Formation - Threat Intelligence

1 - Introduction à la Cyber Threat Intelligence

• Définition et objectifs de la CTI
• Enjeux métiers : anticipation, détection, réduction de risque
• Le cycle du renseignement : direction, collecte, traitement, analyse, diffusion
• Typologie des CTI : stratégique, tactique, opérationnelle, technique
• Cadre légal et éthique : usage des données, RGPD, confidentialité
• Responsabilité sociétale et CTI : enjeux éthiques, transparence et souveraineté des données
Atelier

Élaboration d’un cycle de renseignement personnalisé selon le métier du stagiaire

2 - Typologie des menaces et acteurs malveillants

• Menaces ciblées vs opportunistes
• Panorama des acteurs : APT, hacktivistes, cybercriminels, insiders
• TTP (Tactics, Techniques, Procedures) et MITRE ATT&CK
• Étude de cas : analyse d’un rapport APT (ex : APT29, LockBit)
• Corrélation entre groupe, tactiques, cibles, secteur d’activité
Atelier

Mapping d’un groupe APT sur le MITRE ATT&CK et extraction des techniques clés

3 - Collecte et enrichissement de la donnée CTI

• Sources internes : SIEM, EDR, pare-feux, honeypots
• Sources externes : OSINT, ISAC, CERT, plateformes CTI, darkweb
• Outils de collecte : MISP, TheHive, OpenCTI, ThreatFox
• Types d’indicateurs : IOCs (hash, IP, domaine), IOAs, TTPs
• Normalisation et format : STIX, TAXII, JSON, YAML
Atelier

mise en oeuvre d’une collecte manuelle et automatisée d’indicateurs de compromission (IOCs) à partir de sources publiques, puis parsing et structuration des données obtenues selon des formats normalisés

4 - Automatiser la CTI avec l’IA et les outils spécialisés

• IA pour résumer, classer, corréler des rapports et bulletins de menace
• Extraction d’entités et résumé avec LLM (ChatGPT, Claude, etc.)
• Enrichissement automatisé d’IOCs (Virustotal API, AbuseIPDB, WHOIS)
• Interconnexion Cortex ↔ MISP ↔ TheHive
• Alertes et corrélations automatiques dans un SIEM avec règles Sigma + CTI
Atelier

Utilisation d’un LLM pour résumer et corréler un rapport de menace. Automatiser l’enrichissement d’une liste d’IOCs à l’aide de sources externes et d’outils spécialisés

5 - Transformer les données CTI en renseignement exploitable

• Qualification : contexte, fiabilité, vérifiabilité des sources
• Attributions : pièges et méthodes (analyse indirecte, pivot, infrastructures)
• Analyse comportementale : MITRE, Kill Chain, Diamond Model
• Visualisation et structuration du renseignement (graphes, liens, narratifs)
• Production de livrables : fiche IOC, rapport analytique, alerte synthétique
Atelier

Construction d’un rapport CTI court à destination d’un SOC Manager avec recommandations concrètes

6 - Intégrer la CTI dans l’organisation

• Positionnement d’une cellule CTI ou analyste CTI dans un SOC/CERT
• Flux CTI entrants / sortants : playbooks, enrichissement SIEM, contribution à MISP
• Intégration dans les processus de détection, réponse à incident, gestion de crise
• Veille structurée : abonnements, plateformes, automatisation de la collecte
• Étude de cas : intégration CTI dans une détection de ransomware ciblé
Atelier

Mise en situation d’un incident ciblé, avec analyse de l’apport du renseignement CTI dans les processus de réaction et d’investigation