Voici un chiffre qui devrait vous mettre mal à l'aise : selon le SANS Institute 2026 CTI Survey mené auprès de 401 professionnels, 91 % des RSSI déclarent valoriser la Threat Intelligence. Mais seulement 26 % affirment qu'elle guide réellement leurs décisions. Cet écart n'est pas une anomalie statistique. C'est un symptôme.
Imaginez la scène : un lundi matin, votre fournisseur CTI vous envoie un rapport de 40 pages sur un nouveau groupe APT actif dans votre secteur. Vous le parcourez. Il contient des IoCs, quelques TTPs, des graphiques de victimologie. Vous le transférez à votre équipe SOC. Trois jours plus tard, rien n'a changé dans vos règles de détection. Le rapport dort dans une boîte mail. Et si votre organisation est touchée deux semaines après, la question ne sera pas "avions-nous l'information ?" mais "pourquoi ne l'avons-nous pas utilisée ?"
Le problème n'est pas le manque de renseignement. Les programmes CTI se multiplient, les fournisseurs aussi. Le problème, c'est la qualité de ce que vous achetez, et la capacité réelle de votre organisation à en tirer parti. Avant de renouveler ou de signer un contrat CTI, vous devez évaluer votre fournisseur selon quatre critères précis. Cet article vous donne la grille.
La Threat Intelligence n'est pas un produit homogène. Elle se structure en quatre niveaux distincts, et un programme qui n'en couvre qu'un seul vous laisse exposé sur les autres.
Le niveau stratégique s'adresse à votre direction : tendances globales, géopolitique cyber, évolution des groupes menaçants sur 12 à 24 mois. Le niveau opérationnel concerne vos équipes sécurité : campagnes en cours, infrastructure des attaquants, indicateurs de ciblage de votre secteur. Le niveau tactique documente les TTPs, les techniques, tactiques et procédures des adversaires, cartographiées selon le framework MITRE ATT&CK. Le niveau technique, enfin, recouvre les indicateurs de compromission bruts : adresses IP, domaines, hashes de fichiers malveillants.
Beaucoup de fournisseurs excellent dans un seul niveau et le présentent comme une offre complète. Un flux d'IoCs à haute volumétrie, sans contexte tactique ni analyse opérationnelle, génère du bruit. Vos analystes passent leur temps à filtrer plutôt qu'à décider. À l'inverse, des rapports stratégiques de haute qualité, sans traduction en détections concrètes, restent des documents de veille sans impact opérationnel. La maturité d'un programme CTI se mesure à sa capacité à articuler ces quatre niveaux de façon cohérente, pas à optimiser l'un d'eux isolément.
Le volume n'est pas un critère de qualité. C'est l'erreur la plus répandue dans les appels d'offres CTI. Un fournisseur qui vous propose 10 millions d'IoCs par mois vous vend potentiellement 10 millions de sources de faux positifs. 50 000 indicateurs vérifiés, contextualisés et priorisés valent structurellement plus.
Les sources CTI se répartissent en plusieurs catégories : les flux commerciaux propriétaires, l'OSINT (sources ouvertes : forums, réseaux sociaux, sites de fuite), le partage gouvernemental via les ISACs sectoriels ou les agences comme la CISA, les données issues de votre propre infrastructure, et la surveillance du dark web. Un fournisseur solide combine plusieurs de ces catégories et vous explique comment elles se complètent.
La première question à poser concerne la date de péremption des IoCs. Une adresse IP malveillante peut changer en 24 heures. Si votre fournisseur n'indique pas l'âge de ses indicateurs et ne purge pas les entrées obsolètes, votre SIEM va corréler sur des données périmées.
La deuxième question est critique pour votre contexte géographique : quelle est la couverture spécifique à la région MEA ? Votre fournisseur dispose-t-il de sources en arabe ou en français pour couvrir le Maghreb et l'Afrique de l'Ouest ? Surveille-t-il les forums et canaux Telegram actifs dans le Golfe ? Les secteurs finance et administration publique de la région font-ils l'objet d'une veille dédiée, ou sont-ils noyés dans une base de données mondiale non segmentée ?
La troisième question porte sur la traçabilité : comment l'indicateur a-t-il été collecté, validé, enrichi ? Un fournisseur qui ne peut pas répondre à cette question vend de la donnée brute, pas du renseignement.
Un renseignement actionnable répond à trois questions précises. Première question : qui nous cible ? Pas "quels groupes sont actifs dans le monde", mais "quel acteur présente un intérêt documenté pour notre secteur, notre pays, voire notre organisation spécifiquement ?" Deuxième question : avec quoi ? Quelles techniques, quels outils, quels vecteurs d'entrée initiaux ? Troisième question : que faire maintenant ? Quelle règle de détection créer, quel correctif appliquer, quel processus réviser ?
Si votre fournisseur CTI ne structure pas ses livrables autour de ces trois questions, vous recevez des rapports de veille, pas du renseignement opérationnel.
La durabilité des indicateurs est un critère sous-estimé. Une adresse IP malveillante a une durée de vie de quelques heures à quelques jours. Un TTP documenté, par exemple, l'utilisation de Living-off-the-Land binaries pour contourner l'EDR, ou l'abus de comptes de service pour la persistance, reste pertinent pendant des mois. C'est pourquoi 77 % des RSSI interrogés par le SANS Institute en 2026 citent les TTPs adversariaux comme priorité, juste derrière les vulnérabilités activement exploitées à 79 %. Investir dans un fournisseur qui aligne sa couverture sur le framework MITRE ATT&CK vous donne une base de détection structurellement plus durable.
L'actionnabilité a également une dimension managériale que beaucoup de RSSI sous-estiment. Le SANS Institute 2026 CTI Survey révèle que 47,3 % des programmes CTI souffrent d'un manque d'adhésion du management comme second frein après le financement. Si vous ne pouvez pas traduire un rapport CTI en termes compréhensibles pour un COMEX, risque métier, impact financier estimé, décision requise, vous perdrez le budget l'année suivante. Évaluez si votre fournisseur produit des livrables exécutifs exploitables, pas uniquement des rapports techniques.
Un flux CTI qui n'est pas ingéré automatiquement dans votre environnement de détection n'est pas un flux CTI : c'est un abonnement à une newsletter sécurité. L'intégration technique n'est pas un détail d'implémentation à traiter après la signature du contrat. C'est un critère d'évaluation à part entière, à tester en phase de POC.
Les points d'intégration essentiels sont les suivants. Votre SIEM en premier lieu, qu'il s'agisse de Splunk, Microsoft Sentinel ou IBM QRadar, doit ingérer les indicateurs via des formats standardisés STIX/TAXII. Votre plateforme SOAR doit pouvoir déclencher des playbooks automatiques à partir des alertes enrichies par la CTI. Votre EDR doit être capable de bloquer ou d'isoler automatiquement sur la base des indicateurs fournis. Vos outils de ticketing comme ServiceNow ou Jira doivent recevoir les cas d'usage priorisés sans recopie manuelle.
Lors de votre POC, mesurez un cycle complet : publication d'un indicateur côté fournisseur, ingestion dans votre SIEM, déclenchement d'une règle de détection associée. Ce délai est votre vrai indicateur de performance opérationnelle. Trente minutes ou quatre heures — la différence est déterminante face à une attaque en cours.
La dimension légale de l'intégration est souvent négligée. 55 % des organisations manquent de processus légaux pour partager la CTI, un angle qui prend de l'importance avec l'entrée en vigueur du Cyber Resilience Act 2026 et la pression croissante de NIS2 sur le partage d'information entre entités. Vérifiez que votre contrat fournisseur autorise explicitement le repartage au sein de votre groupe ou vers vos partenaires sectoriels.
Un groupe ransomware actif en Europe de l'Ouest n'est pas nécessairement celui qui cible les banques du Golfe ou les ministères d'Afrique du Nord. Les écosystèmes d'acteurs menaçants sont géographiquement segmentés, et une base de données mondiale non filtrée sur votre contexte régional vous exposera à un biais de signal : beaucoup d'informations sur des menaces qui ne vous concernent pas, peu sur celles qui vous ciblent réellement.
Les secteurs à risque élevé en MEA sont documentés : services financiers, énergie, administration publique, télécommunications. Ce sont aussi les secteurs les plus ciblés par les groupes à motivation financière actifs dans la région, et par les acteurs étatiques qui s'intéressent aux infrastructures critiques. Si votre fournisseur ne peut pas vous montrer des rapports spécifiques sur des incidents récents dans votre secteur et votre zone géographique, sa couverture MEA est probablement superficielle.
Les questions à poser directement à votre fournisseur sont les suivantes. Avez-vous des analystes dédiés couvrant la région MENA, avec une connaissance des acteurs locaux ? Disposez-vous de sources en arabe pour le Golfe et le Maghreb, en français pour l'Afrique francophone ? Votre base inclut-elle des groupes documentés comme actifs au Maroc, en Algérie, en Arabie Saoudite, aux Émirats ou en Afrique sub-saharienne ?
La surveillance des fuites d'identifiants est un exemple concret de différenciation régionale : les forums et marchés du dark web fréquentés par les acteurs ciblant le MEA ne sont pas les mêmes que ceux couvrant l'Europe. Un fournisseur sans présence sur ces sources vous donnera une visibilité partielle sur votre exposition réelle.
Avant votre prochain appel d'offres ou renouvellement, posez ces questions à chaque fournisseur candidat, en exigeant des réponses documentées et vérifiables en POC.
Sur la qualité des sources : quelle est la date de péremption moyenne de vos IoCs, et comment gérez-vous la purge des indicateurs obsolètes ? Quelle proportion de votre base provient de sources couvrant spécifiquement la région MEA ? Disposez-vous de sources en arabe ou en français ?
Sur l'actionnabilité : vos livrables répondent-ils explicitement aux questions "qui nous cible, avec quoi, que faire maintenant" ? Proposez-vous des rapports exécutifs traduits en langage métier ? Quel est votre délai moyen entre détection d'une menace et publication du renseignement ?
Sur l'intégration : supportez-vous nativement STIX/TAXII pour l'ingestion dans mon SIEM actuel ? Pouvez-vous démontrer un cycle complet de publication à détection lors du POC ? Votre contrat autorise-t-il le repartage de renseignement au sein de mon organisation ?
Sur la couverture régionale : avez-vous des analystes dédiés au MENA ? Pouvez-vous me montrer trois rapports récents couvrant mon secteur dans ma zone géographique ? Surveillez-vous les forums et marchés du dark web actifs dans le Golfe et au Maghreb ?
Defendis surveille les forums du dark web, les journaux d'infostealers et les canaux d'acteurs menaçants actifs dans la région MEA pour fournir un renseignement contextualisé et directement actionnable. Si vous souhaitez voir comment cela s'applique à votre secteur, réservez une démonstration personnalisée.
Non. Les organisations avec un programme CTI mature économisent en moyenne 208 087 USD par incident selon le SANS Institute 2026. Une organisation de taille intermédiaire, correctement équipée, peut construire un programme efficace en commençant par les niveaux tactique et technique, avec des sources adaptées à son secteur et sa région.
Partez du chiffre d'économie par incident : 208 087 USD en moyenne pour les programmes matures. Traduisez ensuite les TTPs en scénarios de risque métier concrets. Évitez le jargon technique. Si votre fournisseur ne vous fournit pas de livrables exécutifs prêts à l'emploi, c'est un critère de sélection à part entière.
Non. Les indicateurs de compromission bruts sans contexte génèrent du bruit et épuisent vos analystes. Les TTPs MITRE ATT&CK persistent des mois là où une IP change en 24 heures. Un programme limité aux IoCs vous donne une détection réactive et coûteuse. La combinaison tactique et technique est le minimum opérationnel viable.
.jpg)
