MITRE ATT&CK : La Carte des Tactiques Adverses qui a Révolutionné la Cyberdéfense
Résumons : Le MITRE ATT&CK est devenu l’un des langage universel de la cybersécurité, transformant la façon dont nous comprenons, détectons et controns les cyberattaques. Cette base de connaissances, née d’expérimentations internes chez MITRE en 2013, catalogue méticuleusement les comportements adverses réels observés dans le monde entier.
Plus qu’une matrice, une révolution
Lorsque l’on travail dans la cybersécurité, ou si on aspire à y faire carrière, nous utilisons cette imposante grille colorée et remplie de cases aux intitulés parfois cryptiques, T1566 Spearphishing Attachment, T1003 OS Credential Dumping ou encore T1486 Data Encrypted for Impact. Derrière ces codes se cache le MITRE ATT&CK, qui est bien plus qu’un simple tableau de référence pour experts.
C’est une nouvelle approche dans la manière d’appréhender la cyberdéfense. Là où les approches traditionnelles se concentraient sur les indicateurs de compromission (IOCs) , adresses IP malveillantes, signatures de malwares, hashs de fichiers etc…ATT&CK a déplacé le focus vers les comportements adverses. Cette approche comportementale change la donne lorsque l’on sait qu’un attaquant peut facilement changer d’adresse IP ou modifier son malware, il lui est beaucoup plus difficile de modifier ses tactiques et techniques fondamentales, bien évidement si nous ne prenons pas en compte l’utilisation des Agents IA ce qui devra (devrait) être fait.
Architecture MITRE ATT&CK
Schéma conceptuel : Tactiques (colonnes) → Techniques (cases) → Détections (CAR) → Contre-mesures (D3FEND)
Figure 1 – Des tactiques aux techniques, alignées avec les mécanismes de défense
De l’expérimentation secrète au standard Mondial
Les origines au Fort Meade (2013)
L’histoire d’ATT&CK commence dans les laboratoires de MITRE Corporation en 2013, avec un projet de recherche interne appelé Fort Meade eXperiment (FMX). L’objectif initial était modeste mais ambitieux : documenter les comportements post-compromission observés lors d’exercices d’Assume Breach dans des environnements Windows.
« Il y a eu un moment ‘eurêka’ quand nous avons réalisé que la liste de comportements sur laquelle nous nous concentrions serait vraiment utile à d’autres. » – Jonathan Baker, Directeur R&D chez MITRE Engenuity
Les chercheurs de MITRE utilisaient leur propre « lab » réseau pour mener des tests d’intrusion, reproduisant les comportements observés lors d’attaques historiques réelles. Ces expérimentations ont rapidement révélé des patterns récurrents dans les méthodes d’attaque, indépendamment des outils ou malwares spécifiques utilisés.
La publication publique
Après deux années de test et essai internes, Le MITRE prend la décision de rendre publique leur base de connaissances en mai 2015. La première version d’ATT&CK contenait :
Une autre décision fût prise, rendre ATT&CK open source et gratuit cela a été cruciale pour son adoption.
L’évolution et l’expansion (2015-2025)
- 2017 – Introduction de la matrice pour Linux et macOS, étendant la couverture au-delà de Windows.
- 2018 – Ajout de la tactique « Impact » avec 14 techniques couvrant ransomware, DDoS, cryptojacking.
- 2019 – Introduction des sous-techniques pour une granularité accrue.
- 2020 – Publication du document « Design and Philosophy » expliquant l’ADN d’ATT&CK.
- 2021 – Lancement de D3FEND, le framework défensif complémentaire.
- 2025 (Avril) – Version 17.1 avec 877 logiciels, 170 groupes, support ESXi.
Comprendre la matrice : architecture et philosophie
Les trois domaines d’ATT&CK
ATT&CK n’est pas une « matrice unique » mais c’est trois domaines complémentaires, chacun adapté à un écosystème spécifique :
| Domaine | Cible | Tactiques | Techniques | Particularités |
|---|---|---|---|---|
| Enterprise | IT & Cloud | 14 | 211 (+ 468 sous-techniques) | Windows, Linux, macOS, Cloud, Containers, Network Devices |
| Mobile | Android/iOS | 12 | 75 (+ 46 sous-techniques) | Permissions, App Stores, SMS, communications mobiles |
| ICS | Systèmes industriels | 12 | 83 | SCADA, PLC, protocoles industriels, sécurité physique |
La structure hiérarchique : Tactiques, Techniques et Sous-techniques
La beauté d’ATT&CK réside dans sa structure logique et intuitive :
- Tactiques (le « Pourquoi ») : Les objectifs tactiques de l’adversaire. Chaque colonne de la matrice représente une tactique, allant de l’accès initial jusqu’à l’impact final. Exemples :
TA0001 Initial Access,TA0040 Impact - Techniques (le « Comment ») : Les méthodes utilisées pour atteindre un objectif tactique. Chaque case dans une colonne représente une technique. Exemple :
T1003 OS Credential Dumping - Sous-techniques (le « Comment Précisément ») : Les variations spécifiques d’une technique. Introduites pour capturer les nuances. Exemple :
T1003.001 LSASS Memory,T1003.003 NTDS
ATT&CK ne documente que des comportements observés dans le monde réel. Chaque technique est supportée par des références à des rapports d’incidents, analyses de malware, ou observations d’équipes de réponse aux incidents.
L’écosystème ATT&CK
ATT&CK Navigator
Le Navigator est l’outil de visualisation interactif qui a démocratisé l’usage d’ATT&CK. Développé comme une application web open source, il permet de :
- Créer des couches personnalisées : Colorier la matrice selon vos besoins (couverture de détection, priorités, plans d’exercices)
- Comparer des profils d’adversaires : Superposer les techniques de différents groupes APT pour identifier les overlaps
- Évaluer la maturité défensive : Créer des heatmaps montrant où se situent vos forces et lacunes
- Exporter et partager : Générer des rapports visuels en SVG, Excel ou JSON
Exemple pratique
Une équipe SOC souhaite prioriser ses investissements de détection. Elle utilise Navigator pour :
- 1.Importer les techniques utilisées par les groupes APT ciblant leur secteur
- 2.Colorer en rouge les techniques non couvertes, en jaune celles partiellement couvertes, en vert celles bien détectées
- 3.Identifier que des techniques de Credential Access ne sont pas couvertes
- 4.Prioriser le déploiement de solutions de protection LSASS et de surveillance Kerberos
STIX/TAXII
ATT&CK est nativement publié en format STIX 2.1 (Structured Threat Information eXpression) et accessible via TAXII (Trusted Automated eXchange of Intelligence Information). Cette standardisation permet :
- L’intégration automatique dans les plateformes de Threat Intelligence
- L’échange standardisé d’informations entre organisations
- La création d’extensions personnalisées tout en restant compatible
- L’automatisation des mises à jour dans les outils de sécurité
Cyber Analytics Repository (CAR)
Le CAR est le pont entre ATT&CK et la détection opérationnelle. Il fournit :
- Analytiques prêtes à l’emploi : Plus de 100 détections documentées avec pseudo-code
- Implémentations multi-plateformes : Splunk, EQL, Sigma, PowerShell
- Méthodologie de test : Procédures pour valider les détections
- Mappings ATT&CK : Liens directs entre analytiques et techniques couvertes
Exemple: Détection de Credential Dumping
CAR-2019-04-004: Credential Dumping via Mimikatz
index=windows EventCode=4656 Object_Type="SAM_DOMAIN" Access_Mask="0x705" Process_Name!="*lsass.exe" | stats count by ComputerName, Process_Name, Account_Name
Cette règle Splunk détecte les accès suspects à la base SAM, caractéristiques de techniques comme Mimikatz.
D3FEND : Le pendant défensif
Lancé en 2021 avec le support de la NSA, D3FEND (Detection, Denial, and Disruption Framework Empowering Network Defense) complète ATT&CK en cataloguant les contre-mesures défensives, via ses cinq tactiques principales
| Tactique D3FEND | Objectif | Exemples de Techniques |
|---|---|---|
| Harden | Réduire la surface d’attaque | Application Hardening, Credential Hardening, Platform Hardening |
| Detect | Identifier les activités malveillantes | Network Traffic Analysis, Process Analysis, User Behavior Analysis |
| Isolate | Contenir les menaces | Network Isolation, Execution Isolation, Credential Isolation |
| Deceive | Tromper les attaquants | Decoy Credentials, Honeypots, Decoy Network Resources |
| Evict | Éliminer les menaces | Process Termination, Credential Eviction, File Removal |
Exemple fil rouge : anatomie d’une attaque de ransomware
Pour illustrer concrètement l’application d’ATT&CK, nous allons décrire le déroulement typique d’une attaque de ransomware moderne, de l’intrusion initiale jusqu’au chiffrement des données.
Phase 1 : Accès Initial et établissement
Technique :T1566.001 Spearphishing Attachment
Scénario : L’attaquant envoie un e-mail ciblé avec une pièce jointe malveillante se faisant passer pour une facture urgente (scénario en principe caduc car largement documenté 😅) .
Détection (CAR) :
- Surveillance des processus Office spawning PowerShell/CMD
- Analyse sandbox des pièces jointes
- Détection de macros avec obfuscation (si le fichier est de type Excel)
Défense (D3FEND) :
- Email Filtering (filtrage SPF/DKIM/DMARC)
- User Training (sensibilisation anti-phishing)
- Attachment Analysis (sandbox automatique)
Phase 2 : Exécution et Persistance
Techniques :
T1059.001 PowerShell →
T1053.005 Scheduled Task
Scénario : Le malware utilise PowerShell encodé pour télécharger un payload supplémentaire et crée une tâche planifiée pour la persistance.
Détection :
EventID=4104 AND ScriptBlockText=*-EncodedCommand* OR ScriptBlockText=*IEX* OR ScriptBlockText=*Invoke-Expression*
Défense :
- PowerShell Script Block Logging activé
- AppLocker/WDAC pour restreindre l’exécution
- AMSI (Antimalware Scan Interface) monitoring
Phase 3 : Escalade de Privilèges et Mouvement Latéral
Techniques :
T1003.001 LSASS Memory →
T1021.001 Remote Desktop Protocol
Scénario : L’attaquant dump les credentials depuis LSASS, obtient des hashs NTLM d’administrateurs de domaine, puis utilise RDP pour se propager.
Détection CAR-2019-04-004 :
Process accessing lsass.exe | GrantedAccess: 0x1010 or 0x1410 Unusual RDP connections outside business hours Multiple failed then successful RDP attempts
Défense D3FEND :
- Credential Access Protection (Windows Credential Guard)
- LSASS Protection (RunAsPPL)
- Network Segmentation (isolation des systèmes critiques)
- MFA sur tous les accès administratifs
Phase 4 : Impact – Chiffrement et Extorsion
Technique :T1486 Data Encrypted for Impact
Scénario : Déploiement du ransomware via GPO ou PsExec, chiffrement simultané de multiples serveurs.
Indicateurs de détection :
- Création massive de fichiers avec nouvelles extensions (.locked, .encrypted)
- Pics d’activité I/O disque anormaux
- Suppression des shadow copies (vssadmin delete shadows)
- Modification du boot sector (bcdedit /set recoveryenabled no)
Défense critique :
- Sauvegardes immuables (offline/air-gapped)
- Canary files monitoring
- Behavioral analysis (détection d’encryption en masse)
- Volume Shadow Copy protection
MITRE Engenuity ATT&CK Evaluations : Le benchmark de l’industrie
Depuis 2018, MITRE Engenuity conduit des évaluations indépendantes des solutions de cybersécurité en simulant des adversaires réels. Ces évaluations sont devenues le standard de facto pour mesurer l’efficacité des solutions EDR/XDR.
Méthodologie unique
Contrairement aux tests traditionnels, les évaluations ATT&CK :
- N’ont pas de scores ou classements : Focus sur les capacités, pas la compétition
- Ont une transparence totale : Méthodologie et résultats publics
- Font des émulations réalistes : Reproduction fidèle de groupes APT réels
- Ont une approche collaborative : Vendeurs et MITRE travaillent ensemble
Adversaires émulés récents
| Round | Année | Adversaires | Focus Technique |
|---|---|---|---|
| Round 5 | 2023 | Turla (VENOMOUS BEAR) | Sophistication, stealth, outils légitimes |
| Round 6 | 2024 | menuPass & ALPHV/BlackCat | Ransomware, ESXi, Linux |
| MSSP Round 2 | 2024 | menuPass & BlackCat Affiliate | Services managés, multi-tenant |
Impact sur l’industrie : Les évaluations ont poussé les vendeurs à améliorer drastiquement leurs capacités. En 2024, la détection moyenne des techniques est passée à 83%, contre 66% en 2019.
Bonnes pratiques
Les pièges à éviter
⚠️ Erreurs communes :
- Sur-généralisation : Ne pas attribuer automatiquement une attaque à un groupe APT basé sur quelques techniques communes
- Mapping incorrect : Mapper des intentions plutôt que des comportements observables
- Vision tunnel : Se concentrer uniquement sur ATT&CK en ignorant d’autres sources de threat intelligence
- Paralysie analytique : Vouloir couvrir toutes les techniques sans priorisation
Cas d’usage avancés et retours d’expérience
Threat Hunting proactif
Les équipes de threat hunting utilisent ATT&CK pour structurer leurs hypothèses de chasse :
Hypothèse de chasse : Persistence via WMI
Technique ciblée :T1546.003 WMI Event Subscription
Requête de chasse :
SELECT * FROM __EventFilter SELECT * FROM __EventConsumer SELECT * FROM __FilterToConsumerBinding WHERE Consumer LIKE '%powershell%' OR Consumer LIKE '%cmd%'
Résultat typique : Découverte de 2-3% d’infections dormantes non détectées par l’AV traditionnel
Intelligence-Driven Defense
Les équipes CTI (Cyber Threat Intelligence) utilisent ATT&CK pour :
- Profiler les adversaires : Créer des « empreintes TTP » uniques par groupe
- Prédire les évolutions : Analyser les tendances dans l’adoption de nouvelles techniques
- Partager intelligemment : Échanger des IOCs enrichis avec contexte ATT&CK
Mesure de maturité et KPIs
| Métrique | Calcul | Objectif Type |
|---|---|---|
| Couverture ATT&CK | Techniques détectées / Techniques prioritaires | > 80% |
| MTTD par Tactique | Temps moyen de détection par phase d’attaque | < 24h (Initial Access), < 1h (Execution) |
| Efficacité Purple Team | Techniques détectées / Techniques testées | > 70% |
| ROI Détection | Incidents évités × Coût moyen / Investissement détection | > 3:1 |
L’avenir d’ATT&CK : tendances et évolutions
Expansions en cours
La version 17 (avril 2025) a introduit des changements majeurs :
- Plateforme ESXi : Reconnaissance de l’importance croissante des hyperviseurs comme cibles
- Network Devices renommé : Clarification du scope pour inclure firewalls, routers, switches
- Améliorations des Mitigations : Descriptions détaillées et mappings D3FEND renforcés
Intelligence Artificielle et Machine Learning
L’IA transforme l’utilisation d’ATT&CK :
- Mapping automatique : ML pour classifier automatiquement les alertes en techniques ATT&CK
- Prédiction de chaînes d’attaque : IA prédisant les prochaines techniques probables
- Génération de détections : LLMs créant des règles de détection à partir de descriptions ATT&CK
Intégration Cloud-Native
Avec la migration cloud massive, ATT&CK évolue :
- Techniques spécifiques aux containers (Kubernetes)
- Serverless et Function-as-a-Service attacks
- Cloud Service Provider APIs abuse
C’était Zérosécu, et comme je dis toujours, la cybersécurité est moins cher que gratuit.
J’apporte la plus grande attention et le plus grand soin à chaque article, mais si toutefois, si vous repérez une erreur, faites-moi signe !
Note de les droits d’auteur (images): Les visuels intégrés peuvent provenir de la documentation officiels du MITRE, et sont utilisés à des fins d’illustration et d’analyse conformément au droit de citation.
Sources et références:https://attack.mitre.org/ , https://d3fend.mitre.org/
Note de l’auteur: Ce chapitre représente l’état de l’art d’ATT&CK en septembre 2025. Le framework évoluant rapidement, consultez toujours les sources officielles pour les informations les plus récentes. La prochaine mise à jour majeure (v18) est prévue pour octobre 2025.