Qu’est-ce que la threat intelligence ?
La threat intelligence — ou CTI, Cyber Threat Intelligence — est la discipline qui consiste à collecter, traiter, analyser et diffuser des informations sur les menaces cyber. L’objectif n’est pas d’accumuler des données brutes, mais de produire du renseignement actionnable : des informations qui permettent de prendre de meilleures décisions de sécurité.
La nuance avec un simple scan de vulnérabilités ou une veille technologique est significative. Un scanner identifie les failles techniques dans vos systèmes. La threat intelligence vous dit qui exploite ces failles, comment, pourquoi, et contre qui. Elle ajoute le contexte de la menace à la connaissance technique.
Le cycle du renseignement
La threat intelligence suit un cycle structuré en cinq phases, hérité du renseignement militaire :
- Orientation — Définir les besoins : quelles menaces viser ? Pour une PME : quels types d’attaques ciblent mon secteur ?
- Collecte — Rassembler les données : bulletins du CERT-FR, flux de menaces, rapports d’éditeurs, logs internes
- Traitement — Normaliser et structurer les données brutes (dédoublonnage, enrichissement, mise en contexte)
- Analyse — Transformer les données en renseignement : identifier les tendances, les acteurs, évaluer la pertinence pour votre organisation
- Diffusion — Distribuer au bon format : rapport de tendances pour la direction, indicateurs techniques pour l’équipe IT, scénarios mis à jour pour la sensibilisation
Ce cycle tourne en continu. Chaque incident, chaque alerte du CERT-FR relance la boucle.
Les trois niveaux de threat intelligence
La CTI se décompose en trois niveaux, chacun adressant un public et un besoin différents.
CTI stratégique — pour la direction
La CTI stratégique fournit une vision macro des menaces. Elle répond aux questions de la direction et du RSSI : quels sont les risques majeurs pour notre secteur ? Comment les menaces évoluent-elles ? Où investir le budget sécurité ?
Format : rapports de tendances, analyses sectorielles, panoramas de la menace. Sources : le Panorama de la cybermenace publié annuellement par l’ANSSI, les rapports annuels de Mandiant et CrowdStrike, les études sectorielles des ISAC (Information Sharing and Analysis Centers). Exemple concret : le panorama ANSSI 2024 indique que les PME et ETI représentent 34 % des victimes de ransomware signalées en France. Ce chiffre justifie un investissement dans la protection endpoint et la sensibilisation pour une PME de 100 salariés.
CTI tactique — pour les équipes sécurité
La CTI tactique décrit les TTP (Tactics, Techniques and Procedures) des attaquants. Elle répond aux questions des responsables sécurité : comment les attaquants procèdent-ils ? Quels vecteurs utilisent-ils ? Comment ajuster nos défenses ?
Format : analyses de campagnes, fiches de tactiques d’attaque, cartographies MITRE ATT&CK. Sources : le framework MITRE ATT&CK (plus de 200 techniques cataloguées), les analyses de campagnes des éditeurs, les retours d’expérience post-incident. Exemple concret : une analyse révèle qu’un groupe ciblant l’industrie française utilise des emails de spear phishing avec des pièces jointes OneNote piégées (et non des macros Word, désactivées par défaut depuis 2022). L’équipe sécurité ajuste le filtrage email et les scénarios de sensibilisation.
CTI opérationnelle — pour le SOC et les outils de détection
La CTI opérationnelle fournit des indicateurs de compromission (IOC) directement exploitables par les outils de sécurité : SIEM, EDR, firewall, passerelle email.
Format : listes d’IOC (adresses IP, domaines, hashes de fichiers), règles de détection, signatures.
Sources : flux de threat intelligence (threat feeds), plateformes de partage comme MISP ou AlienVault OTX, bulletins techniques du CERT-FR.
Exemple concret : un threat feed signale une campagne de phishing utilisant le domaine microsoft-security-update[.]com. Le SOC injecte cet indicateur dans le SIEM et le proxy web. Tout accès vers ce domaine depuis le réseau de l’entreprise déclenche une alerte immédiate.
Sources de threat intelligence accessibles aux PME
Bonne nouvelle pour les PME : une part significative de la threat intelligence est accessible gratuitement. Les sources payantes apportent du contexte et de l’automatisation supplémentaires, mais les fondamentaux sont ouverts.
Sources gratuites
CERT-FR — Le CERT rattaché à l’ANSSI publie des alertes de sécurité, des avis sur les vulnérabilités et des bulletins d’information sur les menaces actives en France. Inscription gratuite aux flux RSS et à la liste de diffusion. C’est la première source à suivre pour toute organisation française.
ANSSI — cyber.gouv.fr — L’ANSSI publie des guides sectoriels, le Panorama annuel de la cybermenace, et des alertes ciblées lors de campagnes majeures. Webinaires de sensibilisation accessibles aux PME.
MITRE ATT&CK — Matrice de référence cataloguant les tactiques et techniques d’attaque, avec exemples réels et recommandations de détection. Gratuit et mis à jour régulièrement.
AlienVault OTX (Open Threat Exchange) — Plateforme communautaire de partage d’indicateurs de compromission. Les analystes du monde entier publient des IOC liés à des campagnes actives. Gratuit après inscription.
Abuse.ch — Projets communautaires trackant les menaces actives : URLhaus (URLs de distribution de malware), MalwareBazaar (samples), ThreatFox (IOC). Données librement accessibles.
Sources commerciales et sectorielles
Les plateformes commerciales — Recorded Future, Mandiant Advantage (Google Cloud), CrowdStrike Falcon Intelligence — apportent un contexte enrichi, des scores de risque et une automatisation que les sources gratuites n’offrent pas. Elles sont surtout pertinentes pour les entreprises disposant d’un SOC ou d’un service MDR capable d’exploiter ces flux.
Les ISAC (Information Sharing and Analysis Centers) organisent le partage de renseignements entre entreprises d’un même secteur. En Europe, des initiatives existent pour la finance (FS-ISAC), l’énergie et les télécommunications. En France, l’ANSSI anime des échanges sectoriels dans le cadre des groupes de travail NIS2.
Threat intelligence et phishing
La threat intelligence et la lutte contre le phishing sont étroitement liées. Le phishing reste le premier vecteur d’accès initial aux systèmes d’information — et la threat intelligence permet de comprendre comment les campagnes de phishing évoluent pour adapter les défenses.
Alimenter les simulations avec la CTI
Une simulation de phishing n’est efficace que si elle reproduit des scénarios réalistes. La threat intelligence fournit exactement cette matière :
- Prétextes actuels — La CTI identifie les prétextes utilisés dans les campagnes en cours : faux avis de livraison, usurpation de l’administration fiscale, alertes de sécurité Microsoft, factures de fournisseurs. Les scénarios de simulation s’appuient sur ces données pour refléter les vraies menaces.
- Techniques d’usurpation — La CTI documente les techniques déployées : domaines de typosquatting, kits de phishing AiTM (Adversary-in-the-Middle) capables de contourner le MFA, utilisation de QR codes (quishing). Les simulations intègrent ces techniques pour préparer les collaborateurs aux attaques réelles.
- Ciblage sectoriel — Certaines campagnes ciblent des secteurs précis. La CTI stratégique permet d’identifier si votre secteur fait l’objet d’une campagne active et d’intensifier la sensibilisation au bon moment.
Chez nophi.sh, les scénarios de simulation de phishing sont mis à jour à partir des campagnes observées en France. Quand le CERT-FR signale une vague de phishing imitant un service connu, les templates de simulation intègrent ce prétexte pour entraîner les collaborateurs sur des menaces actuelles.
Tracker les campagnes émergentes
La CTI opérationnelle permet aussi de détecter les campagnes de phishing en amont : surveillance des domaines récemment enregistrés qui imitent des marques connues, partage d’URLs de phishing via AlienVault OTX et MISP pour alimenter les filtres email, et corrélation des signalements internes avec les campagnes connues pour déterminer s’il s’agit d’une attaque ciblée ou de masse.
Indicateurs de compromission (IOC)
Les IOC sont les données techniques qui matérialisent une menace. Ce sont les traces qu’un attaquant laisse et qui permettent de le détecter.
Types d’IOC
| Type d’IOC | Exemple | Utilisation |
|---|---|---|
| Adresse IP | 185.220.101[.]42 | Blocage dans le firewall, alerte SIEM |
| Domaine | login-microsoft365[.]com | Blocage DNS, filtrage proxy |
| URL | hxxps://exemple[.]com/facture.zip | Blocage dans la passerelle email |
| Hash de fichier (MD5, SHA-256) | d41d8cd98f00b204e9800998ecf8427e | Détection EDR, analyse antimalware |
| Adresse email expéditeur | support@microsoft-update[.]net | Règle de filtrage email |
| Objet d’email | ”Vérification de sécurité requise — Action immédiate” | Identification de campagne, scénario de simulation |
Partage des IOC : STIX, TAXII et MISP
Le partage d’IOC entre organisations repose sur des standards ouverts :
- STIX (Structured Threat Information eXpression) — Format JSON standardisé pour décrire les indicateurs, les techniques, les acteurs et les campagnes. STIX permet de partager une menace contextualisée, pas un simple IOC isolé
- TAXII (Trusted Automated eXchange of Indicator Information) — Protocole de transport pour échanger des données STIX entre plateformes. Un SIEM ou une TIP (Threat Intelligence Platform) peut récupérer automatiquement les IOC publiés via un serveur TAXII
- MISP — Plateforme open source de partage de threat intelligence, largement déployée en Europe. Le CERT-FR et plusieurs CERT sectoriels européens utilisent MISP pour diffuser des IOC à leurs communautés
Le CERT-FR et l’ANSSI
Le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques), rattaché à l’ANSSI, est la première source de threat intelligence pour les organisations françaises. Ses missions couvrent l’alerte (avis de sécurité sur les vulnérabilités), l’analyse des campagnes actives en France, la coordination de réponse aux incidents majeurs, et la diffusion d’IOC via les canaux MISP.
Exploiter le CERT-FR en PME
Trois actions concrètes :
- S’abonner aux alertes — Flux RSS et liste de diffusion par email, filtrés par éditeurs que vous utilisez (Microsoft, Fortinet, etc.)
- Lire le Panorama de la cybermenace — Rapport annuel de l’ANSSI qui identifie les tendances, les acteurs actifs en France et les secteurs ciblés. Lecture recommandée pour le dirigeant et le responsable IT
- Appliquer les recommandations — Les avis du CERT-FR incluent des mesures de contournement et des correctifs. Intégrez leur suivi dans votre processus de gestion des mises à jour
Le CERT-FR publie aussi des guides thématiques sur cyber.gouv.fr : sécurisation des postes de travail, recommandations pour les prestataires IT, guides adaptés aux petites structures.
Intégrer la threat intelligence dans votre sécurité
Pour une PME de 50 à 200 salariés, il ne s’agit pas de monter une cellule CTI interne. Il s’agit d’intégrer quelques pratiques réalistes qui augmentent votre capacité à anticiper les menaces.
Niveau 1 — Veille passive (zéro budget)
Effort : 30 minutes par semaine pour le responsable IT.
- S’abonner aux alertes du CERT-FR et de l’ANSSI
- Suivre les CERT nationaux et les éditeurs de votre stack technique
- Lire le Panorama annuel de la cybermenace ANSSI et en extraire les points applicables
- Partager les alertes pertinentes avec l’équipe IT
Ce niveau couvre la CTI stratégique : comprendre les tendances et ajuster les priorités de sécurité.
Niveau 2 — Veille active et sensibilisation alimentée par la CTI
Effort : intégration dans les processus existants de sécurité et de sensibilisation.
- Cibler les simulations de phishing : quand le CERT-FR signale une vague imitant un service utilisé par vos employés, lancez une simulation sur ce scénario dans les jours qui suivent
- Mapper vos défenses sur les techniques MITRE ATT&CK pertinentes pour votre secteur
- Intégrer les IOC des bulletins CERT-FR dans les règles de votre firewall ou proxy web
- Briefer les équipes sur les menaces actives lors de points sécurité mensuels
Niveau 3 — Intégration dans les outils de sécurité
Effort : nécessite un SOC externalisé ou un service MDR.
- Connecter des threat feeds (CERT-FR, AlienVault OTX, feeds commerciaux) au SIEM ou à l’EDR pour automatiser la détection des IOC connus
- Enrichir les alertes avec du contexte CTI : la corrélation avec les threat feeds indique si une connexion suspecte pointe vers un serveur C2 connu ou un domaine de phishing
- Utiliser une TIP (Threat Intelligence Platform) comme MISP pour centraliser et redistribuer les IOC vers les outils de sécurité
Lien entre threat intelligence et formation
La threat intelligence et la sensibilisation au phishing se renforcent mutuellement :
- La CTI identifie ce qui menace votre organisation → la sensibilisation entraîne les collaborateurs sur ces menaces précises
- Les signalements d’emails suspects par les collaborateurs → alimentent la veille interne et permettent de détecter les campagnes en cours
- Les métriques de simulation (taux de clic par type de scénario) → indiquent quels types de menaces nécessitent plus de formation
Cette boucle continue entre renseignement et formation transforme vos collaborateurs d’une vulnérabilité passive en capteurs actifs de menaces.
Vérifiez dès maintenant la posture sécurité email de votre domaine avec notre vérificateur de sécurité email. Une configuration SPF, DKIM et DMARC correcte bloque les emails de phishing qui usurpent votre domaine — c’est la première ligne de défense technique avant même que la threat intelligence n’entre en jeu.
Questions fréquentes
Qu'est-ce que la threat intelligence ?
La threat intelligence (renseignement sur les menaces) est le processus de collecte, d'analyse et d'exploitation d'informations sur les cybermenaces actives ou émergentes. L'objectif : permettre à une organisation de prendre des décisions de sécurité éclairées — savoir quelles menaces la ciblent, par quels vecteurs, et adapter ses défenses en conséquence. Ce n'est pas un outil unique, mais une discipline qui alimente l'ensemble de la chaîne de sécurité.
Quelles sont les sources de threat intelligence accessibles aux PME ?
Plusieurs sources gratuites sont accessibles sans investissement : les bulletins du CERT-FR et les alertes de l'ANSSI, le framework MITRE ATT&CK qui catalogue les techniques d'attaque, les plateformes communautaires comme AlienVault OTX et Abuse.ch, et les rapports publics des éditeurs de sécurité (Mandiant, CrowdStrike, Microsoft). Pour aller plus loin, des plateformes commerciales comme Recorded Future ou Mandiant Advantage proposent des flux enrichis et contextualisés.
Quelle est la différence entre CTI stratégique, tactique et opérationnelle ?
La CTI stratégique s'adresse à la direction : tendances macro, motivations des attaquants, risques sectoriels — elle guide les décisions budgétaires. La CTI tactique cible les équipes sécurité : elle décrit les tactiques, techniques et procédures (TTP) des attaquants pour ajuster les défenses. La CTI opérationnelle fournit des données techniques exploitables par un SOC ou un SIEM : adresses IP malveillantes, domaines de phishing, hashes de fichiers malveillants.
Comment la threat intelligence améliore-t-elle les simulations de phishing ?
La threat intelligence identifie les campagnes de phishing actives : quels prétextes sont utilisés, quels secteurs sont ciblés, quelles techniques d'usurpation sont déployées. Ces informations alimentent directement les scénarios de simulation. Au lieu de tester avec des emails génériques, les simulations reproduisent les vraies menaces du moment — ce qui rend l'entraînement des collaborateurs beaucoup plus réaliste et pertinent.
Faut-il un SOC pour exploiter la threat intelligence ?
Non. Un SOC exploite la threat intelligence opérationnelle (IOC injectés dans le SIEM pour détecter les menaces connues), mais une PME sans SOC peut tirer parti de la CTI stratégique et tactique. Consulter les bulletins du CERT-FR, suivre les alertes ANSSI, identifier les menaces qui visent votre secteur, et adapter vos priorités de sensibilisation en conséquence — tout cela ne nécessite pas de SOC.