La vision de Cyber Academy
MITRE ATT&CK est la base de connaissances ouverte des tactiques, techniques et procédures (TTPs) adversariales observées dans la pratique. Vocabulaire de référence pour la défense éclairée par la menace : règles de détection, scénarios red team, formation des analystes SOC. Mise à jour en continu, libre d'accès. Si vos règles SIEM ne référencent pas les identifiants de techniques ATT&CK, vous travaillez plus que nécessaire.
Un langage commun pour décrire le comportement des attaquants
MITRE ATT&CK recentre le renseignement sur les menaces autour du comportement plutôt que des indicateurs. Au lieu de cataloguer les adresses IP ou les empreintes de fichiers observées dans une seule campagne, qui changent constamment, il catalogue ce que les adversaires font réellement une fois entrés dans un environnement : comment ils obtiennent un accès initial, élèvent leurs privilèges, se déplacent latéralement, contournent les défenses et exfiltrent des données.
Chacun de ces comportements est saisi comme une technique dotée d'un identifiant stable, et les techniques sont regroupées sous des tactiques qui décrivent l'objectif de l'attaquant à chaque étape. Le résultat est une carte structurée et fondée sur les preuves du manuel de jeu adverse, tirée d'intrusions réelles observées plutôt que de la théorie.
Le cadre est organisé sous forme de matrice. Les colonnes sont les tactiques, le pourquoi derrière une étape, et les cellules sous chaque colonne sont les techniques et sous-techniques, le comment. Des matrices distinctes couvrent les environnements Enterprise, mobiles et les systèmes de contrôle industriels, car le comportement des adversaires diffère selon ces terrains.
Comme les identifiants de techniques sont stables et publics, ils deviennent une référence commune qu'un analyste du renseignement sur les menaces, un ingénieur SOC qui écrit des détections et un membre d'une red team qui planifie un exercice peuvent tous citer sans ambiguïté. Ce vocabulaire partagé est le superpouvoir discret d'ATT&CK : il permet à des équipes qui ne se parlent jamais de décrire la même attaque de la même manière.
Tactiques, techniques et procédures
Le modèle TTP est au cœur d'ATT&CK et il vaut la peine de garder les trois niveaux distincts. Les tactiques sont les objectifs de l'adversaire, les buts généraux tels qu'obtenir un point d'appui ou maintenir la persistance. Les techniques sont les méthodes générales utilisées pour atteindre une tactique, et de nombreuses techniques se décomposent en sous-techniques qui décrivent une variante plus spécifique. Les procédures sont les implémentations concrètes, observées dans la nature, qu'un groupe particulier a utilisées pour exécuter une technique. Gravir cette échelle, de la procédure à la technique puis à la tactique, est ce qui transforme un amas d'artefacts d'incident en un schéma contre lequel on peut se défendre.
| Couche | Question à laquelle elle répond | Sens illustré |
|---|---|---|
| Tactique | Pourquoi l'adversaire fait-il cela ? | L'objectif d'une étape, tel que la persistance ou le mouvement latéral |
| Technique | Comment, de manière générale, y parviennent-ils ? | Une méthode nommée dotée d'un identifiant ATT&CK stable, parfois scindée en sous-techniques |
| Procédure | Comment exactement ce groupe l'a-t-il fait ? | L'implémentation spécifique observée dans une intrusion réelle |
La raison pour laquelle les praticiens valorisent cette structure est que les défenses construites au niveau de la technique survivent plus longtemps que celles bâties sur des indicateurs. Un attaquant peut changer un domaine malveillant ou recompiler une charge utile en quelques minutes, déjouant le blocage basé sur les signatures, mais modifier la technique sous-jacente exige plus d'effort et souvent plus de compétence. Les détections ancrées aux techniques vieillissent donc plus lentement et attrapent des variantes que la première signature n'a jamais vues.
Comment les équipes mettent ATT&CK au travail
La défense informée par les menaces est la pratique qu'ATT&CK rend possible, et elle se manifeste dans toute la fonction de sécurité. Les équipes SOC étiquettent les règles de détection avec des identifiants de techniques afin de voir, d'un coup d'œil, quels comportements adverses elles peuvent repérer et lesquels leur échappent. Cette analyse des écarts, souvent visualisée sous forme de carte thermique sur la matrice, oriente l'effort de détection suivant.
Les red teams et les purple teams utilisent la matrice pour concevoir et noter des exercices, parcourant délibérément les techniques pour tester si la blue team les remarque. Les équipes de renseignement sur les menaces décrivent les groupes adverses en termes ATT&CK afin que les rapports soient comparables plutôt que rédigés en prose sur mesure.
Et les programmes de formation s'appuient dessus parce qu'il offre aux analystes un modèle unique et bien documenté du comportement des attaquants à apprendre, plutôt qu'un millier de récits de guerre déconnectés.
ATT&CK est publié ouvertement, gratuit d'utilisation et mis à jour en continu à mesure que de nouveaux comportements adverses sont observés, ce qui explique pourquoi il est devenu la référence de fait plutôt qu'un cadre d'un éditeur parmi d'autres. Il s'associe naturellement aux catalogues de contrôles et aux systèmes de management : là où ISO/IEC 27001, le NIST Cybersecurity Framework ou les CIS Controls vous indiquent quelles capacités de protection et de détection construire, ATT&CK vous indique quels comportements adverses ces capacités doivent traiter, et il est de plus en plus utilisé pour prioriser et valider ce travail.
Frequently asked questions
01Quelle est la différence entre tactiques et techniques dans ATT&CK ?
Une tactique est l'objectif de l'adversaire à une étape, le pourquoi, tel que la persistance ou l'exfiltration. Une technique est une méthode générale utilisée pour atteindre cet objectif, le comment, et de nombreuses techniques se scindent en sous-techniques plus spécifiques. Les procédures sont la manière concrète dont un groupe particulier a implémenté une technique dans une intrusion réelle.
02MITRE ATT&CK est-il gratuit d'utilisation ?
Oui. ATT&CK est une base de connaissances publiée ouvertement, maintenue par MITRE, gratuite d'utilisation et mise à jour en continu à mesure que de nouveaux comportements adverses sont observés dans la nature.
03En quoi ATT&CK diffère-t-il de la cyber kill chain ?
La kill chain décrit les phases de haut niveau d'une intrusion dans une séquence linéaire. ATT&CK est bien plus granulaire : il catalogue des techniques et sous-techniques spécifiques sous chaque tactique, tirées du comportement réel observé, de sorte qu'il est utilisé pour l'ingénierie de détection détaillée et la cartographie de couverture plutôt que comme un simple modèle d'étapes.
04Comment un SOC utilise-t-il concrètement ATT&CK ?
Les équipes SOC étiquettent les règles de détection avec des identifiants de techniques pour cartographier leur couverture sur la matrice, exposant quels comportements adverses elles peuvent détecter et lesquels sont des angles morts. Cette analyse des écarts oriente ensuite l'investissement en nouvelles détections, sources de journaux et effort de réglage.
05ATT&CK remplace-t-il des cadres comme ISO 27001 ou NIST ?
Non, il les complète. Les cadres de contrôles vous indiquent quelles capacités de protection et de détection construire, tandis qu'ATT&CK décrit les comportements adverses que ces capacités doivent traiter. Les équipes l'utilisent pour prioriser et valider les contrôles qu'un cadre exige.