~8 minutes
Cette série couvre MITRE ATT&CK sous plusieurs angles : Enterprise, Cloud Native, applications IA, ATLAS, intégration DevSecOps. Chaque article est autonome ; lisez dans l’ordre qui vous intéresse.
Il y a quelques années (pour certains ça paraît très loin…), quand on parlait de sécurité offensive en équipe, chacun avait son vocabulaire. Un attaquant parlait de “mouvement latéral”, son collègue de “propagation réseau”, le SIEM alertait sur “suspicious SMB traffic”. Trois façons de nommer la même chose, zéro corrélation possible.
C’est exactement le problème que MITRE ATT&CK a résolu. Pas en inventant de nouvelles attaques ; en nommant et structurant celles qui existent, de façon à ce que tout le monde parle enfin le même langage.
MITRE ATT&CK n’est pas un outil. C’est un dictionnaire commun entre les équipes offensives, défensives et le management ; c’est précisément ce qui en fait la valeur.
Note du PandaRedacteur : J’ai découvert ATT&CK pour la première fois lors d’un audit avec des collègues quand j’etais en cabinet, et j’ai eu la cette réaction : “pourquoi on n’avait pas ça avant ?”
Qu’est-ce que MITRE ATT&CK, concrètement ?
ATT&CK signifie Adversarial Tactics, Techniques, and Common Knowledge. La base de données est maintenue par MITRE Corporation, une organisation à but non lucratif qui travaille pour le gouvernement américain, et elle est publique, gratuite, et mise à jour en continu.
La structure est simple à comprendre :
graph LR
T["🎯 Tactique\nle POURQUOI\n(objectif de l'attaquant)"]
TE["⚙️ Technique\nle COMMENT\n(moyen employé)"]
ST["🔬 Sous-technique\nle COMMENT précis\n(variante spécifique)"]
T -->|"se décline en"| TE
TE -->|"se précise en"| ST
style T fill:#e3f2fd,stroke:#1976d2
style TE fill:#fff3e0,stroke:#e65100
style ST fill:#e8f5e9,stroke:#2e7d32
Par exemple :
- Tactique : Credential Access : l’attaquant veut obtenir des credentials
- Technique : OS Credential Dumping (T1003) : il dump les hashes du système
- Sous-technique : LSASS Memory (T1003.001) : il vide la mémoire du processus LSASS
Chaque technique documente : les procédures observées dans de vraies attaques, les groupes d’attaquants connus qui l’utilisent, les détections possibles et les mitigations recommandées.
Les matrices disponibles
Il en existe plusieurs, ici je vais me focaliser sur ces quatre :
Comment lire une matrice ATT&CK
La matrice se présente comme un tableau à double entrée : les colonnes sont les tactiques (l’objectif de l’attaquant), les lignes sont les techniques (le moyen). En pratique, une attaque réelle suit un chemin à travers plusieurs colonnes.
graph LR
A["🔍 Reconnaissance\nTA0043"] --> B["🚪 Initial Access\nTA0001"]
B --> C["⚙️ Execution\nTA0002"]
C --> D["🔒 Persistence\nTA0003"]
D --> E["⬆️ Privilege Escalation\nTA0004"]
E --> F["🔑 Credential Access\nTA0006"]
F --> G["➡️ Lateral Movement\nTA0008"]
G --> H["💥 Impact\nTA0040"]
style A fill:#e3f2fd,stroke:#1976d2
style B fill:#fce4ec,stroke:#c62828
style C fill:#fff3e0,stroke:#e65100
style D fill:#f3e5f5,stroke:#6a1b9a
style E fill:#e8f5e9,stroke:#2e7d32
style F fill:#fbe9e7,stroke:#bf360c
style G fill:#e0f2f1,stroke:#00695c
style H fill:#ffebee,stroke:#b71c1c
La tactique donne le pourquoi ; la technique donne le comment. Pour défendre, on pense aux deux : bloquer la technique sans comprendre la tactique, c’est mettre un verrou sur une porte en laissant la fenêtre ouverte.
Note du PandaRedacteur : Le Navigator ATT&CK, est un outil qui transforme une réunion budget sécurité. Le RSSI peut enfin répondre à la DG avec autre chose qu’un “on fait de notre mieux”.
Pourquoi c’est utile en pratique
On entend souvent la question : “on a déjà des CVE, des elements OWASP, pourquoi ajouter ATT&CK ?” La réponse tient en une phrase : CVE dit ce qui est cassé, ATT&CK dit comment ça va être exploité.
Pour les équipes défensives : calibrer les règles SIEM. Plutôt que d’écrire “alerte si PowerShell”, on écrit une règle qui couvre T1059.001 (Command and Scripting Interpreter : PowerShell) avec les sous-techniques connues des groupes APT qui ciblent notre secteur.
Pour les équipes offensives : documenter les scenarios de pentest de façon compréhensible par le management grace a un language commun
Pour le management : relier les investissements sécurité à des menaces réelles.
Note du PandaRedacteur : La couverture ATT&CK se mesure. C’est rare dans notre domaine ; autant en profiter.
Les groupes d’attaquants et les campagnes documentées
Une des richesses d’ATT&CK, souvent sous-exploitée, c’est la documentation des groupes d’attaquants. Chaque groupe (APT28, Lazarus Group, Cl0p…) a une page qui liste les techniques qu’il utilise préférentiellement.
Pour une organisation qui veut prioriser, on commence toujours par identifier les 3-5 groupes les plus actifs dans son secteur, puis on construit un profil de menace à partir de l’union de leurs techniques. Les contrôles défensifs sont ensuite priorisés en fonction de ce profil, pas d’une liste générique.
Note du PandaRedacteur : C’est ce qu’on appelle le threat-informed defense : défendre contre des menaces réelles et mesurables, pas contre une liste exhaustive qui ne finit jamais.
Ce que cette série couvre
- ✓ ATT&CK est un dictionnaire commun entre équipes offensives, défensives et management ; pas un outil, un référentiel de connaissances.
- ✓ Quatre matrices principales : Enterprise (SI classique), Cloud/Web, Application IA (croisement), ATLAS (IA/ML spécifique).
- ✓ La structure Tactique → Technique → Sous-technique permet de relier un objectif attaquant à un moyen technique précis.
- ✓ Les groupes d'attaquants documentés permettent un threat-informed defense : prioriser les contrôles selon les groupes qui ciblent réellement votre secteur.
- ✓ La couverture ATT&CK se mesure : un indicateur rare en sécurité, directement exploitable pour les décisions budget.