Avancé20-30h

Comment enseigner la Threat Intelligence

Cycle du renseignement, MITRE ATT&CK, production d'IOC

Pourquoi enseigner ce domaine

La threat intelligence transforme des données brutes sur les menaces en renseignement actionable qui guide la détection et la défense. C'est une discipline qui développe l'esprit analytique, la rigueur et la capacité de synthèse : des compétences transversales précieuses.

Prérequis étudiants

✓Bases en sécurité informatique
✓Compréhension du paysage des menaces
✓Anglais technique (les rapports CTI sont souvent en anglais)

Progression pédagogique recommandée

Cycle du renseignement

Comprendre les étapes : direction → collecte → traitement → analyse → diffusion

Sources et collecte

Identifier les sources (OSINT, dark web, CERT, feeds) et structurer la collecte

MITRE ATT&CK appliqué

Mapper des attaques sur ATT&CK, utiliser Navigator, créer des profils d'adversaires

Production de renseignement

Rédiger des rapports CTI (tactique, opérationnel, stratégique) et produire des IOC

Erreurs courantes des formateurs

Réduire la CTI à une liste d'IOC : c'est un processus de renseignement complet

Négliger l'analyse et la contextualisation : un IOC sans contexte est inutile

Ne pas enseigner la rédaction de rapport CTI : c'est la compétence la plus distinctive

TP et exercices concrets

Analyse de rapport APT

Analyser un rapport APT public et mapper les TTP sur MITRE ATT&CK

⏱ 3h📄 Cartographie ATT&CK Navigator + fiche d'adversaire🔧 ATT&CK Navigator, rapport APT (ANSSI, Mandiant)

Production de renseignement

Rédiger un rapport de renseignement sur une menace émergente

⏱ 3h📄 Rapport CTI structuré (tactique + opérationnel)🔧 Sources OSINT, MISP, template de rapport

Outils et environnement de lab

MITRE ATT&CK NavigatorMISPOpenCTITheHiveFeeds CTI (AlienVault OTX, Abuse.ch)

Comment évaluer les étudiants

Projet de renseignement : l'étudiant choisit un groupe d'attaquants ou une campagne, collecte les informations, produit un profil d'adversaire et un rapport CTI structuré avec IOC et recommandations de détection.

Questions fréquentes

Comment structurer un cours de threat-intelligence ?

Un cours de threat-intelligence se structure en 4 blocs progressifs : Cycle du renseignement, Sources et collecte, MITRE ATT&CK appliqué, Production de renseignement. Chaque bloc doit combiner théorie et pratique avec des exercices concrets.

Quels outils utiliser pour enseigner le threat-intelligence ?

Les outils recommandés incluent : MITRE ATT&CK Navigator, MISP, OpenCTI, TheHive, Feeds CTI (AlienVault OTX, Abuse.ch). Privilégiez les outils open source accessibles aux étudiants.

Quelles erreurs éviter en enseignant le threat-intelligence ?

Réduire la CTI à une liste d'IOC : c'est un processus de renseignement complet