MITRE ATT&CK est le langage commun de la menace : un référentiel qui décrit comment les attaquants opèrent réellement, classé par tactiques (leurs objectifs) et techniques (leurs méthodes). Cette page vous explique le vocabulaire ATT&CK, comment lire une matrice et comment vous en servir pour cartographier vos menaces et mesurer votre couverture défensive. Elle s'adresse aux personnes qui débutent en Threat Intelligence ou en détection, sans prérequis autre que la notion de cyberattaque.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »ATT&CK (prononcé « attack », pour Adversarial Tactics, Techniques and Common Knowledge) sert de socle à la détection moderne et au renseignement sur les menaces. Concrètement, vous saurez :
- Définir tactiques, techniques et sous-techniques, et lire une matrice.
- Distinguer les trois matrices, Enterprise, Mobile et ICS.
- Positionner ATT&CK face à la kill chain, qui décrit des phases, là où ATT&CK décrit des comportements.
- Utiliser ATT&CK pour la cartographie de menaces, le detection engineering et l'évaluation de couverture (ATT&CK Navigator).
- Relier un code technique (ex.
T1530) aux exigences du référentiel SOCLE, qui s'appuie sur ces identifiants pour justifier ses contrôles.
Qu'est-ce que MITRE ATT&CK
Section intitulée « Qu'est-ce que MITRE ATT&CK »MITRE ATT&CK est une base de connaissances publique, maintenue par l'organisation à but non lucratif MITRE depuis 2013, qui recense les comportements d'attaquants observés dans de vraies intrusions. Là où un antivirus raisonne en signatures de fichiers, ATT&CK raisonne en modes opératoires : ce que l'adversaire cherche à faire, et par quels moyens.
L'analogie utile est celle d'un catalogue de techniques de cambriolage. Il ne liste pas des cambrioleurs nommés, mais des méthodes : crocheter une serrure, passer par une fenêtre, se faire ouvrir par ruse. Un responsable sécurité qui connaît ce catalogue peut vérifier, méthode par méthode, s'il est protégé et détecté. ATT&CK joue ce rôle pour les intrusions informatiques.
Sa force vient du fait qu'il est fondé sur l'observation : chaque technique documentée a été vue en conditions réelles, avec des exemples de groupes d'attaquants et de logiciels malveillants qui l'emploient. Ce n'est pas un modèle théorique, c'est une mémoire collective de l'offensive.
Tactiques, techniques et sous-techniques
Section intitulée « Tactiques, techniques et sous-techniques »Le vocabulaire d'ATT&CK tient en trois niveaux, du plus général au plus précis.
- Une tactique répond à la question pourquoi : l'objectif de
l'attaquant à un instant donné (obtenir un accès, persister, exfiltrer). Elle
porte un identifiant
TA(ex.TA0001pour l'accès initial). - Une technique répond à comment : le moyen employé pour atteindre la
tactique. Elle porte un identifiant
T(ex.T1566pour le hameçonnage). - Une sous-technique précise une variante d'une technique, avec un suffixe
(ex.
T1566.001pour le hameçonnage par pièce jointe).
Un même comportement se lit donc à deux dimensions : la colonne (la tactique visée) et la case (la technique employée). C'est cette structure en grille qui donne son nom à la matrice ATT&CK.
Les tactiques de la matrice Enterprise
Section intitulée « Les tactiques de la matrice Enterprise »La matrice Enterprise s'organise en 14 tactiques, dans un ordre qui suit grossièrement la progression d'une intrusion. Les connaître, c'est déjà savoir lire une matrice.
| Tactique | Objectif de l'attaquant |
|---|---|
| Reconnaissance | Collecter des informations sur la cible |
| Développement de ressources | Préparer l'infrastructure d'attaque |
| Accès initial | Entrer dans le système d'information |
| Exécution | Faire tourner du code malveillant |
| Persistance | Survivre à un redémarrage ou une déconnexion |
| Élévation de privilèges | Gagner des droits plus élevés |
| Contournement des défenses | Échapper à la détection |
| Accès aux identifiants | Voler mots de passe et jetons |
| Découverte | Explorer l'environnement compromis |
| Déplacement latéral | Se propager vers d'autres machines |
| Collecte | Rassembler les données visées |
| Commande et contrôle | Piloter les systèmes compromis à distance |
| Exfiltration | Sortir les données |
| Impact | Détruire, chiffrer ou perturber |
Les trois matrices : Enterprise, Mobile, ICS
Section intitulée « Les trois matrices : Enterprise, Mobile, ICS »ATT&CK ne se limite pas aux serveurs et postes de travail. Le référentiel se décline en trois matrices selon le terrain, ce qui évite de plaquer des techniques inadaptées à un environnement.
- Enterprise couvre les systèmes d'entreprise : Windows, Linux, macOS, mais aussi le cloud, les conteneurs et l'identité. C'est la matrice de référence, la plus utilisée.
- Mobile cible Android et iOS, avec des techniques propres aux terminaux mobiles.
- ICS (Industrial Control Systems) concerne les systèmes industriels et la supervision, où l'impact touche des équipements physiques.
Kill chain ou ATT&CK : deux outils complémentaires
Section intitulée « Kill chain ou ATT&CK : deux outils complémentaires »Beaucoup opposent ATT&CK à la Cyber Kill Chain, à tort. Les deux modèles ne jouent pas le même rôle et se complètent.
| Modèle | Ce qu'il apporte | Sa limite |
|---|---|---|
| Kill chain | Un récit linéaire en 7 phases, pédagogique | Trop simple pour décrire les allers-retours réels |
| ATT&CK | Un catalogue non linéaire de comportements précis | Dense, il ne raconte pas une histoire |
En pratique, la kill chain sert à expliquer une attaque à un public large, et ATT&CK sert à travailler : cartographier une menace, construire des règles de détection, mesurer une couverture. On utilise souvent la première pour introduire, la seconde pour opérer.
À quoi sert ATT&CK concrètement
Section intitulée « À quoi sert ATT&CK concrètement »Le référentiel n'a d'intérêt que si l'on s'en sert. Voici les usages courants, du plus simple au plus outillé.
- Cartographier une menace : traduire un rapport d'incident en une liste de techniques ATT&CK donne un vocabulaire partagé entre équipes et un moyen de comparer deux attaques.
- Detection engineering : pour chaque technique jugée pertinente, on écrit une règle de détection et on vérifie qu'elle se déclenche. ATT&CK devient la liste de courses de la détection.
- Red et purple teaming : l'équipe offensive rejoue des techniques précises, l'équipe défensive vérifie qu'elle les voit. ATT&CK sert de scénario commun.
- Évaluer sa couverture : l'outil ATT&CK Navigator colorie la matrice selon ce que vous détectez ou non, révélant d'un coup d'oeil les angles morts à traiter en priorité.
ATT&CK dans le référentiel SOCLE
Section intitulée « ATT&CK dans le référentiel SOCLE »Le référentiel SOCLE ne se contente pas de lister des bonnes pratiques : il rattache chaque menace à des techniques ATT&CK, pour montrer contre quoi un contrôle protège. C'est le lien direct entre cette page et le socle du site.
Par exemple, l'exigence de chiffrement du
stockage de données cloud
cite la technique T1530 (« données issues d'un stockage cloud ») : le
contrôle existe parce que cette technique est employée pour exfiltrer des
buckets mal protégés. De même, le domaine
Runtime et exploitation s'appuie
sur des techniques d'évasion et de persistance pour justifier la détection en
production.
Lire un code ATT&CK dans une exigence, c'est donc comprendre la menace concrète que l'exigence adresse. ATT&CK fournit le pourquoi, le socle fournit le quoi faire, et les guides du site fournissent le comment.
Pièges courants
Section intitulée « Pièges courants »ATT&CK est puissant, mais mal utilisé il devient un tableau de bord trompeur. Trois erreurs reviennent souvent.
- Viser 100 % de la matrice : couvrir toutes les techniques n'a pas de sens, beaucoup ne concernent pas votre environnement. La pertinence prime sur l'exhaustivité.
- Confondre couverture et détection réelle : colorier une case dans le Navigator ne prouve rien tant que la règle n'a pas été testée face à la technique. Une couverture déclarée n'est pas une couverture prouvée.
- Oublier le contexte : une même technique se détecte différemment sur un poste Windows, dans un cluster Kubernetes ou dans le cloud. Le terrain change la parade.
À retenir
Section intitulée « À retenir »-
ATT&CK est un référentiel de comportements d'attaquants fondé sur l'observation réelle, pas un modèle théorique.
-
Trois niveaux de vocabulaire, la tactique (pourquoi), la technique (comment) et la sous-technique (variante), organisés en matrice.
-
Quatorze tactiques structurent la matrice Enterprise, de la reconnaissance à l'impact.
-
Kill chain et ATT&CK sont complémentaires, l'une raconte, l'autre outille la détection et la cartographie.
-
ATT&CK Navigator révèle vos angles morts, mais une couverture n'est réelle que testée, jamais seulement déclarée.
-
Le SOCLE relie ses exigences à des techniques ATT&CK (ex.
T1530) : le code technique dit la menace, l'exigence dit la parade. C'est le fil qui relie le modèle de menaces aux contrôles.