Threat Intelligence (Cyber Threat Intelligence)

RSSI, SOC Manager, analystes SOC, consultants en cybersécurité, toute personne en charge de la sécurité d’un SI

Connaissances de base en systèmes d’information et en cybersécurité

Comprendre les fondamentaux de la Cyber Threat Intelligence (CTI) - Savoir collecter, enrichir et analyser les informations liées aux menaces - Utiliser l’intelligence artificielle et des outils spécialisés pour automatiser la CTI - Transformer les données en renseignement exploitable et actionnable - Intégrer la CTI dans les processus de sécurité de l’organisation

Comprendre les fondamentaux de la Cyber Threat Intelligence

Définir la CTI et ses objectifs : anticiper, détecter, qualifier et contextualiser les menaces
Identifier les types de CTI : stratégique, tactique, opérationnelle, technique
Comprendre la typologie des menaces et des acteurs malveillants (étatiques, cybercriminalité, hacktivisme, insiders)
Situer la CTI dans l’écosystème SOC, SIEM, gestion des incidents et gestion des risques

Atelier fil rouge : analyser un rapport public de CTI et en extraire les éléments clés pour son organisation

Collecter et enrichir la donnée CTI

Identifier les sources de données : open source, commerciales, communautaires, internes
Comprendre le rôle des IOC (indicateurs de compromission) et des IOA (indicateurs d’attaque)
Mettre en place des flux de collecte : flux de menaces, RSS, API, plateformes de partage (ISAC, MISP, etc.)
Enrichir les données collectées : contexte, relations, pertinence, fiabilité

Atelier fil rouge : construire un flux de collecte simple et enrichir des IOC à partir de sources publiques

Automatiser la CTI avec l’IA et les outils spécialisés

Découvrir les principales plateformes et outils de CTI (TIP, MISP, intégrations SIEM, etc.)
Utiliser l’IA pour automatiser la collecte, la classification et le tri des informations de menace
Mettre en place des workflows d’enrichissement automatique (recherches WHOIS, géolocalisation, réputation IP/domaines)
Relier la CTI aux outils de détection et de réponse (SIEM, EDR, SOAR)

Atelier fil rouge : définir un scénario d’automatisation CTI incluant IA, enrichissement et intégration dans un SIEM ou SOAR

Transformer les données CTI en renseignement exploitable

Analyser et corréler les données de menaces avec les actifs et les vulnérabilités de l’organisation
Élaborer des rapports de CTI adaptés aux différents publics (direction, SOC, équipes réseau/applicatif)
Définir des priorités d’action : durcissement, surveillance ciblée, règles de détection, chasse aux menaces
Mesurer l’impact de la CTI sur la posture de sécurité et la réduction des risques

Atelier fil rouge : produire une fiche de renseignement CTI actionnable à partir d’un jeu de données de menaces

Intégrer la CTI dans les processus de sécurité de l’organisation

Articuler CTI, gestion des incidents, gestion des vulnérabilités et gestion des risques
Mettre en place une boucle d’amélioration continue : collecte, analyse, action, retour d’expérience
Définir les rôles, responsabilités et compétences nécessaires au sein de l’équipe CTI / SOC
Construire un plan de montée en maturité de la CTI pour l’organisation

Atelier fil rouge final : définir une feuille de route CTI sur 12 à 24 mois pour son organisation ou un cas d’école

Active Learning

contrôle continu ou certification si prévue dans le financement