Dans un contexte de tensions géopolitiques accrues, les dernières années ont été marquées par une recrudescence des cybermenaces, illustrée par le renforcement des capacités des attaquants, la diversification de leurs méthodes mais aussi l’amélioration de leurs opérations grâce à l’intelligence artificielle (ANSSI, Panorama de la cybermenace 2025).
Dans ce contexte, l’intégration de la Cyber Threat Intelligence (CTI) dans la stratégie de cybersécurité et la posture globale des organisations est devenue un atout clé pour anticiper des attaques de plus en plus sophistiquées et innovantes ainsi que leurs impacts opérationnels potentiels. En effet, la CTI fournit un aperçu rapide des menaces potentielles et soutient une posture proactive en renforçant la détection, en consolidant les défenses et en améliorant la réponse aux incidents. Au-delà de la collecte des indicateurs bruts, la CTI est un processus fondé sur la décision, visant à mieux comprendre les adversaires en transformant les données en renseignements exploitables capables de répondre à des questions précises en matière de cybersécurité.
De manière générale, nous distinguons trois formes complémentaires de renseignement pour renforcer la posture d’une organisation en matière de cybersécurité :
- Stratégique, guidant les décisions à long terme et les investissements prioritaires,
- Tactique, analysant les outils des attaquants et leurs Tactiques, Techniques et Procédures (TTP) afin de définir la posture défensive à prendre,
- Opérationnel et technique, fournissant des détails exploitables tels que des indicateurs de compromission (IoC) et des indicateurs d’attaque (IoA) pour contrer des menaces spécifiques et récentes.
Comme la CTI couvre plusieurs niveaux de prise de décision, son efficacité dépend de la capacité d’une organisation à traiter des volumes croissants de données hétérogènes, à détecter des signaux faibles et à produire des renseignements exploitables à tous les niveaux. Ces fonctionnalités sont complexes à gérer pour les outils traditionnels de CTI, compte tenu du volume et de l’hétérogénéité des données. Tout au long de cet article, nous présenterons plusieurs cas d’usage dans lesquels l’utilisation de l’intelligence artificielle (IA) au sein de l’entreprise agit comme un levier puissant pour améliorer la CTI. Pour y parvenir, notre analyse s’appuie sur le modèle CTI-CMM, qui fournit aux parties prenantes des organisations un cadre structuré pour renforcer leur maturité CTI. Conçu pour évaluer la maturité d’un programme et l’évolution de ses capacités, le CTI-CMM propose une cartographie complète des cas d’usage de la CTI dans onze domaines, fournissant une base claire et méthodique pour évaluer dans quels domaines l’IA peut contribuer le plus efficacement aux activités de la CTI.
Toutes les utilisations de l’IA en CTI n’apportent pas la même valeur et ne doivent pas être appréhendées de la même manière. S’appuyant sur son expérience acquise dans le cadre de missions CTI, Wavestone a développé un modèle à trois niveaux – « Safe Wins », « High-Potential Accelerators » et « Frontier Bets » – conçu pour structurer les cas d’usage en fonction de leur maturité en IA, de leur impact sur la prise de décision et de leur alignement avec la maturité CTI d’une organisation.
Safe Wins
Les Safe Wins sont des cas d’usage où l’IA peut déjà améliorer les performances de la CTI avec des changements mineurs à un modèle de gouvernance CTI « traditionnel » (c’est-à-dire la responsabilité de l’analyste, les flux de validation et de diffusion, ainsi que la distinction entre ce qui est automatisé et ce qui relève du jugement d’expert). Ils comportent peu de risques et sont faciles à mettre en œuvre, permettant d’obtenir un retour sur investissement rapide grâce à l’automatisation de tâches répétitives telles que le filtrage, l’enrichissement et la corrélation. Les résultats sont réversibles et les erreurs sont faciles à détecter, ce qui en font des points d’entrée idéaux.
L’IA pour améliorer la détection des menaces et la capacité de réaction (1a.)
L’IA est devenue un allié puissant dans le traitement et la corrélation des données non structurées collectées par les plateformes de renseignement sur les menaces TIP (Threat intelligence plateforms, TIP) afin de les transformer en renseignements exploitables. Si les organisations doivent préconiser l’utilisation des TIP pour collecter des données sur les IoC et les IoA à partir de sources qualitatives sélectionnées par l’humain et de sources OSINT, la véritable valeur ajoutée de l’IA contrôlée par l’entreprise en matière de prévention et de préparation aux attaques réside dans sa capacité à améliorer la qualité des données entrantes grâce à un score de confiance. Compte tenu de sa capacité à traiter rapidement de grandes quantités de données (IP, domaine, hash, comportement, etc.), l’IA peut être utilisée pour établir des corrélations entre différentes caractéristiques (par exemple, similitudes avec des logiciels malveillants antérieurs, liens avec des acteurs malveillants, comportements inhabituels) et vérifier les faux positifs des IoC entrants afin d’attribuer un score de confiance et éviter de bloquer des informations pertinentes du côté de la Blue Team.
L’IA pour structurer et standardiser l’analyse et le rapport des données CTI (1b.)
L’IA peut aider les équipes de CTI en facilitant l’analyse des données brutes issues de multiples sources en s’appuyant sur son LLM (Large Language Model). Elle permet de restructurer les rapports selon des modèles standardisés tels que le format STIX, en veillant à ce que les informations pertinentes soient placées dans les champs appropriés. Les procédures, techniques et éléments contextuels des attaquants peuvent être extraits et transformés en données structurées pour améliorer la qualité globale des données, la lisibilité et l’interopérabilité avec les TIP et les outils de sécurité en aval. S’agissant d’un cas d’usage relativement simple et peu risqué, il sert avant tout à améliorer la productivité des analystes en leur permettant de structurer leurs rapports selon un format standardisé.
L’IA pour structurer et standardiser l’analyse et le rapport des données CTI (1c.)
En ce qui concerne les activités des Red Team et Purple Team, l’IA peut aider les équipes CTI à identifier les TTP récurrentes dans les rapports, à regrouper les procédures similaires et à consolider les doublons en modules exploitables. L’IA peut accompagner les analystes dans l’extraction des informations les plus pertinentes des rapports de menaces et de l’OSINT afin de maintenir une base de connaissances cohérente et exploitable axée sur les menaces. L’IA peut également aider à générer des macro-scénarios basés sur des rapports de menaces et des renseignements disponibles publiquement, y compris le choix des acteurs et des schémas d’attaque. Cependant, pour être considéré comme safe win, elle doit rester un outil d’aide à la décision, car la génération de scénarios techniques de bout en bout nécessite des données sensibles, un modèle de responsabilité adapté et des mesures de protection de la confidentialité des données afin d’éviter toute divulgation inappropriée ou utilisation abusive.
L’IA pour soutenir l’alignement stratégique des besoins en renseignement (1d.)
L’IA peut également contribuer à la définition et à l’affinement des priorités et des objectifs dans le suivi des menaces. Plus spécifiquement, l’IA participe à l’accélération des processus analytiques en aidant à la rédaction et à l’amélioration continue des besoins prioritaires en matière de renseignement (Priority intelligence requirements, PIR) et en proposant des modèles de reporting sur-mesure pour les parties prenantes. Elle permet également de synthétiser les signaux complexes des programmes, permettant aux analystes de se concentrer sur l’interprétation et la prise de décision. La validation humaine reste toutefois essentielle pour assurer l’alignement avec la stratégie cyber globale de l’organisation et ses cadres de référence en matière de performance. En effet, ne pas tenir compte des limites inhérentes à l’IA, notamment en termes de précision, de fiabilité et d’explicabilité, peut entraîner des risques importants, notamment la génération d’informations trompeuses susceptibles de désaligner les données de renseignement vis-à-vis des objectifs de cybersécurité de l’entreprise.
Ces cas d’usage safe wins illustrent comment l’IA peut déjà renforcer la CTI dans plusieurs dimensions opérationnelles : améliorer la qualité et l’exploitation des données de renseignement pour les activités défensives (a), accélérer la mise en forme et l’utilisation des rapports CTI (b), soutenir les opérations de sécurité offensive basées sur la menace grâce à une meilleure extraction des TTP et à la préparation de scénarios (c), et contribuer à la rédaction des exigences en matière de renseignement et à la conception des rapports. En améliorant l’efficacité, la cohérence et la scalabilité de ces activités, ces cas d’usage établissent une base solide pour le niveau supérieur d’applications nécessitant une plus grande maturité organisationnelle.
High-Potential Accelerators
Les High-Potential Accelerators s’adressent aux équipes CTI plus matures, où l’IA sert à renforcer les capacités plutôt qu’à se substituer à l’expertise. Ils améliorent considérablement la productivité des analystes en optimisant la détection, en soutenant la génération d’hypothèses et en traduisant les renseignements en résultats exploitables. Cependant, ces cas d’utilisation nécessitent des données contextuelles de haute qualité, des processus structurés et une gouvernance robuste (e.g., intervention humaine, explicabilité, boucles de rétroaction) pour garantir des résultats fiables et contrôlés.
L’IA pour optimiser la détection de la fraude financière et de l’usurpation de marque (2a.)
L’IA peut améliorer la CTI en élargissant le périmètre d’identification des éléments liés à la fraude et à l’usurpation d’identité de marque. Elle permet la détection de noms de domaines similaires et de sites web/logos clonés sur différents domaines à l’aide du NLP[1], de la vision par ordinateur et de l’analyse comportementale. Ces actifs peuvent être enrichis d’indicateurs techniques (DNS, infrastructure d’hébergement, modèles d’enregistrement) et de signaux contextuels (similitude de contenu, flux de redirection), puis mises en relation pour former des campagnes d’attaques cohérentes et intégrées dans la TIP. Les renseignements ainsi obtenus peuvent être transmis à la Blue Team afin de faciliter les opérations de détection, de blocage et de neutralisation. Si l’automatisation de la détection et du tri à grande échelle permet aux équipes CTI de se concentrer sur la vérification, la hiérarchisation et l’impact commercial nécessitent une gouvernance rigoureuse et une coordination étroite entre les équipes CTI, celles chargées de la lutte contre la fraude et de la protection de la marque, celles chargées des opérations de sécurité et le service juridique afin de réduire au minimum les faux positifs et de garantir une réponse efficace.
L’IA pour prioriser le patching des vulnérabilités (2b.)
L’IA peut soutenir la gestion des vulnérabilités en priorisant dynamiquement les efforts de correction en fonction de la veille sur les menaces, des technologies sous-jacentes, ainsi que de l’exposition et de la criticité des applications métier. En combinant le contexte des menaces, l’activité d’exploitation, l’environnement des actifs et les contraintes propres à l’entreprise, l’IA peut estimer un score de risque pour chaque vulnérabilité. Ce score est utilisé pour déclencher des alertes ciblées et guider les équipes de correction vers les actions de remédiation les plus critiques. L’approche doit intègrer tous les éléments liés aux menaces dans le contexte de l’organisation, permettant à l’IA d’agir comme une couche intelligente de support à la décision plutôt qu’un mécanisme de notation générique. La complexité de ce cas d’utilisation découle de la nécessité pour l’IA d’accéder et de corréler de grands volumes de données sensibles et critiques provenant des systèmes de sécurité, de l’IT et de gestion des actifs.
L’IA pour soutenir la threat detection et les tests d’intrusion (2c.)
Lorsqu’il s’agit d’orienter des hypothèses de recherche proactives de menaces et de les hiérarchiser en s’appuyant sur les TTP des acteurs malveillants, leurs campagnes et les besoins prioritaires en matière de renseignements, l’IA apporte un véritable avantage. Elle peut aider à générer des hypothèses de threat hunting à partir des TTP observés, à mettre en évidence celles à prioriser en fonction des PIR, des vulnérabilités ou les signaux relatifs aux actifs, à les transformer en requêtes ou en playbooks, et à résumer les résultats des enquêtes en cours. Associée à une base de connaissances interne ou à un contexte enrichi par RAG[2], l’IA aide les « chasseurs » à agir avec plus de clarté et de précision. De plus, l’IA peut aider les équipes dans l’exécution des tests d’intrusion et des activités de simulation d’attaques. En automatisant les flux offensifs et en simulant des scénarios d’attaque complexes et réalistes, elle permet des tests plus évolutifs, efficaces et réalistes, aidant ainsi les équipes à mieux faire face à des menaces de plus en plus soutenues par l’IA. Toutefois, cela n’implique pas que l’IA puisse remplacer les équipes de CTI et de sécurité offensive. Le succès des tests d’intrusion assistés par l’IA repose sur une expertise avisée, une bonne connaissance du secteur et une gestion rigoureuse des risques. L’expertise humaine reste essentielle pour interpréter les résultats et prendre des décisions éclairées.
Pris ensemble, ces cas d’usage High-Potential Accelerators montrent comment l’IA amplifie la CTI dans trois fonctions principales : la détection des fraudes financières et des menaces d’usurpation de marque (a), la priorisation des correctifs de vulnérabilité (b) et l’amélioration du threat hunting (c). Agissant comme un multiplicateur de force plutôt qu’un substitut, l’IA accélère l’exploitation du renseignement, améliore la priorisation des actions et renforce la prise de décision.
Frontiers Bets
Les Frontiers Bets représentent des applications d’IA plus complexes et expérimentales en CTI, nécessitant la mise en place de modèles opérationnels et de cadres de gouvernance solides. Par rapport aux deux autres niveaux, ces cas d’usage impliquent un niveau d’incertitude plus élevé, une dépendance accrue à la qualité des données et des risques plus difficiles à détecter ou à contrôler (e.g., biais, hallucinations, désalignement stratégique). À ce titre, ils doivent être abordés par le biais d’expérimentations contrôlées, avec des garde-fous stricts, une supervision humaine et une validation itérative avant la mise à l’échelle.
L’IA pour améliorer la connaissance de la situation face aux cybermenaces (3a.)
L’IA pourrait contribuer à maintenir une vision globale du paysage des cybermenaces en servant de premier niveau d’analyse avant les étapes de revue, d’approfondissement et de validation par les experts en CTI. Plus généralement, le rôle de l’IA serait d’assurer une synthèse continue du paysage des menaces à partir de sources OSINT et de celles des partenaires/fournisseurs, ainsi que de détecter les tendances émergentes afin de prendre des décisions stratégiques éclairées. Si la rédaction autonome de rapports CTI par des LLM pose des risques de biais et d’hallucinations, l’IA devrait dans un premier temps être utilisée pour assister les analystes dans leurs tâches de rédaction, afin de leur permettre de gagner du temps dans l’analyse des cybermenaces. Cela constitue une première étape pragmatique vers une intégration plus large de l’IA dans ce cas d’utilisation. Il est a noté que la maturité du marché pour les cas d’usage soutenant le cycle de vie complet du renseignement reste limitée, avec peu de solutions industrialisées et éprouvées disponibles.
L’IA pour améliorer la détection et la réponse aux menaces basées sur l’identité (3b.)
Enfin, l’IA pourrait renforcer la CTI pour les cas d’usage liés à l’identité en permettant une détection plus rapide des comportements des attaquants et la gestion des techniques de leurre telles que les comptes honey[3] ou les jetons canary[4] afin de détecter et de détourner les adversaires de manière proactive. En considérant les identités comme des capteurs actifs, les organisations peuvent détecter les activités furtives des attaquants avant la compromission du système. L’IA peut contribuer à la mise à l’échelle de ces mécanismes en automatisant le déploiement, en ajustant en continu les signaux de détection et en corrélant les indicateurs faibles. Elle réduirait également la charge de travail des analystes grâce à un tri intelligent des alertes, en donnant la priorité aux menaces liées à l’identité présentant un niveau de confiance élevé. Malgré son fort potentiel pour les équipes CTI et IAM, ce cas d’utilisation reste à un stade expérimental en raison de la maturité limitée des techniques de leurre centrées sur l’identité, de la complexité de l’intégration avec les processus IAM et SOC, et de la nécessité d’une gouvernance rigoureuse pour éviter les faux positifs, les surcoûts opérationnels ou l’exposition involontaire des ressources de leurre.
L’IA est déjà en train de transformer la manière dont les organisations produisent et exploitent les renseignements sur les cybermenaces : non pas en remplaçant les analystes CTI, mais en renforçant leur capacité à traiter l’information plus rapidement et en améliorant la prise de décision à grande échelle. Cet article met en évidence les domaines dans lesquels l’utilisation de l’IA par les entreprises peut apporter de la valeur à la CTI en se concentrant sur les cas d’usage les plus pertinents dans la pratique. Pour structurer cette approche, nous nous sommes appuyés sur un modèle pragmatique à trois niveaux afin d’aider à la priorisation des applications IA en fonction de la maturité des organisations : des Safe Wins à faible risque jusqu’aux cas d’usage plus avancés dépendant de la qualité des données et d’une gouvernance solide reposant sur une supervision humaine et l’explicabilité des modèles d’IA.
En effet, les organisations doivent se concentrer sur les applications de l’IA pour la CTI en fonction de la valeur qu’elles créent et de leur niveau de maturité. Ce constat renforce une réalité clé : l’IA ne crée pas la maturité CTI, elle l’amplifie. Les développements récents tels que Mythos d’Anthropic illustrent également un changement plus large dans le paysage cyber : l’IA commence à réduire l’écart de temps entre la découverte de vulnérabilités et l’exploitation opérationnelle, tout en diminuant considérablement le coût et la complexité des opérations offensives à grande échelle. Bien que le rythme et l’ampleur exacts de ces évolutions restent incertains, elles soulignent la nécessité pour les organisations de devenir Mythos-ready en facilitatant l’exploitation de l’IA par les équipes de défense, tout en garantissant des fondamentaux de cybersécurité ancrés dans la durée.
Chez Wavestone, nous accompagnons les organisations dans cette transformation, de l’identification des cas d’usage à potentiel élevé à la mise en œuvre de l’IA de manière contrôlée, évolutive et fondée sur la valeur au sein des capacités CTI.
[1]NLP (Natural Language Processing) : Techniques d’intelligence artificielle utilisées pour analyser et comprendre le langage humain, qu’il s’agisse de textes ou de discours
[2]RAG (Retrieval-Augmented Generation) : approche IA dans laquelle un modèle génératif est systématiquement enrichi d’informations contextuelles pertinentes extraites de sources de connaissances sélectionnées au moment de la requête, lui permettant de produire des résultats mieux adaptés à un contexte opérationnel ou analytique donné
[3]Comptes Honey : Compte utilisateur factice créé pour imiter une identité légitime, utilisé pour détecter les accès non autorisés lorsqu’un pirate tente de s’en servir.
[4]Canary token: Un élément numérique dissimulé (e.g., des identifiants, un fichier ou un lien) qui déclenche une alerte lorsqu’il est consulté ou utilisé, révélant ainsi une activité potentiellement malveillante.
