Cybersécurité - CTI opérationnelle

Formation créée le 23/05/2025. Dernière mise à jour le 25/08/2025.
Version du programme : 1

Type de formation

Formation présentielle

Durée de formation

21 heures (3 jours)

Accessibilité

Oui

Cybersécurité - CTI opérationnelle


Développer l’expertise des professionnels CTI pour piloter la collecte, l’analyse et l’exploitation opérationnelle de renseignements sur la menace dans des environnements critiques et multisites. Intégrer les flux CTI dans la défense active, produire des alertes stratégiques, coordonner avec les équipes SOC, CERT, DSI et métiers.

Objectifs de la formation

  • Structurer une démarche CTI adaptée à un groupe industriel multisite.
  • Exploiter et enrichir des IOC en interaction avec les outils de détection et les cellules SOC.
  • Produire et diffuser des alertes et bulletins CTI exploitables par les RSSI et le COMEX.
  • Intégrer des flux CTI dans les SIEM et playbooks de remédiation.
  • Prioriser les menaces en lien avec les contextes métiers et industriels.

Profil des bénéficiaires

Pour qui
  • Analystes CTI confirmés
  • Responsables CTI / Threat Intel en SOC Groupe
  • RSSI opérationnels
  • Membres d’une cellule CERT / réponse à incident avancée
  • Architectes sécurité ou investigateurs techniques
Prérequis
  • Expérience confirmée (≥ 8 ans) en cybersécurité, SOC ou CERT
  • Pratique d’outils de threat intel (MISP, OpenCTI, feeds IOC)
  • Connaissance des référentiels MITRE ATT&CK, STIX/TAXII

Contenu de la formation

Jour 1 – Gouvernance CTI & cycle de production (7h)
  • Rôle stratégique de la CTI dans un groupe OIV (EDF)
  • Modèle de gouvernance CTI-SOC-CERT
  • Cycle de production : collecte, analyse, diffusion
  • Outils open source (MISP, OpenCTI), typologie d’IOC & TTP
  • Cas pratique : Élaborer un modèle de flux CTI pour un périmètre nucléaire Analyser un flux IOC : validation, enrichissement, scoring
Jour 2 – Intégration dans la détection et la réponse (7h)
  • Intégration IOC dans SIEM/EDR : Splunk, SentinelOne, Elastic
  • Automatisation via TAXII, API, SOAR
  • Contribution à la réponse à incident (CERT, SOC, forensic)
  • Cas pratique : Ingestion d’un IOC dans une règle SIEM avec alerte Simulation d’une réponse SOC/CTI à une compromission APT
Jour 3 – Production et diffusion de renseignement stratégique (7h)
  • Bulletins CTI : flash d’alerte, rapports COMEX, RSSI locaux
  • Partage CTI : CERT-FR, ANSSI, partenaires métiers
  • Tableaux de bord, indicateurs, classification du renseignement
  • Cas pratique : Rédaction d’un bulletin CTI avec priorisation métier Simulation d’un brief RSSI + DSI sur menace ciblée

Équipe pédagogique

Professionnel expert technique et pédagogique.

Accessibilité

17 mars au 19 mars 2026