Formation Threat Intelligence

Formation Cyber Threat Intelligence (CTI) – Collecte, Analyse & Automatisation OSINT

[Jour 1 – Matin]

Fondamentaux & cadre de la CTI

• Cycle du renseignement : planification → collecte → analyse → diffusion → retour
• Typologie CTI : stratégique, tactique, opérationnel, technique
• Enjeux organisationnels de la CTI (place dans une stratégie de cybersécurité, relations RSSI/DPO/DIRCOM).
• Cas d’usage par profil cible : RSSI (pilotage), SOC (détection), IR (réponse).
• Menaces, motivations et surfaces d’attaque (APT, cybercrime, hacktivisme…)
• Formats & vocabulaires : IOC/IOA, TTP, MITRE ATT&CK, kill chain, STIX/TAXII (intro)
• Atelier pratique : Analyse d’une cyberattaque récente → extraction des éléments CTI utiles

[Jour 1 – Après-midi]

Collecte d’informations – Méthodes conventionnelles

• Cartographie des sources : ouvert (sites officiels, CERT, blogs, RSS), communautés sectorielles, rapports éditeurs, logs internes
• Techniques manuelles de veille : plan de requêtes, opérateurs avancés, suivi RSS/newsletters, vérification d’authenticité
• Critères de qualité : fiabilité, fraîcheur, pertinence, biais, couverture sectorielle
• Journal de collecte & traçabilité (chaîne de custody, citation des sources)
• Atelier pratique : Construire un plan de collecte + grille d’évaluation des sources (score qualité)

[Jour 2 – Matin]

Collecter, trier & qualifier (approche conventionnelle)

• Ingestion manuelle multi-formats (CSV/JSON/PDF/web) et normalisation de base
• Nettoyage : dédoublonnage, désambiguïsation d’entités, enrichissements simples (WHOIS, GeoIP, ASN, réputation publique)
• Qualification : scoring de la source & de l’indicateur (confiance, contexte, secteur, temporalité)
• Pré-structuration vers STIX « light » (objets simples : indicator, malware, relationship)
• Atelier pratique : Nettoyer et qualifier un lot d’IOC issus de plusieurs flux

[Jour 2 – Après-midi]

Analyser & corréler (approche conventionnelle)

• Pivoting & liens : domaines ↔ IP ↔ hash ↔ infra, construction de timelines
• Cartographie MITRE ATT&CK & kill chain pour dégager les TTP dominants
• Détection de patterns récurrents (campagnes, fournisseurs d’infra, heures d’activité)
• Restitution : rapport analyste (technique) vs executive brief (décisionnel)
• IA appliquée à la corrélation et à la détection de patterns récurrents (clustering, scoring automatique des IOC avec LLM/ML).
• Démonstration d’un outil open source ou sandbox IA appliqué à la CTI.
• Atelier pratique : Corrélation multi-sources + rédaction d’un one-pager actionnable

[Jour 3 – Matin]

Collecte & analyse augmentées par l’IA (OSINT + corrélation automatisée)

• Pipelines OSINT automatisés : RSS enrichis, crawlers/scrapers conformes, API publiques
• Usage raisonné de l’IA/LLM : classification thématique, déduplication, extraction d’IOC, résumé et corrélation contextuelle (pas d’analyse prédictive)
• Connecteurs STIX/TAXII : packaging & échange normalisés des indicateurs collectés
• Gouvernance & conformité : limites légales, RGPD, TOU, réduction des biais, validation humaine
• Atelier pratique : Monter un mini-pipeline (flux publics) → extraction, déduplication, résumé & export STIX « light »

[Jour 3 – Après-midi]

Intégration dans un cadre opérationnel

• TIP/MISP : import, déconfliction, scoring, partage contrôlé
• SIEM/SOAR : transformer le renseignement en use cases (règles, alertes, playbooks)
• Threat hunting guidé CTI & enrichissement des investigations IR
• Mesure & pilotage : KPI/KRI CTI (taux de faux positifs, MTTD/MTTR, couverture ATT&CK), boucle d’amélioration
• Mise en place d’un service CTI complet
• Atelier pratique : Concevoir un mini-service CTI (workflow collecte → validation → diffusion → action, matrice RACI, plan de diffusion interne/externe)

Livrables & acquis

• Plan de collecte conventionnelle + grille de scoring des sources
• Jeu d’IOC nettoyés & qualifiés + mini-taxonomie STIX « light »
• Executive one-pager et rapport analyste
• Pipeline OSINT auto (IA collecte + tri + résumé + corrélation) + export STIX
• Use cases SIEM/SOAR, playbook de réponse, KPI de pilotage CTI
• Charte d’usage CTI, matrice RACI et plan de mise en place d’un service CTI (document de synthèse de fin de formation)