Salaire Analyste Threat Intelligence 2025 : 4 800€ Junior vs 11 500€ Senior CTI

Revenus nets mensuels moyens. Données banques, assurances, ESN cybersécurité et consultants spécialisés 2024.

138k€

Senior/an net

+140%

Senior vs junior

+75%

Finance vs industrie

Calculer mes revenus analyste threat intelligence

Comparatif revenus par expérience et secteur

Niveau/Statut	ESN Cybersécurité	Banque/Finance	Industrie/Énergie	Consultant indép.
Analyste CTI Junior	4 200-4 800€	5 000-5 800€	4 500-5 200€	4 800-5 500€
Analyste CTI 2-5 ans	4 800-6 200€	5 800-7 500€	5 200-6 800€	5 500-7 200€
Senior Analyste 5-8 ans	6 200-8 000€	7 500-9 500€	6 800-8 500€	7 200-9 000€
Lead CTI 8+ ans	8 000-10 000€	9 500-12 000€	8 500-10 500€	9 000-11 500€
Head of CTI/Expert	10 000-12 500€	12 000-15 000€	10 500-13 000€	11 500-14 500€

Sources : CLUSIF, ANSSI, cabinets cybersécurité, DRH secteur financier 2024

Missions et responsabilités principales

Collecte renseignement : OSINT, sources fermées, dark web
Analyse menaces : APT, campagnes, attribution
Production IOC : Indicateurs compromission, signatures
Veille sécuritaire : Vulnérabilités, exploits, TTPs
Rapports exécutifs : Briefings, assessments, recommandations
Threat hunting : Recherche proactive menaces
Attribution attaques : Groupes APT, motivations
Collaboration équipes : SOC, CERT, incident response

Compétences techniques essentielles

OSINT : Sources ouvertes, méthodologies
Analyse malware : Reverse engineering, sandboxing
MITRE ATT&CK : Framework, TTPs mapping
STIX/TAXII : Standards partage threat intel
Python/Scripts : Automatisation, data processing
Forensic : Investigation numérique, artefacts
Network analysis : Trafic, protocoles, anomalies
Cryptographie : Chiffrement, signatures, PKI

Spécialisations par secteur

Finance/Banque : +40-50% FinTech, régulation
Défense/Militaire : +45-55% classification, APT
Énergie/Utilities : +35-45% SCADA, infrastructures
Santé/Pharma : +40-50% données patients, R&D
Gouvernement : +50-60% souveraineté, espionnage
Tech/Cloud : +35-45% SaaS, supply chain
Retail/E-commerce : +30-40% PCI-DSS, fraude
Télécoms : +40-50% 5G, infrastructures critiques

Collecte et sources de renseignement

OSINT : Sources publiques, réseaux sociaux
Dark Web : Forums, marketplaces, communications
Feeds commerciaux : Threat intelligence platforms
Honeypots : Leurres, capture attaques
Partage communautaire : CERT, ISAC, partenaires
Sandbox analysis : Malware behavior, IOCs
Network telemetry : DNS, flow data, logs
Human intelligence : Contacts, informateurs

Analyse et caractérisation menaces

Profiling attaquants : Motivations, capacités, opportunités
TTPs analysis : Tactics, Techniques, Procedures
Campaign tracking : Évolution, persistance, objectifs
Attribution : Groupes APT, nations, cybercriminels
Timeline reconstruction : Chronologie, kill chain
Impact assessment : Dommages potentiels, criticité
Trend analysis : Évolutions, patterns, prédictions
Contextualisation : Géopolitique, secteur, organisation

Frameworks et standards CTI

MITRE ATT&CK : Matrice tactiques, techniques
Diamond Model : Adversary, Infrastructure, Capability, Victim
Cyber Kill Chain : Lockheed Martin, phases attaque
STIX/TAXII : Structured Threat Information eXpression
TLP : Traffic Light Protocol, classification
CAPEC : Common Attack Pattern Enumeration
VERIS : Vocabulary for Event Recording
OpenIOC : Open Indicators of Compromise

Outils et plateformes CTI

TIP : Threat Intelligence Platforms (MISP, ThreatQ)
OSINT Tools : Maltego, Shodan, SpiderFoot
Malware Analysis : IDA Pro, Ghidra, Cuckoo
SIEM Integration : Splunk, QRadar, Sentinel
Automation : SOAR, Phantom, Demisto
Visualization : Gephi, Palantir, i2 Analyst
Communication : Slack, Teams, encrypted channels
Documentation : Confluence, GitBook, wikis

OSINT et recherche sources ouvertes

Moteurs recherche : Google dorking, Bing, Yandex
Réseaux sociaux : LinkedIn, Twitter, Facebook
Forums techniques : Reddit, Stack Overflow, spécialisés
Bases données : CVE, NVD, exploit-db
Registres domaines : WHOIS, DNS, certificats
Code repositories : GitHub, GitLab, leaks
News aggregation : Feedly, AlertBot, monitoring
Academic papers : ArXiv, conferences, research

Surveillance Dark Web

Accès sécurisé : Tor, VPN, operational security
Forums cybercriminels : Marketplaces, discussions
Leak monitoring : Data breaches, credentials
Malware-as-a-Service : Offres, pricing, capabilities
Ransomware groups : Communications, négociations
Threat actor profiling : Identités, réputations
Early warning : Campagnes, cibles, timing
Legal compliance : Juridiction, évidence handling

Analyse de malware

Static analysis : Strings, imports, structure
Dynamic analysis : Sandbox, behavior monitoring
Reverse engineering : Disassembly, decompilation
Family classification : Variants, evolution
C2 extraction : Command & Control, infrastructure
IOC generation : Hashes, domains, IPs
Yara rules : Signatures, detection patterns
Attribution : Code reuse, TTPs, infrastructure

Production et diffusion rapports

Executive briefings : Management, board-level
Technical reports : SOC, IR teams, details
IOC feeds : Automated, machine-readable
Threat assessments : Risk evaluation, recommendations
Attribution reports : Actor profiling, capabilities
Trend analysis : Quarterly, annual reviews
Incident correlation : Campaign linking, context
Actionable intelligence : Defensive measures, priorities

Threat Hunting

Hypothesis-driven : Assumptions, testing, validation
IOC-based : Known indicators, pivoting
TTP-based : Behavioral patterns, anomalies
Analytics-driven : ML, statistical analysis
Crown jewel focus : Critical assets protection
Threat modeling : Attack paths, scenarios
Hunt platforms : ELK, Splunk, custom tools
Continuous hunting : Automation, orchestration

Attribution et profiling acteurs

Technical attribution : Code, infrastructure, TTPs
Behavioral analysis : Patterns, preferences, timing
Linguistic analysis : Languages, expressions, errors
Geopolitical context : Motivations, targets, timing
Infrastructure overlap : Shared resources, patterns
Tool reuse : Malware families, frameworks
Confidence levels : Low, medium, high attribution
False flags : Deception, misdirection

Threat Intelligence secteur financier

Fraude bancaire : Phishing, BEC, wire fraud
Malware banking : Trojans, web injects
ATM attacks : Skimming, jackpotting
SWIFT attacks : Network intrusion, messaging
Cryptocurrency : Exchange hacks, wallet theft
Insider threats : Rogue employees, data theft
Regulatory compliance : PCI-DSS, GDPR, reporting
Threat sharing : FS-ISAC, industry groups

CTI pour défense et gouvernement

Espionnage étatique : APT, exfiltration, surveillance
Classification security : Clearance levels, compartments
Supply chain : Hardware, software, vendors
Critical infrastructure : SCADA, ICS, utilities
Disinformation : Propaganda, influence operations
Cyber warfare : Doctrine, capabilities, attribution
Intelligence sharing : Five Eyes, NATO, alliances
Threat briefings : Classified, executive levels

Automatisation et orchestration

SOAR platforms : Security Orchestration, Automation
API integration : Feeds, platforms, tools
Machine learning : Pattern recognition, classification
NLP processing : Text analysis, extraction
Workflow automation : Playbooks, responses
Data enrichment : Context, correlation, scoring
Alert filtering : False positives, prioritization
Continuous monitoring : 24/7 surveillance, alerting

Collaboration inter-équipes

SOC teams : Alert triage, investigation support
Incident Response : Attribution, context, TTPs
Vulnerability Management : Threat context, prioritization
Risk Management : Assessments, quantification
Legal/Compliance : Evidence, attribution, reporting
Executive briefings : Strategic intelligence, decisions
External partners : Sharing, collaboration, feeds
Vendor management : Threat intel providers, evaluation

Métriques et indicateurs performance

MTTD : Mean Time To Detection
MTTR : Mean Time To Response
IOC accuracy : False positives, true positives
Threat coverage : Secteur, géographie, acteurs
Intelligence consumption : Usage, actionability
Attribution confidence : Accuracy, validation
Predictive accuracy : Forecasting, early warning
Cost avoidance : Prevented incidents, ROI

Formations et certifications

SANS FOR578 : Cyber Threat Intelligence
SANS FOR585 : Smartphone Forensics
GCTI : GIAC Cyber Threat Intelligence
CISSP : Certified Information Systems Security
OSCP : Offensive Security Certified Professional
MITRE ATT&CK : Certified Threat Intelligence Analyst
University programs : Cybersecurity, Intelligence Studies
Vendor training : Platforms, tools, methodologies

Parcours d'évolution professionnelle

CTI Analyst Junior : 4 200-4 800€
CTI Analyst : 4 800-6 200€
Senior CTI Analyst : 6 200-8 000€
Lead CTI Analyst : 8 000-10 000€
CTI Manager : 10 000-12 500€
Head of CTI : 12 500-15 000€
CISO/Security Director : 15 000-20 000€
Consultant Expert : 1 200-2 000€/jour

Secteurs et employeurs

Banques : BNP Paribas, Société Générale, Crédit Agricole
Assurances : AXA, Allianz, Generali
ESN Cybersec : Thales, Orange Cyberdefense, Atos
Conseil : Deloitte, PwC, KPMG, EY
Énergie : EDF, Total, Engie
Gouvernement : ANSSI, Ministères, Défense
Tech : Microsoft, Google, Amazon
Pure players : CrowdStrike, FireEye, Recorded Future

Tendances et évolutions du marché

AI/ML integration : Automated analysis, prediction
Cloud-native CTI : Scalable, distributed platforms
Threat hunting evolution : Proactive, hypothesis-driven
Supply chain focus : Third-party risk, vendors
Ransomware-as-a-Service : Ecosystem analysis
Nation-state activity : Geopolitical tensions
Privacy regulations : GDPR impact, data handling
Skill shortage : High demand, competitive salaries

Soft skills et qualités personnelles

Curiosité : Investigation, research mindset
Esprit critique : Analyse, scepticisme, validation
Communication : Vulgarisation, stakeholders
Patience : Long-term analysis, persistence
Discrétion : Confidentialité, classification
Adaptabilité : Évolution menaces, technologies
Collaboration : Teamwork, information sharing
Stress management : Pressure, deadlines, incidents

Conditions de travail

Horaires : Flexibles, astreintes possibles
Remote work : Hybride courant, sécurité requise
Clearance : Habilitations gouvernementales
Stress : Incidents, deadlines, responsabilités
Formation continue : Évolution rapide domaine
Voyages : Conférences, formations, clients
Équipement : Outils spécialisés, sécurisés
Confidentialité : NDAs, classification levels

Activité indépendante et conseil

Tarifs journaliers : 800-2000€/jour selon expertise
Missions courtes : Assessments, audits 2-8 semaines
Expertise pointue : APT analysis, attribution
Formations : Corporate training, workshops
Incident response : Support forensic, attribution
Threat assessments : Sectoriels, géographiques
Tool development : Custom solutions, automation
Speaking : Conférences, thought leadership

Variations géographiques

Paris : Hub européen, salaires élevés
Londres : +30% vs Paris, Brexit impact
Washington DC : +80% vs Paris, gouvernement
Tel Aviv : +50% vs Paris, Unit 8200
Lyon : -10% vs Paris, coût vie
Rennes : -15% vs Paris, DGA/ANSSI
Remote : Salaire parisien, coût vie local
International : Expatriation, packages complets

Défis et difficultés du métier

Information overload : Volume, vélocité, variété
False positives : Signal vs noise, accuracy
Attribution challenges : Deception, false flags
Rapid evolution : TTPs, tools, actors
Legal constraints : Jurisdictions, evidence
Resource limitations : Budget, tools, personnel
Sharing barriers : Classification, competition
Burnout risk : Stress, workload, responsibility

Estimez vos revenus d'analyste threat intelligence

Utiliser le simulateur complet

Questions fréquentes analyste threat intelligence

Quelle formation pour devenir analyste CTI ?

Master cybersécurité/informatique recommandé. Certifications SANS/GIAC valorisées. Expérience SOC/sécurité appréciée. Compétences OSINT, analyse, rédaction essentielles. Anglais technique indispensable.

Faut-il une habilitation sécuritaire ?

Pas obligatoire secteur privé. Nécessaire gouvernement/défense. Secret Défense valorisé (+20-30%). Processus long (6-12 mois). Ouvre opportunités spécifiques.

Comment débuter sans expérience ?

Stage SOC/CERT recommandé. Projets OSINT personnels. Certifications entry-level. Participation communautés (CTI, OSINT). Veille active, blog technique.

Quels outils maîtriser en priorité ?

MISP indispensable. MITRE ATT&CK essentiel. Python pour automatisation. Maltego pour OSINT. Yara pour détection. Platforms commerciales selon employeur.

Le secteur financier paie-t-il mieux ?

Oui, +30-40% vs industrie. Contraintes réglementaires, criticité. Horaires étendus possibles. Astreintes fréquentes. Stress élevé mais compensation.

Peut-on travailler en remote ?

Hybride courant, full remote rare. Sécurité des données critique. VPN, équipements sécurisés. Collaboration équipes importante. Dépend classification.

Comment évoluer vers management ?

Leadership projets, mentorat juniors. Gestion budget, vendors. Communication executives. Vision stratégique. Formation management recommandée.

L'IA va-t-elle remplacer les analystes ?

Non, IA augmente capacités. Automatise tâches répétitives. Analyse contextuelle reste humaine. Attribution nécessite expertise. Évolution vers higher-level analysis.

Quelles perspectives internationales ?

Excellentes si anglais maîtrisé. Threat landscape global. Échanges internationaux fréquents. Opportunités expatriation. Conférences mondiales.

Comment se tenir à jour ?

Veille quotidienne (Twitter, blogs). Conférences (BSides, Black Hat). Formations continues. Communautés pratique. Threat intel feeds. Recherche académique.

Calculer mes revenus selon ma spécialisation

Méthodologie : Données collectées auprès du CLUSIF, ANSSI, cabinets cybersécurité, DRH secteur financier et consultants spécialisés. Échantillon 190+ analystes threat intelligence France.

Mise à jour : août 2025