Secu
CTI : dix idées reçues qui fragilisent vos programmes de sécurité
Par La rédaction, publié le 25 juin 2026
Vous avez une équipe CTI (Cyber Threat Intelligence), une plateforme, des flux. Êtes-vous sûr d’avoir un programme ? Voici 10 idées reçues qui méritent vraiment d’être revisitées...
Par Falk Schwendike, Senior Solution Engineer chez Filigran
Le renseignement sur les cybermenaces (CTI) a quitté le domaine des spécialistes pour s’imposer au cœur des stratégies de sécurité. La directive NIS2 l’a d’ailleurs consacré en renforçant les obligations de gestion des risques et en encourageant le partage d’indicateurs de compromission entre organisations. Mais cette montée en visibilité a aussi propagé des idées reçues qui, en pratique, affaiblissent les programmes qu’elles sont censées servir. En voici dix, avec, pour chacune, ce qu’il faudrait faire à la place.
1 – « La CTI, c’est un flux de données. »
C’est l’erreur fondatrice, et elle se cache dans chaque cahier des charges qui réclame « un flux de renseignements » comme on commanderait de la charcuterie en ligne. Un flux produit des indicateurs. La CTI produit des jugements exploitables, ancrés dans la réalité de votre organisation. Un flux météo vous dit qu’il fait 14°C à Paris. Le renseignement vous dit d’emporter un imperméable parce que vous avez une réunion en terrasse et qu’il pleut depuis trois jours. Sans ce travail d’analyse et de mise en contexte, vous avez un abonnement, pas un programme.
2 – « Plus de données, c’est mieux. »
La façon la plus coûteuse de se tromper est de se tromper à grande échelle. Empiler quinze flux ne produit pas quinze fois plus de valeur. Cela produit quinze fois plus de problèmes de déduplication et un score de confiance qui s’effondre discrètement. La bonne question n’est pas « combien », mais « quelle pertinence ». Les Priority Intelligence Requirements (PIR) sont le filtre par lequel tout doit passer. Si votre plateforme ne peut pas relier un indicateur à un PIR en quelques clics, les données ne travaillent pas pour vous. C’est vous qui travaillez pour elles.
3 – « L’objectif, c’est l’attribution. »
L’attribution a de quoi séduire. Elle s’accompagne de noms accrocheurs, de cartes animées et de la satisfaction de se dire « on les a démasqués. » Mais pour la grande majorité des équipes de défense, c’est aussi une source de distraction. Savoir que l’acteur est APT10 est intéressant. Savoir quelles techniques il privilégie contre votre secteur, quelles lacunes existent dans vos détections et quels fournisseurs figurent dans son historique de victimes : voilà ce qui est utile. Le premier point relève de la curiosité. Le second, c’est un plan d’action pour le lendemain matin.
4 – « Partager nos renseignements nous expose. »
Ce sophisme se présente sous deux formes. La première : le partage nous expose juridiquement ou concurrentiellement. La seconde, plus rarement admise : nos renseignements ne sont pas assez bons pour être partagés. Les deux sont largement erronées. L’acteur qui cible votre organisation cible aussi vos pairs. Traiter ses détections comme un avantage concurrentiel est à peu près aussi efficace que de garder son parapluie secret pendant un orage. Les ISAC, les communautés MISP et les groupes de confiance sectoriels existent pour transformer le coût d’une découverte individuelle en bénéfice collectif, avec des marquages TLP et des contrôles d’accès adaptés.
5 – « Le SOC saura quoi en faire. »
Des renseignements transmis à un analyste SOC à 3 heures du matin sans contexte opérationnel ne sont, au mieux, que des post-it venus du futur. Les SOC sont optimisés pour la réponse, pas pour l’interprétation. Si l’équipe CTI produit un rapport stratégique solide sur un groupe de ransomware émergent et que la seule interaction du SOC avec ce travail se résume à une page d’indicateurs de compromission (IOC) dans un fichier CSV, la valeur ajoutée a été discrètement jetée aux orties. La solution n’est pas de former davantage le SOC. C’est de livrer les renseignements dans le format que chaque destinataire peut exploiter : IOC tactiques pour le SOC, analyse des lacunes pour l’ingénierie de détection, tendances et victimologie pour le RSSI, synthèse narrative pour le comité de direction.
6 – « Le renseignement stratégique, c’est du simple conseil pour les dirigeants. »
Cette idée vient souvent des analystes, et on les comprend : la plupart des « renseignements stratégiques » qui circulent se résument à un diaporama de photos génériques et au mot « géopolitique » utilisé comme un verbe. Mais une CTI stratégique digne de ce nom, celle qui cartographie les motivations des adversaires, les tendances de ciblage sectoriel et l’exposition de la chaîne d’approvisionnement, est la couche qui détermine si votre budget de sécurité existera encore l’année prochaine. Les instances dirigeantes n’arbitrent pas sur des règles de détection. Elles arbitrent sur des récits.
7 – « Notre couverture ATT&CK garantit notre sécurité. »
La carte thermique est une chose séduisante. C’est aussi, de plus en plus, un village Potemkine. Marquer une technique comme « couverte » parce qu’une détection existe pour une sous-technique dans certaines conditions est une erreur de catégorie qui crève les yeux. MITRE ATT&CK est un langage pour décrire les comportements adversaires, pas une liste de contrôle défensive. Utilisez ce cadre pour communiquer, regrouper et raisonner honnêtement sur vos lacunes. Puis associez le à une validation par simulation d’attaque. La carte n’est pas le territoire. La carte thermique, surtout, n’est pas le territoire.
8 – « L’IA fera l’analyse à notre place. »
Les grands modèles de langage excellent dans la synthèse, la traduction et la mise en évidence de tendances dans un corpus qu’aucun analyste ne pourrait parcourir seul. Ils produisent aussi des erreurs avec la même assurance et la même fluidité que des résultats justes, sans jamais savoir dans quel cas ils se trouvent. Un modèle qui hallucine le profil de ciblage d’un groupe APT dans un briefing de direction est pire que l’absence de briefing, parce que l’invention porte le même uniforme que la vérité. L’IA augmente l’analyste, elle ne le remplace pas. Le jugement qui transforme l’information en renseignement reste humain.
9 – « La plateforme sert à stocker des IOC. »
C’est le mythe qui transforme une plateforme de renseignement en tableur très coûteux orné d’un logo. Une plateforme CTI moderne est un graphe : un indicateur est lié à une famille de malware, qui est liée à un ensemble d’intrusions, qui est liée à une campagne, qui est liée à un secteur ciblé. C’est la navigation entre ces nœuds qui produit de la valeur. Utilisée comme une simple liste, la plateforme n’est au mieux qu’une blocklist perfectionnée. Au pire, un cimetière de contextes que la direction financière paie pour entretenir sans en mesurer le retour.
10 – « Avoir une équipe CTI, c’est être mature. »
C’est le mythe ultime, celui qui se présente sous la forme d’organigrammes et de lignes budgétaires, et qui est presque toujours inexact. La maturité ne réside pas dans l’existence d’une fonction. Elle se mesure au resserrement tangible du lien entre les renseignements produits et les décisions effectivement modifiées. Une équipe de deux personnes dotées de PIR clairs, d’une priorisation rigoureuse et d’une boucle de retour fonctionnelle surpasse régulièrement une équipe étoffée dont les rapports trimestriels restent sans suite prouvée. Le test est inconfortable mais simple : au cours des 90 derniers jours, citez trois décisions opérationnelles ou stratégiques qui ont changé grâce à votre CTI. Si la liste est courte, l’équipe n’est pas le problème. La boucle de rétroaction l’est.
La CTI mature n’est pas celle qui produit le plus. C’est celle dont les analyses modifient réellement les priorités, les détections et les arbitrages.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
