les sources ouvertes ;
3. Traitement : normalisation, déduplication, translittération et structuration des données brutes dans des formats exploitables ;
4. Analyse : interprétation des données pour produire du renseignement contextualisé, attribution probable, évaluation du niveau de confiance ;
5. Diffusion : transmission du renseignement aux destinataires appropriés sous un format adapté à leur niveau (rapport stratégique pour la direction, flux d'IoC pour le SOC) ;
6. Retour d'expérience : évaluation de la pertinence et de l'exactitude du renseignement produit pour affiner les besoins et améliorer le cycle suivant.

L'interopérabilité entre organisations repose sur des standards ouverts :

• STIX/TAXII (Structured Threat Information eXpression / Trusted Automated eXchange of Intelligence Information) : standard JSON développé initialement par MITRE Corporation et standardisé par l'OASIS depuis 2017. STIX 2.1 (publié en 2021) définit des objets typés (acteur, campagne, indicateur, maliciel, infrastructure, relation) et leurs propriétés ; TAXII 2.1 est le protocole de transport HTTP/S associé.
• OpenIOC : format XML créé par Mandiant en 2010, orienté indicateurs de compromission.
• MISP (Malware Information Sharing Platform) : logiciel open source de partage développé par le CIRCL luxembourgeois, déployé par des centaines d'organisations dont l'ANSSI et Europol.
• YARA : langage de règles pour la description et la détection de familles de maliciels, maintenu par VirusTotal (filiale Google).

Comparaison des principaux standards de threat intelligence

Standard	Format	Portée principale	Gouvernance
STIX 2.1	JSON	Tactique, technique, stratégique	OASIS
OpenIOC	XML	Technique (IoC)	Open (ex-Mandiant)
MISP	JSON	Tactique et technique	CIRCL / open source
YARA	Règles texte	Technique (maliciels)	VirusTotal / open source

MITRE ATT&CK est une base de connaissances structurée des tactiques et techniques adversariales, publiée et maintenue par MITRE Corporation depuis 2013. Organisée en matrices (Enterprise, Mobile, ICS/OT), elle recense en 2024 plus de 200 techniques et 400 sous-techniques pour la seule matrice Enterprise. Elle est devenue le référentiel de facto pour décrire, modéliser et partager les TTP, et s'interface avec la majorité des plateformes de threat intelligence et des SIEM du marché.

Une Threat Intelligence Platform (TIP) est un logiciel centralisant la collecte, l'agrégation, l'enrichissement et la diffusion de renseignements sur les menaces. Les TIP ingèrent des flux (feeds) depuis des sources multiples, les dédupliquent et les exposent via des API vers les outils de sécurité opérationnels (SIEM, pare-feu, EDR). En 2022, MarketsandMarkets estimait le marché mondial des TIP à 392 millions de dollars, avec une croissance annuelle composée projetée à 15,4 % jusqu'en 2027.

Parmi les solutions répandues figurent Anomali ThreatStream, Recorded Future Intelligence Cloud, ThreatConnect, OpenCTI (open source, co-développé par l'ANSSI et la société Filigran) et MISP.

Les Information Sharing and Analysis Centers (ISAC) sont des organisations sectorielles créées aux États-Unis à partir de 1998 (Presidential Decision Directive PDD-63 du 22 mai 1998) pour structurer le partage de CTI entre acteurs d'un même secteur critique (finance, énergie, santé, transport, télécommunications). En 2024, on dénombre 27 ISAC sectoriels actifs aux États-Unis. Leur équivalent plus souple, les Information Sharing and Analysis Organizations (ISAO), introduits par décret exécutif en 2015, ne sont pas liés à un secteur spécifique.

En Europe, la directive NIS2 (2022/2555) encourage le partage d'information entre les entités essentielles et les autorités nationales, en particulier les CSIRT nationaux.

En France, le CERT-FR, rattaché à l'ANSSI, publie des bulletins d'alerte et des rapports de CTI à destination des opérateurs d'importance vitale (OIV), des opérateurs de services essentiels (OSE) et des entités essentielles au sens de la NIS2. L'ANSSI produit également des rapports d'attribution publics sur des groupes APT ciblant des intérêts français — notamment le rapport sur le groupe SANDWORM publié en octobre 2021, qui lui attribuait des campagnes d'intrusion contre des entités françaises liées à des services centraux du gouvernement russe.

Le Traffic Light Protocol (TLP) est un schéma de marquage à quatre niveaux définissant la diffusion autorisée d'un renseignement partagé :

• TLP:RED : destinataires nominatifs uniquement, pas de rediffusion ;
• TLP:AMBER : organisation du destinataire et partenaires ayant besoin d'en connaître ;
• TLP:GREEN : communauté de confiance élargie, pas de diffusion publique ;
• TLP:CLEAR : diffusion sans restriction.

Maintenu par le FIRST (Forum of Incident Response and Security Teams), le TLP a atteint la version 2.0 en octobre 2022, qui clarifie notamment la portée de TLP:AMBER+STRICT.

Les SOC constituent le principal point de consommation de threat intelligence technique et opérationnelle. Les analystes de niveaux 2 et 3 enrichissent les alertes générées par le SIEM avec les flux d'IoC, réduisant les faux positifs et accélérant la qualification des incidents. La corrélation entre un IoC (adresse C2 connue) et un événement réseau interne permet de passer rapidement d'une alerte générique à un incident qualifié avec contexte d'attribuabilité.

Durant une réponse à un incident, la threat intelligence permet d'attribuer l'attaque à un groupe connu par recoupement des TTP observées avec les profils documentés dans MITRE ATT&CK, d'anticiper les mouvements latéraux probables et d'identifier des indicateurs additionnels non encore détectés dans le périmètre compromis. L'attribution reste probabiliste : un niveau de confiance (faible, modéré, élevé) doit accompagner toute hypothèse d'attribution, conformément aux standards analytiques du renseignement.

Les équipes red team et les testeurs d'intrusion s'appuient sur la threat intelligence pour construire des scénarios réalistes calqués sur les groupes les plus susceptibles de cibler l'organisation auditée (approche threat-informed defense). Cette méthode est formalisée dans le cadre TIBER-EU de la Banque centrale européenne et est rendue obligatoire par le règlement DORA pour les entités financières systémiques via les tests de pénétration guidés par la menace (TLPT, article 26).

La gestion des vulnérabilités bénéficie de la threat intelligence pour prioriser les correctifs au-delà du seul score CVSS. Une vulnérabilité de score CVSS 9.8 sans exploitation active dans la nature est moins urgente à court terme qu'une vulnérabilité CVSS 6.5 intégrée dans des kits d'exploitation ciblant activement le secteur de l'organisation. Des bases complémentaires telles que CISA KEV (Known Exploited Vulnerabilities Catalog, lancé en novembre 2021) et l'Exploit Prediction Scoring System (EPSS) agrègent ce signal de menace réelle.

L'Audit de cybersécurité s'appuie sur la threat intelligence pour contextualiser les constats : une faiblesse de configuration présente un niveau de risque différent selon qu'elle correspond à une technique activement exploitée par des groupes ciblant l'organisation ou qu'elle reste de nature théorique.

L'essor de l'intelligence artificielle en cybersécurité transforme la production de threat intelligence. Les modèles de traitement automatique du langage naturel (NLP) automatisent la collecte OSINT sur des sources non structurées : forums clandestins, rapports PDF d'éditeurs, fils de discussion en langue étrangère. Les graphes de connaissances permettent de visualiser les relations entre acteurs, infrastructures et campagnes à une échelle inaccessible manuellement.

En parallèle, les groupes APT et les acteurs cybercriminels utilisent eux-mêmes l'IA pour accélérer leurs opérations — génération de leurres de hameçonnage ciblés, automatisation de la reconnaissance, contournement de détections basées sur des signatures —, ce qui renforce la nécessité d'une threat intelligence actualisée en quasi-temps réel.

Plusieurs cadres créent des obligations directes ou indirectes en matière de threat intelligence :

• Directive NIS2 (directive UE 2022/2555, transposée en France par la loi du 26 juin 2024) : impose aux entités essentielles et importantes des capacités de veille sur les menaces et de partage d'information avec les autorités nationales compétentes.
• DORA (règlement UE 2022/2554, applicable depuis le 17 janvier 2025) : exige des entités financières un programme de threat intelligence intégré (article 13) et des tests de pénétration guidés par la menace pour les entités désignées comme significatives (article 26).
• ISO/IEC 27001 (édition 2022) : l'annexe A.5.7 introduit explicitement le Threat Intelligence comme contrôle requis — première occurrence dans l'histoire de la norme, absente des éditions 2005 et 2013.
• ISO/IEC 27035 : norme de gestion des incidents de sécurité dont les phases de détection et d'évaluation intègrent l'usage de renseignements sur les menaces.
• NIST Cybersecurity Framework (CSF 2.0, publié le 26 février 2024) : la fonction Identify (ID.RA — Risk Assessment) inclut une référence explicite aux flux de renseignement sur les menaces comme contribution à l'évaluation des risques.
• Cyber Resilience Act (règlement UE 2024/2847, entré en vigueur en décembre 2024) : impose aux fabricants de produits numériques des obligations de surveillance des vulnérabilités et de remontée d'incidents aux CSIRT nationaux, ce qui implique une capacité de veille sur les menaces affectant leurs composants.

Les spécialistes de la threat intelligence s'inscrivent dans le périmètre de l'ingénierie en cybersécurité et de la fonction de responsable de la sécurité des systèmes d'information (RSSI). La gestion des risques informatiques constitue un domaine de compétence adjacent fondamental.

Les postes typiques du domaine incluent :

• Analyste CTI (junior, confirmé, senior) : collecte, traitement et production de rapports de renseignement ;
• Threat hunter : recherche proactive d'intrusions non détectées dans le système d'information, à partir d'hypothèses formulées sur la base des TTP connues ;
• Intelligence engineer : développement et maintenance des pipelines d'ingestion de données, intégration des TIP avec le SIEM et l'EDR.

Les certifications reconnues du domaine comprennent :

• CISSP (Certified Information Systems Security Professional, ISC²) : le domaine 1 couvre la gestion des risques incluant la veille sur les menaces ;
• GIAC Cyber Threat Intelligence (GCTI, SANS Institute) : certification spécifique CTI créée en 2018 ;
• Certified Threat Intelligence Analyst (CTIA, EC-Council) ;
• CREST Certified Threat Intelligence Manager (CCTIM).

En France, des formations universitaires labellisées SecNumedu par l'ANSSI intègrent des modules de threat intelligence dans leurs parcours de master en cybersécurité. Le référentiel européen ENISA pour les profils cyber (ECSF, 2022) identifie le Cyber Threat Intelligence Specialist comme l'un des 12 profils de référence.

• Cybersécurité
• SOC (Security Operations Center)
• SIEM (informatique)
• Réponse aux incidents de sécurité
• Indicateur de compromission
• Gestion des vulnérabilités
• ANSSI
• CERT-FR
• Directive NIS2
• ISO/IEC 27001
• MITRE ATT&CK
• Threat Intelligence Platform