Syllabus : Threat Intelligence et veille cyber
Analystes SOC, consultants GRC et responsables sécurité souhaitant structurer une capacité de veille et de renseignement sur les menaces.
Téléchargez ce syllabus en PDF
Nous préparons les exports PDF par demande : précisez le syllabus et votre contexte (école, durée, public) via le formulaire de contact.
Accéder au formulaire de contact →Objectifs pédagogiques
- Comprendre le cycle du renseignement appliqué à la cybersécurité (direction, collecte, analyse, diffusion).
- Collecter, structurer et contextualiser des indicateurs de compromission (IoC) à partir de sources multiples.
- Produire des rapports de threat intelligence exploitables et alimenter les outils de détection.
- Mettre en place une veille cyber opérationnelle et stratégique.
Séquences
Séance 1 · 5 h
Fondamentaux de la Threat Intelligence
Définitions et niveaux de CTI (stratégique, tactique, opérationnel, technique), cycle du renseignement, frameworks Diamond Model et Kill Chain, taxonomies de menaces (MITRE ATT&CK, STIX/TAXII).
Activité : Atelier : classification de rapports CTI publics selon les niveaux stratégique, tactique et opérationnel avec mapping MITRE ATT&CK.
Séance 2 · 6 h
Sources de renseignement et collecte
Sources ouvertes (OSINT), feeds commerciaux et communautaires, dark web monitoring, CERT/CSIRT nationaux, échanges sectoriels (ISAC), collecte automatisée via API, agrégation et déduplication.
Activité : Lab : mise en place d'une plateforme d'agrégation de feeds IoC avec MISP, import de sources OTX et abuse.ch, et enrichissement automatique.
Séance 3 · 6 h
Analyse et contextualisation des menaces
Analyse d'IoC (hashes, IP, domaines, URL), enrichissement via VirusTotal, Shodan, PassiveTotal, corrélation d'événements, attribution d'acteurs (APT), analyse de campagnes, scoring de confiance.
Activité : Lab : investigation d'une campagne APT simulée : corrélation d'IoC, identification de l'acteur, et construction d'un graphe de relations dans MISP.
Séance 4 · 5 h
Production et diffusion de rapports CTI
Rédaction de rapports tactiques et stratégiques, formats standardisés (STIX 2.1), diffusion ciblée par audience, intégration dans les SIEM/SOAR, TLP (Traffic Light Protocol), partage inter-organisations.
Activité : Atelier : rédaction d'un rapport CTI complet sur un groupe APT avec IoC structurés en STIX, et simulation de diffusion TLP:AMBER.
Séance 5 · 6 h
Veille cyber opérationnelle et automatisation
Mise en place d'un processus de veille continue, monitoring de vulnérabilités (CVE), surveillance de marques et fuites de données, automatisation avec TheHive/Cortex, intégration SOAR, KPI de la CTI.
Activité : Lab : configuration d'un workflow de veille automatisé : détection de nouvelles CVE critiques, enrichissement automatique, et création d'alertes dans TheHive.
Séance 6 · 7 h
Exercice de synthèse CTI
Simulation complète d'une cellule CTI face à une menace émergente : collecte, analyse, production de rapports, briefing décisionnel et alimentation des défenses techniques.
Activité : Exercice : en équipe, traiter un scénario de menace sectorielle de bout en bout : de l'alerte initiale au briefing exécutif, en passant par la production d'IoC et la mise à jour des règles SIEM.
Évaluation
Rapport CTI individuel sur un groupe APT (40 %), participation aux labs et exercices (30 %), briefing oral de synthèse (30 %).
Prérequis
Connaissances de base en cybersécurité, familiarité avec les concepts réseau et les logs de sécurité.
Outils et environnement
- MISP
- TheHive / Cortex
- VirusTotal
- Shodan
- MITRE ATT&CK Navigator
- OpenCTI