Qu'est-ce que la Cyber Threat Intelligence (CTI)
La Cyber Threat Intelligence (CTI) est la discipline qui collecte, analyse et contextualise l'information sur les menaces (qui attaque, avec quelles techniques et quelle infrastructure) pour anticiper et stopper les attaques. Elle se traduit en IOC exploitables par les machines, profils d'acteurs et advisories sectoriels. La différence se fait par l'intelligence originale, produite à partir d'incidents réels, par opposition aux flux simplement revendus.
De l’information à l’anticipation
La Cyber Threat Intelligence transforme des données brutes sur les menaces en connaissance actionnable : non pas « il y a des malwares dans la nature », mais « cet acteur, avec ces techniques, vise votre secteur, voici les indicateurs à bloquer ». C’est la différence entre réagir et anticiper.
Les trois niveaux
La CTI se décline en stratégique (pour le conseil : tendances et risque), opérationnelle (pour le SOC : campagnes et TTP) et technique (pour les outils : IOC). Une bonne CTI sert les trois, chacun au bon public.
Originale, non revendue
La vraie valeur vient des sources primaires : incidents réellement traités, recherche directe sur les acteurs, surveillance du milieu criminel. C’est ce qui permet des attributions comme Nebula Broker, confirmée par la suite par des éditeurs mondiaux.
Les trois niveaux de la CTI
| Niveau | Pour qui | Exemples |
|---|---|---|
| Stratégique | Conseil, RSSI | Tendances, acteurs par secteur, risque métier |
| Opérationnel | SOC, threat hunters | Campagnes actives, TTP, infrastructure C2 |
| Technique | SIEM/EDR | IOC : IP, domaines, hashes, YARA |
Fortgale a été la première à attribuer l'acteur italien Nebula Broker (2023) ; Mandiant (Google) l'a ensuite confirmé sous le nom UNC4990. Intelligence originale, non revendue.
Lire la recherche →Questions fréquentes.
Que sont les IOC et les TTP ?
Les IOC (Indicators of Compromise) sont des données techniques observables : IP, domaines, hashes, URL. Les TTP (Tactics, Techniques and Procedures) décrivent comment un acteur opère, cartographiées sur MITRE ATT&CK. Les IOC disent « quoi chercher », les TTP « comment l'adversaire se déplace ».
Quelle différence entre CTI propriétaire et flux commerciaux ?
De nombreux éditeurs revendent des flux agrégés depuis des tiers. La CTI propriétaire génère une intelligence originale à partir de sources primaires : incidents traités, recherche sur les acteurs, surveillance du deep et du dark web. Elle est plus contextuelle et actionnable.
La CTI est-elle réservée aux grandes entreprises ?
Non. Même une entreprise de taille moyenne bénéficie de savoir quels acteurs visent son secteur et de recevoir des IOC applicables à sa propre stack. La CTI est disponible aussi bien intégrée au SOC/MDR qu'en mode autonome.
Comment la CTI est-elle utilisée en défense ?
Les IOC alimentent automatiquement le SIEM/EDR/pare-feu pour bloquer les menaces connues ; les TTP pilotent le threat hunting ; les advisories sectoriels alertent en amont lorsqu'un acteur prépare des campagnes contre un secteur.
De la théorie à une opération réelle.
Ce que vous lisez ici, Fortgale le met en œuvre chaque jour avec un SOC européen 24·7·365 : 287 outils et acteurs profilés, <30 min de confinement médian. Voir le service : Service CTI Fortgale.
Ressources liées : Qu'est-ce que le MDR · Le rôle de la CTI en défense
Une conversation technique, pas un funnel.
Laissez vos coordonnées : un analyste vous rappelle sous un jour ouvré. SOC européen, même fuseau horaire, intelligence propriétaire sur les acteurs actifs dans l'UE.