Les TTP (Tactics, Techniques, Procedures) désignent la manière dont un adversaire mène une attaque : les objectifs qu'il poursuit (tactics), les méthodes qu'il emploie (techniques) et les mises en œuvre concrètes qu'il choisit (procedures). Concept emprunté à la doctrine militaire, central en cybersécurité depuis l'émergence de MITRE ATT&CK (2013), c'est le niveau le plus haut de la Pyramid of Pain (David Bianco) : changer ses TTP coûte des mois à un attaquant, là où changer un IOC se fait en minutes. Cet article définit TTP avec précision, situe chaque composant (T-T-P), explique son ancrage MITRE ATT&CK / ATLAS / D3FEND, et détaille l'usage opérationnel en SOC, threat hunting et threat intelligence en 2026.
1. Définition précise
TTP est un acronyme militaire repris par la cybersécurité pour décrire la signature comportementale d'un acteur malveillant.
- Tactics : quoi l'attaquant essaie d'accomplir (objectif court terme).
- Techniques : comment il l'accomplit (méthode générale).
- Procedures : quelle implémentation spécifique il utilise (outil, paramètres, séquence).
Pris ensemble, les TTP forment l'ADN comportemental d'un acteur. Deux groupes peuvent partager le même outil (technique) mais avoir des procédures différentes - et ces différences font l'attribution.
1.1 Hiérarchie TTP vs IOA vs IOC
À situer côté détection :
| Niveau | Sens | Exemple | Volatilité |
|---|---|---|---|
| IOC (atomique) | Artefact observable d'une compromission | Hash 4a7e..., IP 192.0.2.42 | Très élevée (minutes) |
| IOA (comportement) | Indicateur d'attaque en cours | cmd.exe enfant de winword.exe | Moyenne (jours/semaines) |
| TTP | Méthode complète et durable | T1003.001 LSASS Memory dump via tool X | Très basse (mois/années) |
C'est exactement la Pyramid of Pain vue par le bas - le sommet correspond aux TTP.
1.2 Origine et adoption
- Concept militaire historique (US Army Joint Pub 1-02).
- Adapté à la cybersécurité dans les années 2000 (Lockheed Martin Cyber Kill Chain 2011).
- Formalisé en framework opérationnel par MITRE ATT&CK (2013, public depuis 2015).
- Standard de fait en CTI, threat hunting, red teaming, blue teaming.
2. Tactics - les objectifs adversariaux
Une tactique est un objectif court-terme poursuivi par l'attaquant à un moment de sa kill chain. MITRE ATT&CK Enterprise (v15+ en 2026) définit 14 tactiques :
| ID | Tactique | Objectif |
|---|---|---|
| TA0043 | Reconnaissance | Recueillir informations cible avant l'attaque |
| TA0042 | Resource Development | Préparer infrastructure (domaines, comptes, malware) |
| TA0001 | Initial Access | Pénétrer le périmètre |
| TA0002 | Execution | Exécuter du code sur la cible |
| TA0003 | Persistence | Maintenir l'accès dans le temps |
| TA0004 | Privilege Escalation | Obtenir des privilèges plus élevés |
| TA0005 | Defense Evasion | Contourner les défenses |
| TA0006 | Credential Access | Voler des identifiants |
| TA0007 | Discovery | Cartographier l'environnement compromis |
| TA0008 | Lateral Movement | Se déplacer dans l'environnement |
| TA0009 | Collection | Collecter données d'intérêt |
| TA0011 | Command and Control | Communiquer avec l'infrastructure attaquante |
| TA0010 | Exfiltration | Sortir les données |
| TA0040 | Impact | Détruire, chiffrer, perturber |
Cadres parallèles : MITRE ATT&CK couvre aussi Mobile (avec tactiques propres) et ICS (industriel). MITRE ATLAS (2023+) couvre l'IA / ML avec ses propres tactiques (TA0014 Reconnaissance ML, etc.).
3. Techniques et sub-techniques
Une technique est une méthode générique pour accomplir une tactique. Une sub-technique est une variante précise.
3.1 Exemples emblématiques
-
T1110 Brute Force (sous Credential Access TA0006) :
- T1110.001 Password Guessing
- T1110.002 Password Cracking
- T1110.003 Password Spraying
- T1110.004 Credential Stuffing
-
T1003 OS Credential Dumping (sous Credential Access) :
- T1003.001 LSASS Memory
- T1003.002 Security Account Manager
- T1003.003 NTDS
- T1003.006 DCSync
- etc.
-
T1558 Steal or Forge Kerberos Tickets :
- T1558.001 Golden Ticket
- T1558.002 Silver Ticket
- T1558.003 Kerberoasting
- T1558.004 AS-REP Roasting
3.2 Volume et structure
ATT&CK Enterprise comporte en 2026 :
- 14 tactics.
- ~200 techniques principales.
- ~600 sub-techniques.
- Chaque entrée documente : description, plateformes affectées, sources de données pour la détection, mitigations, références d'incidents publics.
C'est l'encyclopédie comportementale de référence.
4. Procedures - la mise en œuvre concrète
Le procedure est l'implémentation spécifique d'une technique par un acteur particulier.
4.1 Exemple
Technique : T1003.001 LSASS Memory dump.
Trois procédures différentes :
| Acteur | Procedure |
|---|---|
| APT29 (Cozy Bear) | Mimikatz custom modifié, injection via WMI |
| LockBit ransomware | procdump.exe -ma lsass.exe standard Sysinternals |
| FIN7 | nanodump compilé avec strings obfusquées, SMB transfert |
Même technique - trois procédures distinctes, chacune avec ses propres IOC volatils. Reconnaître la procédure aide à l'attribution ; reconnaître la technique permet la détection robuste.
4.2 Pourquoi distinguer les trois
- Détection au niveau TTP : indépendante de l'outil et du compile-time → maximum résilience.
- Détection au niveau procedure : utile pour attribution et threat hunting ciblé.
- Détection au niveau IOC : court-terme et volatile.
5. Frameworks et standards associés
5.1 MITRE ATT&CK
attack.mitre.org. Le framework dominant :
- Enterprise : Windows, macOS, Linux, Cloud (AWS/Azure/GCP/SaaS), Containers, Network.
- Mobile : iOS et Android.
- ICS : Industrial Control Systems (Stuxnet, Industroyer, Triton).
Mises à jour deux fois par an. STIX 2.1 export disponible.
5.2 MITRE ATLAS
atlas.mitre.org. Adversarial Threat Landscape for AI Systems. Adapte ATT&CK aux systèmes ML/IA :
- Reconnaissance ML, ML Attack Staging, ML Model Access, ML Attack Lifecycle.
- Couvre le model poisoning, evasion attacks, prompt injection, ML supply chain.
- Référence pour la threat modeling LLM en 2026.
5.3 MITRE D3FEND
d3fend.mitre.org. Framework défensif symétrique à ATT&CK :
- Cartographie les contre-mesures techniques.
- Mapping inverse : pour une technique ATT&CK, quelles défenses D3FEND ?
- Toujours en évolution active, complément utile pour blue team architecture.
5.4 Lockheed Martin Cyber Kill Chain
Modèle antérieur (2011), 7 étapes : Reconnaissance, Weaponization, Delivery, Exploitation, Installation, C2, Actions on Objectives. Plus simple qu'ATT&CK, encore utilisé en briefing exec et en threat modeling de haut niveau.
5.5 Diamond Model of Intrusion Analysis
Modèle CTI structurant chaque évènement comme un quadrilatère : Adversary, Capability, Infrastructure, Victim. Complémentaire à ATT&CK pour l'analyse forensic.
5.6 Unified Kill Chain
Synthèse moderne (Paul Pols, 2022) qui combine Kill Chain + ATT&CK en 18 phases linéaires. Utile pour modélisation pédagogique ou réponse à incident structurée.
5.7 STIX 2.1 - sérialisation
Les TTP s'expriment en STIX via les objets attack-pattern (techniques) et course-of-action (mitigations). Permet l'échange machine entre plateformes CTI.
6. Threat Intelligence et attribution
6.1 Pourquoi les TTP servent à l'attribution
Les acteurs persistants (APT, ransomware operators) ont des patterns récurrents :
- Choix d'outils (Cobalt Strike vs Sliver vs Brute Ratel C4).
- Configurations (named pipes spécifiques, sleep jitter pattern, watermark).
- Préférences techniques (SMB exec vs WMI vs WinRM).
- Heures d'activité (fuseau de l'opérateur).
- Cibles sectorielles.
Le mapping TTP de plusieurs incidents converge progressivement vers un acteur connu (APT29, FIN7, LockBit, BlackCat, Scattered Spider, etc.).
6.2 Limites de l'attribution
- Faux drapeau : un acteur peut imiter les TTP d'un autre pour brouiller.
- Convergence d'outillage : Cobalt Strike est partagé par 100+ groupes.
- Erreurs analytiques : confiance modérée doit être communiquée explicitement (Admiralty Code, NIPF confidence levels).
L'attribution est un jugement probabiliste, pas un fait technique.
6.3 Sources d'intelligence TTP
- MITRE ATT&CK Groups : profils acteurs publiés.
- Mandiant Advantage, CrowdStrike Adversary Universe, Microsoft Threat Intelligence, Recorded Future : commerciaux.
- CERT-FR, CISA, NCSC UK, BSI : alertes gouvernementales avec TTP.
- MISP communautaires + OpenCTI : auto-hébergement et partage TTP via STIX.
- Reports APT publics : APT1 Mandiant 2013, APT28/Sandworm reports, ransomware playbooks (CISA, IBM X-Force).
7. Usage opérationnel
7.1 Détection robuste (Sigma + EDR)
Construire des règles Sigma orientées TTP :
title: LSASS Memory Dump via comsvcs.dll (T1003.001)
status: stable
description: Detects LSASS dump using comsvcs.dll MiniDump export
references:
- https://attack.mitre.org/techniques/T1003/001/
tags:
- attack.credential_access
- attack.t1003.001
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith:
- '\rundll32.exe'
CommandLine|contains|all:
- 'comsvcs.dll'
- 'MiniDump'
condition: selection
level: highUne règle TTP-aware reste valide même si l'attaquant change d'outil de packaging - tant qu'il utilise la même technique sous-jacente.
7.2 Threat hunting
Démarche typique :
- Choisir une technique ciblée (ex. T1558.003 Kerberoasting).
- Identifier les sources de données : Event 4769 Windows, traffic Kerberos.
- Construire une hypothèse : "un compte de service avec SPN reçoit un TGS chiffré RC4 d'un poste utilisateur normal".
- Hunter sur 30 jours de logs.
- Documenter en STIX, capitaliser comme nouvelle règle Sigma.
7.3 Threat modeling
Lors de la conception d'une application ou d'une infra :
- Identifier les TTP applicables (couches AWS, AD, Kubernetes...).
- Pour chaque, vérifier la couverture détection (D3FEND mapping).
- Prioriser les défenses sur les TTP les plus critiques et les moins couvertes.
7.4 Red teaming et purple teaming
Les engagements adversariaux modernes se cadrent en objectifs TTP :
- "Émuler APT29 sur ce périmètre, exécuter techniques T1078.004, T1003.006, T1021.002".
- Outils : Atomic Red Team (Red Canary), CALDERA (MITRE), Mythic, Sliver, Cobalt Strike.
- Évaluation : taux de détection par technique, MTTD par TTP.
7.5 Maturité SOC mesurée par TTP
Métrique reconnue : % de techniques ATT&CK couvertes par au moins une détection dans le SOC.
- Niveau 1 : moins de 30 %.
- Niveau 2 : 30-60 %.
- Niveau 3 : 60-80 %.
- Niveau 4 : 80 %+.
Outil : DeTT&CT (Marcus Bakker, Ruben Bouman) - cartographie automatique de la couverture.
8. Outils notables
| Outil | Rôle |
|---|---|
| MITRE ATT&CK Navigator | Cartographie visuelle TTP |
| DeTT&CT | Mapping détection vs TTP |
| Atomic Red Team | Tests reproductibles par technique |
| CALDERA (MITRE) | Émulation adversaire automatisée |
| MITRE D3FEND | Catalogue défenses |
| OpenCTI | Plateforme CTI native STIX 2.1 |
| MISP | Partage TTP communautaire |
| Sigma + sigma-cli | Règles SIEM-agnostiques mappées TTP |
| CTI Blueprints (MITRE) | Templates rapports CTI structurés |
| VECTR | Évaluation purple teaming |
9. Limites et pièges
9.1 ATT&CK n'est pas exhaustif
Les TTP émergentes ne sont pas toujours indexées immédiatement. La cadence de mise à jour MITRE est rapide (2 fois/an) mais des techniques nouvelles passent toujours sous le radar 6-12 mois.
9.2 Toutes les techniques ne sont pas équivalentes
Couvrir 80 % des techniques ATT&CK ne signifie pas que ces 80 % sont les plus prévalentes pour vos adversaires. Pondérer la couverture par la prévalence sectorielle (ex. ransomware) plus que par exhaustivité.
9.3 Détection au niveau TTP ≠ alerte
Détecter un comportement n'est pas synonyme d'alerte (besoin de contexte, de scoring, de corrélation). Un appel rundll32.exe comsvcs.dll MiniDump peut être légitime dans certains contextes (debug). Whitelist requise.
9.4 Risque de cargo-culting
Coller des tags T1059.001 partout sur les règles sans vérifier la précision détérioré la qualité du SOC. Mapping rigoureux requis.
9.5 Attribution prudente
Un mapping TTP suggérant APT29 ne signifie pas APT29 - vérifier infrastructure, victimologie, tooling avant d'affirmer.
10. FAQ
10.1 Quelle différence pratique entre tactic et technique ?
Une tactic est un objectif ("voler des credentials"). Une technique est la méthode ("dumper LSASS via Mimikatz"). Plusieurs techniques peuvent atteindre la même tactique. Une tactic seule sans technique n'est pas exploitable opérationnellement.
10.2 ATT&CK Enterprise ou ATT&CK Mobile / ICS / ATLAS ?
Selon votre périmètre : Enterprise pour 90 % des SOC standards, Mobile si pen-test mobile / MDM, ICS si OT industriel, ATLAS si AI/ML en production. Plusieurs frameworks peuvent coexister dans une organisation diversifiée.
10.3 Combien de techniques ATT&CK une équipe SOC mature couvre-t-elle ?
Cible réaliste : 60-80 % des techniques pertinentes pour son secteur et sa stack technique. La couverture exhaustive n'est pas un objectif - la couverture priorisée sur les TTPs des acteurs ciblant votre secteur l'est.
10.4 ATT&CK est-il un cadre obligatoire pour passer une certification ?
Pas formellement, mais référencé par : SANS GCIH, GCFA, GCDA ; OSCP/OSEP indirectement ; CISSP en théorie ; CompTIA Pentest+, CYSA+. Le maîtriser est un prérequis de fait pour tout rôle SOC, DFIR, red team confirmé.
10.5 Comment commencer si on découvre ATT&CK ?
Trois étapes :
- Lire la homepage attack.mitre.org + 2-3 fiches techniques principales.
- Installer ATT&CK Navigator et explorer la matrix Enterprise.
- Mapper 3-5 incidents historiques internes contre le cadre. Concrétise immédiatement.
10.6 Quelle relation entre TTP et la kill chain Lockheed Martin ?
Complémentaires. Kill chain = phases macro (7 étapes) ; ATT&CK = catalogue détaillé TTP des actions au sein de chaque phase. Un événement de kill chain Exploitation peut correspondre à T1190 (Exploit Public-Facing Application) sous tactic Initial Access en ATT&CK.
Les TTP sont la monnaie de la threat intelligence moderne : plus durables que les IOC, plus actionnables que les concepts abstraits, ils permettent à la fois la détection résiliente, l'attribution prudente et la threat modeling structurée. MITRE ATT&CK en a fait un standard universel ; ATLAS l'étend à l'IA, D3FEND le complète côté défense. Tout SOC, équipe DFIR, red team ou architecte sécurité en 2026 raisonne en TTP, mappe ses détections en TTP, et mesure sa maturité en couverture TTP. Ne pas le faire, c'est rester un cran en arrière de l'état de l'art.
