0 %
🛡️ Cybersécurité

Comprendre MITRE ATT&CK

Le référentiel mondial des comportements d'attaque — de la théorie à l'usage opérationnel

⏱ 15-20 min 📊 Intermédiaire 🎯 attack.mitre.org
🕐 Contenu vérifié le 08 juillet 2026documentation officielle MITRE · v18 (216 techniques, 475 sous-techniques)

🎯 Objectifs d'apprentissage

À la fin de ce lab, vous serez capable de :

1 Qu'est-ce que MITRE ATT&CK ?

📍 Situation

Lundi matin, votre SOC détecte une alerte : un compte admin a exécuté un script PowerShell suspect sur un serveur de fichiers. L'analyste vous demande : « C'est quelle technique ATT&CK ? ». Vous ouvrez la matrice pour la première fois.

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissances publique, maintenue par la MITRE Corporation, qui documente les comportements réels des attaquants. Créé en 2013 et rendu public en 2015, le framework est devenu le langage commun entre équipes offensives et défensives.

Cliquez sur chaque niveau pour comprendre la hiérarchie :

Exemple : « Execution » (TA0002) — L'attaquant veut exécuter du code malveillant. C'est son objectif à cette étape. Il y a 14 tactiques dans la matrice Enterprise.
Exemple : « Command and Scripting Interpreter » (T1059) — L'attaquant utilise un interpréteur de commandes. La matrice v18 contient 216 techniques.
Exemple : « PowerShell » (T1059.001) — L'attaquant utilise spécifiquement PowerShell comme interpréteur. La v18 compte 475 sous-techniques.
Exemple : Le groupe APT29 (Cozy Bear) utilise PowerShell pour télécharger et exécuter un payload Cobalt Strike via Invoke-WebRequest. C'est une procédure spécifique observée en conditions réelles.
💡 Retenir : Tactique = objectif stratégique, Technique = méthode, Sous-technique = variante, Procédure = implémentation réelle observée chez un groupe d'attaquants.

2 Les 14 tactiques Enterprise

Cliquez sur une tactique pour découvrir sa description et un exemple de technique associée.

⚠️ Piège classique

L'erreur : Croire que les 14 tactiques sont séquentielles — qu'un attaquant passe obligatoirement de la 1 à la 14 dans l'ordre.

Le risque : Ignorer des alertes parce qu'elles ne correspondent pas à la « bonne phase ». Un attaquant peut boucler, sauter des étapes, ou opérer plusieurs tactiques simultanément.

La bonne pratique : Considérer la matrice comme un catalogue de comportements, pas comme une timeline linéaire. C'est la différence fondamentale avec la Cyber Kill Chain.

3 ATT&CK vs Cyber Kill Chain

📍 Situation

Un collègue vous dit : « On utilise déjà la Kill Chain, pourquoi passer à ATT&CK ? ». Comment lui expliquer la complémentarité ?

🔗 Cyber Kill Chain
🛡️ MITRE ATT&CK
Créateur
Lockheed Martin (2011)
Créateur
MITRE Corporation (2013/2015)
Structure
7 phases linéaires séquentielles
Structure
14 tactiques non-linéaires + 216 techniques
Granularité
Haut niveau (phases générales)
Granularité
Très détaillé (sous-techniques, procédures)
Modèle
Suppose un payload/malware livré
Modèle
Couvre aussi les attaques cloud-natives sans malware
Usage principal
Compréhension du cycle d'attaque
Usage principal
Détection, hunting, red team, gap analysis
Mise à jour
Statique depuis 2011
Mise à jour
Mises à jour régulières (v18 en octobre 2025)
💡 Les deux frameworks sont complémentaires. La Kill Chain aide à comprendre la progression conceptuelle d'une attaque. ATT&CK donne la granularité nécessaire pour construire des détections et mapper des comportements spécifiques.

4 Les trois matrices ATT&CK

ATT&CK for Enterprise

La matrice la plus utilisée. Couvre les environnements Windows, macOS, Linux, Cloud (Azure, AWS, GCP, SaaS), Containers et ESXi.

En v18 : 14 tactiques, 216 techniques, 475 sous-techniques. Elle intègre depuis la v8 les anciennes tactiques PRE-ATT&CK (Reconnaissance et Resource Development).

Objets associés : 176 groupes de menaces, 784 logiciels, 55 campagnes, 44 atténuations, 1 739 analytics.

ATT&CK for Mobile

Couvre les comportements adverses sur iOS et Android. Inclut des tactiques spécifiques comme l'accès aux données réseau sans accès root, l'exploitation des API du système mobile, ou le contournement des protections des stores applicatifs.

ATT&CK for ICS

Décrit les actions d'un attaquant dans un réseau de systèmes de contrôle industriels (SCADA, automates, réseaux de distribution énergétique). Les tactiques diffèrent : « Inhibit Response Function », « Impair Process Control » sont spécifiques à l'OT.

5 Mapper une attaque — Exercice pratique

📍 Scénario

Un attaquant envoie un e-mail de phishing ciblé avec une pièce jointe Excel malveillante. Le fichier exécute une macro PowerShell qui crée une tâche planifiée persistante, puis exfiltre des données vers un serveur externe. Mappez chaque action sur la bonne tactique ATT&CK.

Glissez chaque action vers la tactique correspondante :

⚠️ Piège classique

L'erreur : Confondre technique et sous-technique — par exemple, citer T1059 (Command and Scripting Interpreter) alors que l'action spécifique est T1059.001 (PowerShell).

Le risque : Des règles de détection trop larges qui génèrent du bruit ou trop étroites qui manquent des variantes.

La bonne pratique : Toujours descendre au niveau de la sous-technique quand elle existe pour des détections précises.

6 Cas d'usage opérationnels

Threat Hunting
Gap Analysis
Red / Blue Team
Incident Response
Navigator

🔍 Threat Hunting

ATT&CK guide les recherches proactives. Au lieu de chercher « des anomalies », le hunter cible des techniques précises.

Exemple : Hypothèse → « Un attaquant utilise T1053.005 (Scheduled Task) pour persister. » → Recherche KQL dans Microsoft Sentinel : SecurityEvent | where EventID == 4698 | project TimeGenerated, Account, TaskName

📊 Gap Analysis

Cartographiez vos contrôles de sécurité sur la matrice ATT&CK pour identifier les zones sans couverture de détection.

Exemple : Votre SIEM détecte bien les techniques d'Initial Access (phishing) mais n'a aucune règle pour Credential Access (T1003 — OS Credential Dumping). C'est un trou dans votre couverture.

🔴🔵 Red Team / Blue Team

L'équipe red simule des techniques ATT&CK spécifiques. L'équipe blue vérifie si ses détections se déclenchent.

Exemple : La red team exécute T1055 (Process Injection) avec un outil comme Cobalt Strike. La blue team vérifie si son EDR génère une alerte. Chaque action est documentée avec le code ATT&CK → rapport structuré et actionnable.

🚨 Incident Response

Lors d'un incident, chaque action observée est mappée sur ATT&CK. Le rapport final devient un parcours structuré que toute l'équipe comprend.

Exemple : Post-mortem : « L'attaquant a utilisé T1566.001 (Spearphishing Attachment) → T1059.001 (PowerShell) → T1053.005 (Scheduled Task) → T1041 (Exfiltration Over C2 Channel). » Chaque étape a un identifiant universel.

🗺️ ATT&CK Navigator

Outil web gratuit de MITRE pour visualiser, annoter et superposer des couches sur la matrice. Indispensable pour la planification red/blue et la communication avec la direction.

Accès : mitre-attack.github.io/attack-navigator — Créez des couches colorées par technique, exportez en SVG/JSON, superposez la couverture de détection et le profil d'un groupe de menaces.
⚠️ Piège classique

L'erreur : Mapper ses alertes SIEM sur ATT&CK et considérer que la couverture affichée = protection réelle.

Le risque : Faux sentiment de sécurité. Une alerte mappée ne signifie pas qu'elle se déclenche réellement contre la technique dans votre environnement spécifique.

La bonne pratique : Valider les détections par des tests d'émulation adverse. Le mapping n'est que la première étape — la validation opérationnelle est indispensable.

7 📌 Ce qu'il faut retenir

🔑

Structure TTP

Tactique (pourquoi) → Technique (comment) → Sous-technique (variante) → Procédure (implémentation réelle).

🔑

14 tactiques

De Reconnaissance à Impact — un catalogue de comportements, pas une séquence linéaire.

🔑

3 matrices

Enterprise (la plus utilisée), Mobile (iOS/Android), ICS (systèmes industriels).

🔑

Langage commun

ATT&CK donne un vocabulaire universel partagé entre SOC, red team, direction et fournisseurs.

🔑

Mapping ≠ protection

Mapper des alertes sur ATT&CK ne suffit pas — il faut valider les détections par des tests réels.

🔑

Navigator

Outil web gratuit pour visualiser et superposer couverture défensive et profils de menaces.

8 Quiz — Testez vos connaissances

⭐ Connaître / Comprendre

1. Que signifie l'acronyme ATT&CK ?

✅ ATT&CK = Adversarial Tactics, Techniques, and Common Knowledge. Le nom reflète les trois composantes du framework : les tactiques (objectifs), les techniques (méthodes) et les connaissances partagées issues d'observations réelles.

2. Combien de tactiques contient la matrice Enterprise (v18) ?

✅ La matrice Enterprise contient 14 tactiques, de Reconnaissance (TA0043) à Impact (TA0040). Les 7 phases, c'est la Cyber Kill Chain de Lockheed Martin.

3. Quelle est la différence principale entre ATT&CK et la Cyber Kill Chain ?

✅ ATT&CK mappe les techniques sans supposer un ordre fixe, reconnaissant que les attaques réelles sautent des phases, bouclent ou exécutent plusieurs tactiques simultanément. La Kill Chain, elle, modélise une progression linéaire en 7 étapes.

⭐⭐ Appliquer / Analyser

4. Un analyste SOC observe qu'un script PowerShell a été exécuté sur un poste compromis. À quelle tactique et technique cela correspond-il ?

✅ L'exécution d'un script PowerShell correspond à la tactique Execution (TA0002) et à la sous-technique T1059.001 — PowerShell. Le phishing est le vecteur d'entrée (Initial Access), pas l'exécution du code.

5. Votre SIEM a des alertes mappées sur 80 % des techniques ATT&CK. Pouvez-vous affirmer que votre organisation est protégée contre 80 % des attaques ?

Non. Mapper des alertes sur ATT&CK ne signifie pas qu'elles se déclenchent quand un attaquant exécute la technique dans votre environnement spécifique. Il faut valider chaque détection par des tests d'émulation adverse (purple teaming, BAS).