Qu'est-ce que la CTI ?
La CTI, ou cyber threat intelligence, est le renseignement sur les menaces cyber. C'est un processus qui part de données brutes, les enrichit et les analyse pour produire une information contextualisée, fiable et utile à la décision : qui pourrait nous attaquer, comment, et que faut-il faire ?
La CTI suit un cycle : orientation (définir les besoins), collecte, traitement, analyse, diffusion, puis retour d'expérience. Ce cycle distingue la CTI d'une simple accumulation de flux : elle vise l'action, pas l'archivage.
Pourquoi c'est important pour votre organisation
La CTI permet de passer d'une posture réactive à une posture anticipative. Plutôt que d'attendre l'incident, on comprend les acteurs pertinents pour son secteur, leurs modes opératoires et leurs cibles, ce qui oriente les priorités de défense.
Bien intégrée, elle irrigue plusieurs fonctions : elle nourrit la détection avec des indicateurs et des techniques, éclaire la gestion des vulnérabilités sur ce qui est réellement exploité, et fournit à la direction une vision du risque fondée sur la menace réelle et non sur des hypothèses.
Les trois niveaux de CTI
- Stratégique : tendances et risques de haut niveau pour les décideurs.
- Opérationnel : campagnes, acteurs de menace et leurs intentions.
- Tactique : indicateurs de compromission et techniques (TTP) pour la détection.
Où les organisations pèchent le plus souvent
L'erreur la plus répandue est de confondre CTI et abonnement à des flux. Acheter des indicateurs sans les analyser ni les relier à ses besoins produit du bruit, pas du renseignement. Une CTI utile part de questions de décision précises et se juge à sa capacité à changer une action, pas au volume de données ingérées.