Le référentiel mondial des comportements d'attaque — de la théorie à l'usage opérationnel
À la fin de ce lab, vous serez capable de :
Lundi matin, votre SOC détecte une alerte : un compte admin a exécuté un script PowerShell suspect sur un serveur de fichiers. L'analyste vous demande : « C'est quelle technique ATT&CK ? ». Vous ouvrez la matrice pour la première fois.
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissances publique, maintenue par la MITRE Corporation, qui documente les comportements réels des attaquants. Créé en 2013 et rendu public en 2015, le framework est devenu le langage commun entre équipes offensives et défensives.
Cliquez sur chaque niveau pour comprendre la hiérarchie :
Le POURQUOI — l'objectif de l'attaquant
Le COMMENT — la méthode utilisée
Le COMMENT précis — la variante spécifique
Le QUI et le QUOI — l'implémentation concrète
Invoke-WebRequest. C'est une procédure spécifique observée en conditions réelles.
Cliquez sur une tactique pour découvrir sa description et un exemple de technique associée.
L'erreur : Croire que les 14 tactiques sont séquentielles — qu'un attaquant passe obligatoirement de la 1 à la 14 dans l'ordre.
Le risque : Ignorer des alertes parce qu'elles ne correspondent pas à la « bonne phase ». Un attaquant peut boucler, sauter des étapes, ou opérer plusieurs tactiques simultanément.
La bonne pratique : Considérer la matrice comme un catalogue de comportements, pas comme une timeline linéaire. C'est la différence fondamentale avec la Cyber Kill Chain.
Un collègue vous dit : « On utilise déjà la Kill Chain, pourquoi passer à ATT&CK ? ». Comment lui expliquer la complémentarité ?
La matrice la plus utilisée. Couvre les environnements Windows, macOS, Linux, Cloud (Azure, AWS, GCP, SaaS), Containers et ESXi.
En v18 : 14 tactiques, 216 techniques, 475 sous-techniques. Elle intègre depuis la v8 les anciennes tactiques PRE-ATT&CK (Reconnaissance et Resource Development).
Couvre les comportements adverses sur iOS et Android. Inclut des tactiques spécifiques comme l'accès aux données réseau sans accès root, l'exploitation des API du système mobile, ou le contournement des protections des stores applicatifs.
Décrit les actions d'un attaquant dans un réseau de systèmes de contrôle industriels (SCADA, automates, réseaux de distribution énergétique). Les tactiques diffèrent : « Inhibit Response Function », « Impair Process Control » sont spécifiques à l'OT.
Un attaquant envoie un e-mail de phishing ciblé avec une pièce jointe Excel malveillante. Le fichier exécute une macro PowerShell qui crée une tâche planifiée persistante, puis exfiltre des données vers un serveur externe. Mappez chaque action sur la bonne tactique ATT&CK.
Glissez chaque action vers la tactique correspondante :
L'erreur : Confondre technique et sous-technique — par exemple, citer T1059 (Command and Scripting Interpreter) alors que l'action spécifique est T1059.001 (PowerShell).
Le risque : Des règles de détection trop larges qui génèrent du bruit ou trop étroites qui manquent des variantes.
La bonne pratique : Toujours descendre au niveau de la sous-technique quand elle existe pour des détections précises.
ATT&CK guide les recherches proactives. Au lieu de chercher « des anomalies », le hunter cible des techniques précises.
SecurityEvent | where EventID == 4698 | project TimeGenerated, Account, TaskName
Cartographiez vos contrôles de sécurité sur la matrice ATT&CK pour identifier les zones sans couverture de détection.
L'équipe red simule des techniques ATT&CK spécifiques. L'équipe blue vérifie si ses détections se déclenchent.
Lors d'un incident, chaque action observée est mappée sur ATT&CK. Le rapport final devient un parcours structuré que toute l'équipe comprend.
Outil web gratuit de MITRE pour visualiser, annoter et superposer des couches sur la matrice. Indispensable pour la planification red/blue et la communication avec la direction.
L'erreur : Mapper ses alertes SIEM sur ATT&CK et considérer que la couverture affichée = protection réelle.
Le risque : Faux sentiment de sécurité. Une alerte mappée ne signifie pas qu'elle se déclenche réellement contre la technique dans votre environnement spécifique.
La bonne pratique : Valider les détections par des tests d'émulation adverse. Le mapping n'est que la première étape — la validation opérationnelle est indispensable.
Tactique (pourquoi) → Technique (comment) → Sous-technique (variante) → Procédure (implémentation réelle).
De Reconnaissance à Impact — un catalogue de comportements, pas une séquence linéaire.
Enterprise (la plus utilisée), Mobile (iOS/Android), ICS (systèmes industriels).
ATT&CK donne un vocabulaire universel partagé entre SOC, red team, direction et fournisseurs.
Mapper des alertes sur ATT&CK ne suffit pas — il faut valider les détections par des tests réels.
Outil web gratuit pour visualiser et superposer couverture défensive et profils de menaces.
1. Que signifie l'acronyme ATT&CK ?
2. Combien de tactiques contient la matrice Enterprise (v18) ?
3. Quelle est la différence principale entre ATT&CK et la Cyber Kill Chain ?
4. Un analyste SOC observe qu'un script PowerShell a été exécuté sur un poste compromis. À quelle tactique et technique cela correspond-il ?
5. Votre SIEM a des alertes mappées sur 80 % des techniques ATT&CK. Pouvez-vous affirmer que votre organisation est protégée contre 80 % des attaques ?