⏳ En résumé
👉 Missions
Le rôle principal d’un analyste de la menace en cybersécurité ou analyste en Cyber Threat Intelligence (CTI), est de produire de la connaissance sur l’état de la menace cyber. Par exemple :
- quels sont les groupes cybercriminels les plus actifs du moment ?
- qui ciblent-ils principalement ? (des banques ? des hôpitaux ? etc.)
- quelles méthodes utilisent-ils ? (du phishing ? des failles de sécurité particulières ?)
👉 Études et formations
Il n’y a pas de parcours type pour devenir analyste de la menace. Les personnes qui travaillent dans ce domaine peuvent avoir suivi :
- des études dans l’informatique avec une spécialisation en cybersécurité.
- des études plus orientées géopolitique, relations internationales, sciences politiques, etc.
Ensuite, peu importe la formation, le recrutement se fait à bac +5.
👉 Salaire
Le salaire d’un analyste de la menace varie en fonction de son lieu de travail. Il sera par exemple mieux payé à Paris mais le coût de la vie y sera aussi plus élevé. Il peut en moyenne espérer :
- débutant : 2500€ brut par mois
- confirmé : 4000-5000€ brut par mois
👉 Employabilité
Comme de nombreux métiers de la cybersécurité, le métier d’analyste de la menace est en plein essor et bénéficie donc d’une bonne employabilité en France comme à l’étranger.
🔍 Zoom sur le métier d’analyste de la menace en cybersécurité
Bien que le métier d’analyste de la menace soit souvent méconnu, il joue un rôle essentiel pour garantir la sécurité informatique des grandes entreprises et des administrations françaises.
En effet, les systèmes d’information de ces acteurs stratégiques sont particulièrement ciblés par les groupes de hackers. Or, pour se protéger d’une menace, il est essentiel de la connaître.
Connais ton ennemi et connais-toi toi-même. Sun Tzu
Le rôle de l’analyste est donc de se renseigner sur l’état de cette menace grâce à un travail de veille puis de rédiger des rapports pour diffuser à ses clients l’information collectée.
1. La veille
Pour l’analyste, la veille consiste à s’informer quotidiennement au sujet des dernières actualités du monde de la cybercriminalité. Cette information provient principalement :
- de Twitter où de nombreux chercheurs sur la cybercriminalité partagent leurs travaux
- de groupes Telegram de cybercriminels qui étonnamment sont bien souvent publics
- de forums sur le dark web
- d’échanges avec des homologues
Cette veille va permettre à l’analyste de se renseigner à propos :
- des groupes cybercriminels les plus actifs
- leurs cibles privilégiées (gouvernements ? banques ? PME ? etc.)
- leurs motivations (il y a en trois principales : financière, espionnage et sabotage)
- leurs modes d’action, aussi appelés TTPs
- et surtout les indicateurs de compromission (IoC) associés à ces groupes
👉 Les indicateurs de compromission permettent de détecter qu’un hacker s’est introduit dans un système informatique.
Par exemple : un trafic inhabituel sortant du réseau de l’entreprise est probablement signe que des pirates informatiques sont en train de voler des données. Plus l’on possède d’indicateurs de compromission pertinents, plus il est facile et rapide de :
- détecter que l’on a été victime d’une cyberattaque
- identifier le groupe cybercriminel probablement responsable de cette attaque
2. La diffusion
Une fois ses investigations terminées, l’analyste va rédiger un rapport résumant ce qu’il a constaté.
Ce rapport pourra notamment être envoyé au Responsable de la Sécurité de Système d’Information (RSSI) qui s’en servira pour améliorer la sécurité du système d’information qu’il protège.
Par ailleurs, les indicateurs de compromission pourront être envoyés aux analystes SOC de l’entreprise afin qu’ils puissent améliorer l’efficacité de leur détection des cyberattaques.
Quelles entreprises recrutent des analystes de la menace ?
De manière générale, les analystes cybersécurité travaillent pour des ESN (voir notre article sur les principaux acteurs de la cybersécurité en France) qui proposent des services de Cyber Threat Intelligence à d’autres entreprises.
Parmi ces entreprises on peut citer : Orange Cyberdefense, Thales, Sopra Steria, Capgemini, Sekoia ou encore Intrinsec.
Le secteur public recrute aussi beaucoup dans ce domaine, notamment l’ANSSI ou les services de renseignement.
Comme la plupart des emplois dans le domaine de la sécurité informatique, la majeure partie des postes sont sur Paris ou Rennes. Mais il est parfois possible de trouver des offres dans d’autres grandes villes de France comme Lyon, Lille ou Bordeaux.
Quels horaires ?
Comme pour la plupart des métiers de la sécurité informatique, les journées de travail commencent en général vers 9h et finissent entre 17h et 18h.
Ces horaires sont relativement stables même si de rares périodes de rush peuvent intervenir. Par exemple lors de révélation de la faille Log4Shell à l’hiver 2021 ou lors du début de l’invasion russe en Ukraine.
Quelle évolution de carrière ?
Le métier d’analyste de la menace peut être pratiqué pendant de nombreuses années jusqu’à devenir un expert du domaine. Le salaire deviendra de plus en plus intéressant avec l’expérience acquise.
Il pourra aussi être possible d’évoluer vers des fonctions managériales et ainsi être chargé de gérer une équipe d’analystes.
Enfin, en se formant et en passant des certifications, il sera aussi envisageable d’aller vers des métiers plus techniques comme analyste en réponse à incident ou même RSSI.
Dans tous les cas, commencer sa carrière en tant qu’analyste de la menace est une expérience très valorisable qui ouvre de nombreuses portes.
☀️ Une journée dans la peau d’une analyste en Cyber Threat Intelligence
9h - 9h45 : la veille quotidienne
Comme évoqué ci-dessus, le travail de veille est une tâche quotidienne dans ce métier. Il est important de débuter la journée par cette étape car, à cause du décalage horaire, il faut rattraper les nombreuses informations en provenance des États-Unis arrivées durant la nuit.
Il est primordial d’aller vite car plus les clients seront informés tôt, plus l’information aura de la valeur.
9h45 : réunion d’équipe
L’objectif de cette réunion est de décider des sujets à traiter en priorité en fonction de ce qui a été constaté au cours du travail de veille.
Ces sujets sont répartis entre les différents analystes.
10h - 13h : investigation
L’analyste travaille ensuite sur le sujet qui lui a été confié. Par exemple : le groupe cybercriminel chinois APT15 semble avoir attaqué des infrastructures en Iran. Quelles sont leurs motivations ? Quel mode opératoire ? Quelles répercussions ces incidents pourraient-ils avoir sur les entreprises françaises ?
14h-15h : diffusion
Comme expliqué ci-dessus, l’information collectée doit ensuite être synthétisée puis envoyée sous forme de rapport aux clients.
Reste de la journée
Le reste de la journée est consacré à diverses autres tâches. Par exemple : de la veille sur le dark web qui prend plus de temps car demande plus de travail d’investigation.
🤔 Comment devenir analyste de la menace en cybersécurité ?
Quelles études pour devenir analyste cybersécurité ?
Différentes formations peuvent mener au métier d’analyste cybersécurité. En effet, les équipes de Cyber Threat Intelligence sont pluridisciplinaires. On y retrouve généralement :
- des personnes avec un profil technique ayant généralement fait des études dans l’informatique. Souvent des ingénieurs avec une spécialisation en cybersécurité.
- des profils ayant fait des études dans les sciences politiques. En particulier la géopolitique ou les relations internationales.
Si vous êtes en seconde au lycée et que ce métier vous intéresse, le bac général est la meilleure option. Les deux spécialités les plus pertinentes à choisir pour la classe de première seront alors :
- numérique et sciences informatiques
- histoire géographie, géopolitique et sciences politiques
Ensuite, après le bac, plusieurs formations seront possibles :
- une licence puis un master en informatique ou en cybersécurité.
- une école d’ingénieur qui propose une spécialisation en informatique ou en cybersécurité
- une licence puis un master en sciences politiques, affaires internationales, géopolitique, relations internationales ou encore gestion des risques.
Dans tous les cas, peu importe la formation, le métier d’analyste de la menace recrute à bac + 5.
Pour qui ce métier est-il fait ?
Tout d’abord, il est important de rappeler que même si le métier d’analyste cybersécurité est accessible avec des formations plus proches des sciences sociales que de la sécurité informatique, il est nécessaire d’avoir un goût pour les aspects techniques de la cybersécurité. Il faudra en effet un jour ou l’autre "mettre les mains dans le cambouis" : s’intéresser à la programmation, comprendre le fonctionnement d’un réseau, d’un système informatique, etc.
L’informatique et la cybersécurité en particulier demandent aussi :
- de bonnes capacités d’abstraction car les problèmes rencontrés sont souvent complexes.
- de la patience. Le travail d’investigation prend souvent du temps. Si vous aimez résoudre des énigmes, ce métier est peut-être fait pour vous.
Il vous faudra aussi une bonne capacité de synthèse et de prise de recul pour communiquer avec les clients de la façon la plus claire et la plus efficace possible.
Quelles compétences pour exercer ce métier ?
Une fois sorti des études, la plupart des compétences de ce métier s’acquièrent sur le tas.
À noter que l’ANSSI, dans son panorama des métiers de la cybersécurité, insiste sur la nécessité de posséder un bon niveau en langues, en particulier en anglais.
Quels conseils pour un futur analyste cybersécurité ?
Vous pouvez dès à présent vous intéresser à l’actualité de la cybersécurité. Un article arrivera bientôt sur le site pour vous aider à faire cela. Abonnez-vous à la newsletter ci-dessous pour ne pas le rater !
Un grand merci à Marine P., analyste en Cyber Threat Intelligence chez Orange Cyberdefense qui m’a aidé pour la réalisation de cet article.