Aller au contenu
Sécurité medium

MITRE ATT&CK : tactiques et techniques des attaquants

10 min de lecture

MITRE ATT&CK est le langage commun de la menace : un référentiel qui décrit comment les attaquants opèrent réellement, classé par tactiques (leurs objectifs) et techniques (leurs méthodes). Cette page vous explique le vocabulaire ATT&CK, comment lire une matrice et comment vous en servir pour cartographier vos menaces et mesurer votre couverture défensive. Elle s'adresse aux personnes qui débutent en Threat Intelligence ou en détection, sans prérequis autre que la notion de cyberattaque.

ATT&CK (prononcé « attack », pour Adversarial Tactics, Techniques and Common Knowledge) sert de socle à la détection moderne et au renseignement sur les menaces. Concrètement, vous saurez :

  • Définir tactiques, techniques et sous-techniques, et lire une matrice.
  • Distinguer les trois matrices, Enterprise, Mobile et ICS.
  • Positionner ATT&CK face à la kill chain, qui décrit des phases, là où ATT&CK décrit des comportements.
  • Utiliser ATT&CK pour la cartographie de menaces, le detection engineering et l'évaluation de couverture (ATT&CK Navigator).
  • Relier un code technique (ex. T1530) aux exigences du référentiel SOCLE, qui s'appuie sur ces identifiants pour justifier ses contrôles.

MITRE ATT&CK est une base de connaissances publique, maintenue par l'organisation à but non lucratif MITRE depuis 2013, qui recense les comportements d'attaquants observés dans de vraies intrusions. Là où un antivirus raisonne en signatures de fichiers, ATT&CK raisonne en modes opératoires : ce que l'adversaire cherche à faire, et par quels moyens.

L'analogie utile est celle d'un catalogue de techniques de cambriolage. Il ne liste pas des cambrioleurs nommés, mais des méthodes : crocheter une serrure, passer par une fenêtre, se faire ouvrir par ruse. Un responsable sécurité qui connaît ce catalogue peut vérifier, méthode par méthode, s'il est protégé et détecté. ATT&CK joue ce rôle pour les intrusions informatiques.

Sa force vient du fait qu'il est fondé sur l'observation : chaque technique documentée a été vue en conditions réelles, avec des exemples de groupes d'attaquants et de logiciels malveillants qui l'emploient. Ce n'est pas un modèle théorique, c'est une mémoire collective de l'offensive.

Le vocabulaire d'ATT&CK tient en trois niveaux, du plus général au plus précis.

  • Une tactique répond à la question pourquoi : l'objectif de l'attaquant à un instant donné (obtenir un accès, persister, exfiltrer). Elle porte un identifiant TA (ex. TA0001 pour l'accès initial).
  • Une technique répond à comment : le moyen employé pour atteindre la tactique. Elle porte un identifiant T (ex. T1566 pour le hameçonnage).
  • Une sous-technique précise une variante d'une technique, avec un suffixe (ex. T1566.001 pour le hameçonnage par pièce jointe).

Un même comportement se lit donc à deux dimensions : la colonne (la tactique visée) et la case (la technique employée). C'est cette structure en grille qui donne son nom à la matrice ATT&CK.

La matrice Enterprise s'organise en 14 tactiques, dans un ordre qui suit grossièrement la progression d'une intrusion. Les connaître, c'est déjà savoir lire une matrice.

Les 14 tactiques de la matrice MITRE ATT&CK Enterprise, de la reconnaissance à l'impact

TactiqueObjectif de l'attaquant
ReconnaissanceCollecter des informations sur la cible
Développement de ressourcesPréparer l'infrastructure d'attaque
Accès initialEntrer dans le système d'information
ExécutionFaire tourner du code malveillant
PersistanceSurvivre à un redémarrage ou une déconnexion
Élévation de privilègesGagner des droits plus élevés
Contournement des défensesÉchapper à la détection
Accès aux identifiantsVoler mots de passe et jetons
DécouverteExplorer l'environnement compromis
Déplacement latéralSe propager vers d'autres machines
CollecteRassembler les données visées
Commande et contrôlePiloter les systèmes compromis à distance
ExfiltrationSortir les données
ImpactDétruire, chiffrer ou perturber

ATT&CK ne se limite pas aux serveurs et postes de travail. Le référentiel se décline en trois matrices selon le terrain, ce qui évite de plaquer des techniques inadaptées à un environnement.

  • Enterprise couvre les systèmes d'entreprise : Windows, Linux, macOS, mais aussi le cloud, les conteneurs et l'identité. C'est la matrice de référence, la plus utilisée.
  • Mobile cible Android et iOS, avec des techniques propres aux terminaux mobiles.
  • ICS (Industrial Control Systems) concerne les systèmes industriels et la supervision, où l'impact touche des équipements physiques.

Kill chain ou ATT&CK : deux outils complémentaires

Section intitulée « Kill chain ou ATT&CK : deux outils complémentaires »

Beaucoup opposent ATT&CK à la Cyber Kill Chain, à tort. Les deux modèles ne jouent pas le même rôle et se complètent.

ModèleCe qu'il apporteSa limite
Kill chainUn récit linéaire en 7 phases, pédagogiqueTrop simple pour décrire les allers-retours réels
ATT&CKUn catalogue non linéaire de comportements précisDense, il ne raconte pas une histoire

En pratique, la kill chain sert à expliquer une attaque à un public large, et ATT&CK sert à travailler : cartographier une menace, construire des règles de détection, mesurer une couverture. On utilise souvent la première pour introduire, la seconde pour opérer.

Le référentiel n'a d'intérêt que si l'on s'en sert. Voici les usages courants, du plus simple au plus outillé.

  • Cartographier une menace : traduire un rapport d'incident en une liste de techniques ATT&CK donne un vocabulaire partagé entre équipes et un moyen de comparer deux attaques.
  • Detection engineering : pour chaque technique jugée pertinente, on écrit une règle de détection et on vérifie qu'elle se déclenche. ATT&CK devient la liste de courses de la détection.
  • Red et purple teaming : l'équipe offensive rejoue des techniques précises, l'équipe défensive vérifie qu'elle les voit. ATT&CK sert de scénario commun.
  • Évaluer sa couverture : l'outil ATT&CK Navigator colorie la matrice selon ce que vous détectez ou non, révélant d'un coup d'oeil les angles morts à traiter en priorité.

Le référentiel SOCLE ne se contente pas de lister des bonnes pratiques : il rattache chaque menace à des techniques ATT&CK, pour montrer contre quoi un contrôle protège. C'est le lien direct entre cette page et le socle du site.

Par exemple, l'exigence de chiffrement du stockage de données cloud cite la technique T1530 (« données issues d'un stockage cloud ») : le contrôle existe parce que cette technique est employée pour exfiltrer des buckets mal protégés. De même, le domaine Runtime et exploitation s'appuie sur des techniques d'évasion et de persistance pour justifier la détection en production.

Lire un code ATT&CK dans une exigence, c'est donc comprendre la menace concrète que l'exigence adresse. ATT&CK fournit le pourquoi, le socle fournit le quoi faire, et les guides du site fournissent le comment.

ATT&CK est puissant, mais mal utilisé il devient un tableau de bord trompeur. Trois erreurs reviennent souvent.

  • Viser 100 % de la matrice : couvrir toutes les techniques n'a pas de sens, beaucoup ne concernent pas votre environnement. La pertinence prime sur l'exhaustivité.
  • Confondre couverture et détection réelle : colorier une case dans le Navigator ne prouve rien tant que la règle n'a pas été testée face à la technique. Une couverture déclarée n'est pas une couverture prouvée.
  • Oublier le contexte : une même technique se détecte différemment sur un poste Windows, dans un cluster Kubernetes ou dans le cloud. Le terrain change la parade.
  1. ATT&CK est un référentiel de comportements d'attaquants fondé sur l'observation réelle, pas un modèle théorique.

  2. Trois niveaux de vocabulaire, la tactique (pourquoi), la technique (comment) et la sous-technique (variante), organisés en matrice.

  3. Quatorze tactiques structurent la matrice Enterprise, de la reconnaissance à l'impact.

  4. Kill chain et ATT&CK sont complémentaires, l'une raconte, l'autre outille la détection et la cartographie.

  5. ATT&CK Navigator révèle vos angles morts, mais une couverture n'est réelle que testée, jamais seulement déclarée.

  6. Le SOCLE relie ses exigences à des techniques ATT&CK (ex. T1530) : le code technique dit la menace, l'exigence dit la parade. C'est le fil qui relie le modèle de menaces aux contrôles.

Ce site vous est utile ?

Sachez que moins de 1% des lecteurs soutiennent ce site.

Je maintiens +700 guides gratuits, sans pub ni tracking. Un soutien, même symbolique, m'aide à couvrir l'hébergement et à garder ces ressources gratuites. Merci pour votre appui.

Le formulaire ne s'affiche pas ? Ouvrir Ko-fi dans un onglet.

Abonnez-vous et suivez mon actualité DevSecOps sur LinkedIn