La Cyber Threat Intelligence, toujours d’actualité ? Voici ce qui change en 2026

Pendant longtemps, la Cyber Threat Intelligence (CTI) a été perçue comme une promesse simple : anticiper les menaces pour mieux se protéger en amont. La CTI s’est toujours concrétisée par des rapports, des flux et des indicateurs (des adresses IP, des hash, des signatures etc.) qui alimentent à leurs tours les outils de détection de l’organisation et servent les équipes de réponse aux incidents.  

Aujourd’hui, le paysage numérique s’est accéléré de manière exponentielle : généralisation du cloud, DevOps, IoT, et certainement, IA. Cette complexification des environnements s’est accompagnée d’une sophistication de la surface d’attaque : Les cybermenaces ne sont plus des événements ponctuels ou isolés, mais des campagnes continues, automatisées et hautement adaptatives, tels que le ransomware-as-a-service ou le déni de service distribué. 

Face à cette évolution, les outils et les techniques de la CTI se sont multipliés à leur tour afin de suivre ce rythme imposé par les attaquants.

Dans une enquête menée par SANS en 2025 intitulée « 2025 SANS CTI Survey », 52% des organisations interrogées avaient confirmé qu’ils ont dédié une équipe à la CTI, un chiffre record par rapport aux 10 derrières années.  

De première lecture, ce chiffre rassure, car cette adoption de la CTI implique une cyberdéfense plus robuste, comme le confirme le papier de recherche : Smallman, J. (2024) “The Effectiveness of Cyber Threat Intelligence in Improving Security Operations”.  

Néanmoins, ça fait émerger un paradoxe bien connu auprès des équipes SOC : le véritable défi aujourd’hui, ce n’est plus l’accès à l’information qui manque, c’est son excès. De nombreuses organisations se retrouvent aujourd’hui avec une accumulation de sources de renseignement, des milliers d’indicateurs de compromission (IoCs) et une compréhension superficielle de la menace. Sans contexte, cette intelligence perd son utilité à guider l’action. Le résultat est alors : des SOC saturés et des décisions stratégiques prises trop tard. 

Le but aujourd’hui de la CTI doit aller au-delà de la collecte et de la génération de rapports, mais de transformer des signaux bruts en renseignement exploitable, capable d’anticiper, de prioriser et de déclencher des actions concrètes.  

1. Comprendre la Cyber Threat Intelligence  

La Cyber Threat Intelligence (CTI) consiste à collecter, analyser et surtout mettre en contexte des informations sur les menaces cyber, qu’elles soient déjà actives ou émergentes.  

Concrètement, une CTI permet de comprendre qui a attaqué, qui peut attaquer, comment, et surtout dans quel but, afin d’étudier et de qualifier les menaces, qu’elles soient déjà en cours ou imminentes. 

En revanche, avant d’être un ensemble de rapports et d’adresses IP, une CTI efficace aide surtout à prioriser les efforts de défense, à ajuster les contrôles de sécurité et à orienter les décisions vers l’impact le plus élevé. 

C’est dans ce sens que l’ENISA, dans sa publication « Actionable information for security incident response » définit une CTI exploitable comme celle qui répond à cinq critères : pertinence, actualité, exactitude, exhaustivité et assimilabilité.  

Les différents niveaux de la Cyber Threat Intelligence 

• La CTI stratégique apporte une vision globale des tendances et des risques majeurs. Elle aide les dirigeants et les décideurs à orienter leurs choix en termes de sécurité et de gestion du risque. 

• La CTI tactique se concentre sur les tactiques, techniques et procédures utilisées par les attaquants. Elle alimente directement les politiques de sécurité et les outils de détection. 

• La CTI opérationnelle fournit un renseignement en temps quasi réel sur des menaces actives. C’est elle qui permet de réagir rapidement face à une campagne ou une attaque en cours. 

• La CTI technique repose sur des indicateurs concrets, comme des adresses IP malveillantes, des domaines frauduleux ou des empreintes de fichiers (IOC). 

Une intelligence efficace combine les différents niveaux de la CTI afin de produire une information utile et compréhensible par les différentes populations de l’équipe cybersécurité. 

2. Les enjeux de la CTI d’aujourd’hui 

   
   

En 2026, la question n’est plus « Avons-nous de la Threat Intelligence ? » Mais bien : « Cette intelligence change-t-elle réellement notre posture de sécurité ? » 

Une étude menée par Cyware, un fournisseur de solutions de gestion des informations sur les menaces a publié les résultats de son enquête anonymisée « 2024 Threat Intelligence and Collaboration Survey ». Cette étude montre que 49 % des personnes interrogées ont déclaré que leur organisation avait du mal à exploiter et à tirer parti des informations collectées sur les menaces pour plusieurs raisons, mais principalement les raisons sont souvent liées au cloisonnement des équipes, aux manques de compétences d’analyse, et parfois, à la qualité de l’information.  

On constate qu’effectivement il y’a, dans plusieurs cas, un décalage entre la promesse essentielle de la CTI et la réalité vécue par le SOC. 

En outre, le manque de partage entre les différents acteurs de la CTI amplifie encore plus la problématique : une menace peut passer inaperçue si elle n’est pas diffusée de manière transparente et rapide aux bonnes parties. C’est dans ce sens que la SANS 2025 confirme que plus de la moitié des personnes qui ont répondu à l’enquête (53%) n’exploitent pas encore pleinement les mécanismes d’échange CTI, et 28% ne savaient même pas qu’une entité de partage, telle que l’ISAC, existait.  

Enfin, un autre enjeu majeur émerge avec l’adoption massive de l’IA au sein des organisations. Selon une étude récente de McKinsey, près de 88% des entreprises confirment utiliser l’IA pour au moins une fonction de leur activité métier. Néanmoins, si l’IA est largement présentée comme un levier d’optimisation du SOC, elle est encore rarement abordée comme une nouvelle surface d’attaque à part entière. 

Le problème est que les mécanismes traditionnels de détection et de CTI ont été conçue pour analyser des intentions humaines et des tactiques adverses observables, et non pas pour qualifier les dérives potentielles de systèmes autonomes dont les comportements peuvent être non déterministes. Par exemple, une tentative de prompt injection ne laisse pas de logs suspects ni d’alertes réseaux, mais plutôt un comportement inhabituel que seuls des capacités et des outils conçus spécifiquement à cet égard puissent identifier.  

Par conséquent, tant que les approches de CTI ne parviendront pas à intégrer cette nouvelle dimension, un pan entier du risque cyber restera partiellement invisible.  

3. Actions pour passer à une CTI moderne et efficace 

Voici quelques mesures concrètes pour avoir une CTI plus efficace, moderne, et qui suit la croissance massive de la surface d’attaque actuelle : 

1) Optimiser et automatiser le partage du renseignement  

Une CTI non partagée perd l’essentiel de sa valeur. Selon une enquête réalisée en 2019 et intitulée “Cyber threat intelligence sharing” le partage de la CTI pourrait devenir une exigence structurelle pour les organisations, et pour aller plus loin, toujours selon la même source, le non-partage pourrait engager la responsabilité des parties prenantes, notamment en cas d’incident ou de violation.

Le problème est que les échanges, tels qu’ils sont faits aujourd’hui (manuellement, sur les feeds CTI, via des publications sur les réseaux sociaux ou des canaux dédiés, verbalement entre les RSSI, etc.) sont relativement lents par rapport à la vitesse de l’attaquant, et la valeur d’un indicateur décroît très vite si sa diffusion est lente.  

À mettre en place : 

• Standardiser les formats (STIX/TAXII) et les playbooks de consommation automatisée (ingestion dans SOAR/SIEM/XDR). 

• Sensibiliser sur les entités de partage (l’ISAC) et encourager la participation active à ces communautés . 

• Implémenter des règles de visibilité et anonymisation (pour partage externe) afin de respecter la confidentialité et accélérer l’échange.

• 
  

2) Définir un modèle de threat-modeling spécifique à l’organisation  

Une simple collection d’IOC est insuffisante : il faut mapper les menaces sur la réalité métier et les scénarios d’exploitation plausibles pour savoir quoi traiter en premier. 

À mettre en place : 

• Construire des scénarios d’attaque (MITRE ATT&CK comme référence, par exemple) pertinents pour des services critiques et spécifiques : assets → chemins d’exploitation → conséquences métiers.  

• Intégrer l’inventaire d’actifs (cloud, SaaS, API) et la posture (CSPM/SPM) pour calculer l’exposition réelle d’un scénario.  

• Prioriser via une matrice risque = probabilité × impact métier (incluant coûts de disponibilité, réputation, conformité). 

L’idée c’est de faire de la CTI un lévier business qui permet à ce qu’on traite d’abord ce qui menace l’activité réelle. 

3) Varier, valider et enrichir les sources  

La robustesse de la CTI dépend plus de la diversité et de la validation des sources que de leur nombre. Selon le même rapport par SANS, 90% des équipes collectent des données externes. Le problème c’est que les équipes qui s'appuient uniquement sur les feeds externes perdent le contexte métier, ainsi, il serait plus exhaustif et pertinent de combiner des sources internes et externes pour avoir un paysage de menaces plus complet. 

À mettre en place : 

• Catalogue de sources classées (externes : OSINT, feeds CTI, ISACs; internes : logs applicatifs, journaux d’audit, flux d’accès API, journaux d’accès aux modèles IA, événements pertinents etc) 

• Utiliser l’IA pour personnaliser les livrables CTI (briefs pour DSI / rapports pour SOC / résumés pour la gouvernance) afin de s’adresser à la bonne population  

  
  

4) Adapter la CTI aux risques IA  

Les vulnérabilités IA (prompt injection, model poisoning, extraction de modèle) sont souvent fonctionnelles et n’émettent pas d’IOCs classiques, il faut donc faire évoluer la CTI pour surveiller l’usage et le comportement des modèles.

Dans ce sens, l’OWASP avait publié une méthodologie pour identifier, qualifier et prioriser les menaces liées aux usages des modèles d’IA. Également, des solutions existantes de DLP permettent de définir des scénarios de risques sépcifiques à l’IA, qui seront ensuite ingestés dans le SIEM de l’organisation. 

4) L’IA, un accélérateur incontournable  

Cette étude menée par arXiv montre comment une CTI augmentée par l’IA (AI-driven CTI) peut franchir un cap, en automatisant et en renforçant chaque étape du cycle du renseignement.

Dans la même étude, des enquêtes menées auprès d’une équipe CTI d’un partenaire industriel confirment que la production manuelle d’un rapport CTI à partir de données brutes nécessitait en moyenne près de 8 heures de travail, mais suite à l’introduction de l’IA, ceci a permis de réduire cet effort à 1 à 2 heures, le temps restant étant principalement consacré à la relecture, à la correction d’imprécisions et à la vérification des informations générées.

Ceci dit, la surveillance humaine reste cruciale pour s’assurer des rapports générés, surotut quand ceci concerne des décisions business sensibles.  

Conclusion  

Dans un paysage numérique si évolutif et avec l’introduction de nouveaux vecteurs d’attaques, la CTI n’a jamais été aussi utile.

Néanmoins, sa valeur réelle ne se révèle qu’à une condition essentielle : qu’elle soit pensée comme un levier d’action, et non comme un simple exercice de collecte.

En 2026, l’enjeu n’est plus d’accumuler des données ou des indicateurs, mais de produire un renseignement capable d’orienter des décisions métier, au bon moment et au bon niveau.