Threat Intelligence Analyst
Certification européenne pour maîtriser la collecte, l'analyse et la diffusion du renseignement sur les menaces cyber selon les frameworks MITRE ATT&CK et Diamond Model.
Compétences clés
- ✓Collecte et analyse de renseignement sur les menaces (OSINT, Dark Web, feeds)
- ✓Utilisation de MITRE ATT&CK, Diamond Model et Cyber Kill Chain
- ✓Production de rapports tactiques, opérationnels et stratégiques
- ✓Exploitation de plateformes TIP (MISP, OpenCTI, ThreatConnect)
Équivalences de marché
Cette certification PROVA couvre le périmètre de compétences attendu par les certifications suivantes :
Est-ce fait pour vous ?
✓ Cette certification est faite pour vous si :
- →Analystes SOC évoluant vers la threat intelligence
- →Ingénieurs sécurité en charge de la veille et analyse de menaces
- →Consultants cybersécurité spécialisés en gestion des risques cyber
✗ Cette certification n'est pas adaptée si :
- →Débutants en cybersécurité sans expérience SOC → privilégier PROVA Security Operations Analyst (PROVA-SOA-501)
- →Experts CTI pilotant des programmes de threat intelligence → privilégier PROVA Threat Intelligence Manager (PROVA-TIM-701)
Prérequis & conditions d'accès
Inscription en ligne sur prova.io, paiement du voucher, accès immédiat au LMS de préparation, planification libre de l'examen sous 6 mois.
Options d'achat
Voucher d'examen, parcours LMS, packs économiques — composez votre panier
Options d'achat
Composez votre parcours — voucher d'examen, préparation LMS, packs entreprise.
Compétences évaluées
Collecte et enrichissement
Maîtrise des sources OSINT, feeds commerciaux, dark web et techniques d'enrichissement d'IoC via APIs et plateformes TIP.
Analyse structurée
Application des frameworks MITRE ATT&CK, Diamond Model, Cyber Kill Chain et Intelligence Cycle pour contextualiser les menaces.
Production de renseignement
Rédaction de rapports tactiques, opérationnels et stratégiques adaptés aux différents publics (SOC, RSSI, direction).
Automatisation et TIP
Exploitation de plateformes comme MISP, OpenCTI, Anomali et intégration via STIX/TAXII pour automatiser les workflows.
Format de l'examen
Programme
Fondamentaux du renseignement cyber
Intelligence Cycle et méthodologie de production du renseignement. Types de renseignement : tactique (IoC, TTP), opérationnel (campagnes), stratégique (tendances). Modèles d'attribution et niveaux de confiance. Sources de renseignement et évaluation de la fiabilité (Admiralty Scale). Cadre légal européen : RGPD, NIS2, partage d'informations, responsabilité juridique. Éthique et déontologie de l'analyste.
Collecte et sources de renseignement
OSINT : méthodologie, outils (Shodan, Censys, VirusTotal, PassiveTotal, URLScan, Hybrid Analysis), validation des sources. Feeds de renseignement : commerciaux (Recorded Future, Mandiant), communautaires (AlienVault OTX, Abuse.ch), gouvernementaux (CERT-FR, ANSSI). Dark web et forums underground : accès, collecte éthique, identification d'acteurs malveillants. Honeypots et sandboxes pour collecte proactive. Enrichissement automatisé d'IoC via APIs. Gestion de la surface d'attaque externe.
Analyse et frameworks
MITRE ATT&CK : structure (tactics, techniques, sub-techniques), matrices (Enterprise, Mobile, ICS), mapping d'incidents réels, ATT&CK Navigator. Diamond Model : adversaire, infrastructure, victime, capacité, meta-features, pivoting. Cyber Kill Chain de Lockheed Martin : reconnaissance, weaponization, delivery, exploitation, installation, C2, actions on objectives. Pyramid of Pain : hash, IP, domaine, artefacts réseau, outils, TTP. Analyse de campagnes APT : identification de patterns, clustering d'activités, attribution d'acteurs (Lazarus, APT28, APT29, FIN7). TTP profiling et behavioral analysis. Confidence scoring et gestion de l'incertitude.
Plateformes TIP et automatisation
MISP (Malware Information Sharing Platform) : architecture, galaxies, taxonomies, corrélation, feeds, API. OpenCTI : modèle de données, connecteurs, observables, relations, tableaux de bord. ThreatConnect et Anomali : fonctionnalités entreprise, orchestration. Formats de partage : STIX 2.1 (objects, relationships, bundles), TAXII 2.1 (collections, channels). Intégration SIEM (Splunk, Elastic, QRadar) et SOAR (Cortex, Shuffle). Automatisation de la collecte via scripts Python et APIs. Gestion du cycle de vie des IoC (création, validation, expiration). Workflows de diffusion et Traffic Light Protocol (TLP).
Comment financer votre certification
3 solutions pour couvrir le coût de votre certification
OPCO — Prise en charge employeur
Demandez à votre employeur une prise en charge via votre OPCO (plan de développement des compétences).
Personnel — 450€ TTC
Paiement en ligne sécurisé par carte bancaire (Stripe).
Tarif entreprise : 585€ HT
Questions fréquentes
Quelle est la différence avec les certifications américaines type GIAC GCTI ?
PROVA Threat Intelligence Analyst est aligné sur le cadre européen (EQF 6, ESCO, conformité NIS2/RGPD) et coûte 3 à 4 fois moins cher que les certifications SANS/GIAC. Le contenu est équivalent techniquement mais contextualisé pour les enjeux européens de souveraineté numérique et de conformité réglementaire.
Faut-il connaître la programmation pour passer cette certification ?
Non, la programmation n'est pas obligatoire mais la compréhension de scripts Python basiques pour l'automatisation est un plus. L'examen se concentre sur l'analyse, les frameworks et l'utilisation d'outils existants plutôt que sur le développement.
Quels outils sont couverts dans la certification ?
Les plateformes TIP open source (MISP, OpenCTI) et commerciales (ThreatConnect, Anomali), les sources OSINT (Shodan, VirusTotal, PassiveTotal), les formats STIX/TAXII, et l'intégration avec les SIEM/SOAR. L'accent est mis sur les outils accessibles et déployables en Europe.
Cette certification est-elle reconnue par les employeurs européens ?
Oui, PROVA est référencé dans le cadre EQF et ESCO, utilisé par les RH européennes. La certification est déjà reconnue par des groupes bancaires, opérateurs télécom et ESN en France, Belgique, Luxembourg et Suisse. Le badge numérique est vérifiable publiquement.
Peut-on repasser l'examen en cas d'échec ?
Oui, vous pouvez repasser l'examen après un délai de 15 jours. Un voucher de seconde tentative est disponible à tarif réduit (200€). Le rapport PROVA DNA de votre première tentative identifie précisément vos axes d'amélioration.
Ils se sont certifiés
« Après 2 ans en SOC, cette certification m'a permis de structurer ma démarche d'analyse et de maîtriser MISP et OpenCTI. Le rapport PROVA DNA m'a aidée à identifier mes points faibles sur l'attribution d'acteurs. Certification reconnue par mon employeur qui a financé ma montée en compétences. »
« Alternative crédible aux certifications américaines hors de prix. Le contenu est dense, techniquement solide, et l'ancrage européen (NIS2, RGPD) est un vrai plus pour mes missions auprès de clients bancaires et institutionnels. Les cas pratiques sont réalistes et challengeants. »
« J'ai apprécié la profondeur du référentiel sur MITRE ATT&CK et le Diamond Model. Les 90 minutes d'examen sont intenses mais le format mixte QCM + cas pratiques permet de vraiment démontrer ses compétences opérationnelles. Le badge numérique est un vrai atout sur LinkedIn. »
Reconnaissance internationale
Couvre les mêmes domaines que GIAC Cyber Threat Intelligence (GCTI) et EC-Council Certified Threat Intelligence Analyst (CTIA) avec un ancrage réglementaire européen (NIS2, RGPD).
GIAC est une marque déposée de SANS Institute. EC-Council est une marque déposée d'EC-Council International. PROVA est indépendant et non affilié à ces organismes.
Votre parcours de certification
Avant, pendant, après — la progression logique recommandée
Droits du candidat
Transparence
Les critères de décision et le barème sont documentés et accessibles avant l'examen.
Droit d'appel
Toute décision peut être contestée dans les 30 jours. Examen par un tiers indépendant.
Plainte
Toute personne peut signaler un dysfonctionnement. Formulaire public accessible sans compte.