Cybersécurité - Cyber Threat Intelligence

Formation créée le 24/07/2025.
Version du programme : 1

Type de formation

Formation présentielle

Durée de formation

35 heures (5 jours)

Cybersécurité - Cyber Threat Intelligence


Objectif de formation : Développer une expertise opérationnelle, tactique et stratégique en renseignement sur les menaces cyber, afin d'améliorer la détection, la réponse aux incidents, la chasse aux menaces et la posture de sécurité globale de l'organisation.

Objectifs de la formation

  • Comprendre et appliquer les différents niveaux du renseignement sur la menace (tactique, opérationnel, stratégique).
  • Utiliser les principaux modèles d’analyse (Kill Chain, Diamond Model, MITRE ATT&CK).
  • Créer des indicateurs de compromission (IOC) au format YARA et STIX/TAXII.
  • Effectuer des analyses basées sur les tactiques, techniques et procédures adverses (TTP).
  • Exploiter diverses sources de données pour construire un renseignement fiable et actionnable.

Profil des bénéficiaires

Pour qui
  • Analystes SOC
  • responsables cybersécurité
  • threat hunters
  • analystes CTI
  • membres d’équipes CSIRT/CERT
  • professionnels de la réponse à incident souhaitant renforcer leur capacité de veille et d’analyse des menaces.
Prérequis
  • Bonne connaissance des fondamentaux de la cybersécurité.
  • Une expérience préalable en SOC, en réponse à incident ou en threat hunting est recommandée.

Contenu de la formation

Introduction au renseignement sur la menace (5 heures)
  • Définition et niveaux du CTI : tactique, opérationnel, stratégique
  • Objectifs et livrables du CTI dans une organisation
  • Cycle de renseignement et intégration dans les processus de sécurité
  • Travaux pratiques : cartographie des sources CTI internes et externes
  • Travaux pratiques : évaluation de la maturité CTI d’une organisation
Modèles d’analyse et typologie des menaces (6 heures)
  • Présentation du Kill Chain, Diamond Model, MITRE ATT&CK
  • Utilisation des modèles pour structurer l’analyse des menaces
  • Comparaison des cadres analytiques selon les cas d’usage
  • Travaux pratiques : analyse d’un incident à l’aide du Diamond Model
  • Travaux pratiques : classification ATT&CK d’un rapport de compromission
Création et diffusion d’indicateurs de compromission (6 heures)
  • IOC, TTP, YARA, STIX, TAXII : formats et usages
  • Création d’IOC à partir d’un malware ou d’un artefact réseau
  • Diffusion et automatisation via plateformes CTI (MISP, OpenCTI)
  • Travaux pratiques : rédaction de règles YARA à partir d’un échantillon
  • Travaux pratiques : intégration de STIX dans un outil d’analyse
Sources de renseignement et collecte de données (6 heures)
  • Sources ouvertes (OSINT), fermées (ISAC, sectorielles), internes (SIEM, SOC)
  • Fiabilité, enrichissement, corrélation, et biais cognitifs
  • Outils et techniques de collecte (scraping, API, crawling)
  • Travaux pratiques : extraction automatisée de données OSINT
  • Travaux pratiques : enrichissement d’un IOC avec Maltego et VirusTotal
TTP adverses et contextualisation des menaces (6 heures)
  • Analyse comportementale des groupes d’attaquants (APT, cybercriminalité)
  • Méthodes de contextualisation : secteur, géopolitique, infrastructure
  • Utilisation du CTI pour guider la détection et la réponse
  • Travaux pratiques : attribution simplifiée d’un groupe APT à un incident
  • Travaux pratiques : rapport synthétique de veille contextualisée
Structuration et diffusion du renseignement (6 heures)
  • Formats de livrables (flash report, rapports opérationnels, briefing CISO)
  • Communication interne et externe, sensibilisation
  • Outils de partage CTI : MISP, ThreatConnect, OpenCTI
  • Travaux pratiques : rédaction d’un rapport CTI complet post-incident
  • Travaux pratiques : intégration CTI dans un playbook de détection SIEM

Capacité d'accueil

Entre 1 et 10 apprenants