MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est devenu en dix ans le langage commun de la cybersécurité opérationnelle. SOC analysts, threat hunters, pentesters, éditeurs de SIEM/EDR, vendeurs de CTI, régulateurs : tous le référencent. Comprendre ATT&CK, c'est parler la langue du métier. Ce guide explique sa structure, ses usages défensifs et offensifs, les outils associés (Navigator, CAR, D3FEND), ses limites et comment l'utiliser concrètement dans un SOC ou une équipe AppSec.
1. Ce qu'est MITRE ATT&CK
1.1 Définition
MITRE ATT&CK est une base de connaissances publique et gratuite qui décrit les comportements des attaquants observés dans la vraie vie. Elle est maintenue par la MITRE Corporation (organisation à but non lucratif américaine, financée par le gouvernement fédéral) depuis 2013, publiée en 2015, et mise à jour en continu à partir de la télémétrie de centaines de contributeurs (vendors, CERTs, chercheurs).
Son utilité unique : unifier le vocabulaire pour décrire une attaque, peu importe sa sophistication, son origine ou son contexte. Avant ATT&CK, chaque vendor avait sa propre taxonomie, rendant toute comparaison stérile.
1.2 Ce qu'ATT&CK n'est pas
- Pas un produit : c'est un framework ouvert, consultable sur attack.mitre.org.
- Pas un scanner : ATT&CK ne détecte rien par lui-même.
- Pas un certificat : il n'existe pas d'audit "compliant ATT&CK".
- Pas exhaustif : tous les comportements adversaires ne sont pas couverts. Seuls ceux observés dans la nature, documentés avec preuves.
1.3 ATT&CK vs Kill Chain
La Cyber Kill Chain de Lockheed Martin (2011) a été le premier modèle structuré des phases d'attaque : Reconnaissance → Weaponization → Delivery → Exploitation → Installation → C2 → Actions on Objectives. Modèle linéaire et de haut niveau.
ATT&CK va beaucoup plus loin :
- Plus de phases : 14 tactiques Enterprise contre 7 phases Kill Chain.
- Plus de granularité : chaque tactique contient 10 à 40 techniques, avec sous-techniques.
- Orienté post-compromission : ATT&CK approfondit surtout ce qui se passe après l'Initial Access, là où Kill Chain s'arrête.
- Non linéaire : une attaque réelle saute, revient, utilise plusieurs techniques d'une même tactique.
En 2026, Kill Chain reste utile pour la communication haut niveau (board, RSSI), ATT&CK pour le détail opérationnel.
2. La structure d'ATT&CK
2.1 Les trois niveaux hiérarchiques
ATT&CK organise les comportements adverses en trois niveaux imbriqués :
- Tactiques (14 en Enterprise) : le pourquoi, l'objectif de l'attaquant à cette étape.
- Techniques (plus de 200) : le comment, la méthode employée pour atteindre la tactique.
- Sous-techniques (plus de 400) : le comment précis, la déclinaison spécifique.
Exemple :
- Tactique : Credential Access (voler des identifiants).
- Technique : T1003 OS Credential Dumping.
- Sous-techniques : T1003.001 LSASS Memory, T1003.002 Security Account Manager, T1003.003 NTDS, T1003.004 LSA Secrets, T1003.005 Cached Domain Credentials, T1003.006 DCSync, T1003.007 Proc Filesystem, T1003.008 /etc/passwd and /etc/shadow.
2.2 Procédures
Une procédure est l'implémentation concrète d'une technique par un acteur ou un outil. Exemple : "APT28 utilise Mimikatz en mode sekurlsa::logonpasswords pour réaliser T1003.001 LSASS Memory".
La notation TTP (Tactics, Techniques, and Procedures) regroupe l'ensemble, c'est le vocabulaire CTI de référence.
2.3 Les 14 tactiques Enterprise
Dans l'ordre approximatif d'une attaque typique (non linéaire en réalité) :
| Tactique | Objectif attaquant |
|---|---|
| Reconnaissance (TA0043) | Collecter des infos sur la cible avant attaque |
| Resource Development (TA0042) | Préparer l'infrastructure (domaines, serveurs, outils) |
| Initial Access (TA0001) | Obtenir un premier pied dans le système |
| Execution (TA0002) | Exécuter du code malveillant sur la cible |
| Persistence (TA0003) | Maintenir l'accès à travers les redémarrages |
| Privilege Escalation (TA0004) | Obtenir des privilèges plus élevés |
| Defense Evasion (TA0005) | Éviter détection par les outils défensifs |
| Credential Access (TA0006) | Voler des identifiants |
| Discovery (TA0007) | Explorer l'environnement compromis |
| Lateral Movement (TA0008) | Se déplacer vers d'autres systèmes |
| Collection (TA0009) | Rassembler les données d'intérêt |
| Command and Control (TA0011) | Communiquer avec l'infrastructure attaquant |
| Exfiltration (TA0010) | Sortir les données de l'environnement |
| Impact (TA0040) | Perturber, altérer, détruire (ex. ransomware, sabotage) |
2.4 Autres éléments du modèle
Chaque technique dans ATT&CK inclut :
- Description narrative du comportement.
- Procedure examples : qui l'a utilisée (acteurs et malware documentés).
- Mitigations : contrôles qui réduisent l'efficacité.
- Detection : quelles sources de données, quels patterns permettent de détecter.
- Data Sources et Data Components : mapping vers les télémétries disponibles (Process Creation, Command Execution, Network Traffic, etc.).
- Platforms : systèmes concernés (Windows, Linux, macOS, AWS, Azure, GCP, Office 365, etc.).
2.5 Groups et Software
Au-delà des techniques, ATT&CK catalogue :
- Groups : acteurs connus (APT28 = Fancy Bear = Sofacy = Sednit, APT29, Lazarus, FIN7, Conti, Wizard Spider, etc.). Pour chaque groupe : TTPs documentées, campagnes connues, attribution.
- Software : outils utilisés (Cobalt Strike, Mimikatz, Mythic, Empire, Metasploit, et des malwares spécifiques comme Emotet, TrickBot, Ryuk).
Cette base permet de passer d'un comportement observé à une hypothèse d'attribution : "le lateral movement via WMI + credential dumping via LSASS matche la signature d'APT28 et de Conti - lequel est le plus probable ici ?"
3. Les matrices ATT&CK
MITRE publie plusieurs matrices adaptées à différents contextes techniques.
3.1 Enterprise
La plus utilisée. Couvre :
- Windows, macOS, Linux.
- Azure AD, Office 365.
- AWS, Azure, GCP.
- SaaS, IaaS, PaaS.
- Network Devices (routeurs, switchs, firewalls).
- Containers (depuis 2021).
Environ 210 techniques et 410 sous-techniques en 2026 pour Enterprise.
3.2 Mobile
Tactiques et techniques spécifiques iOS et Android.
3.3 ICS (Industrial Control Systems)
Matrice pour systèmes industriels (SCADA, PLC, RTU). Indispensable dans les secteurs OT (énergie, transport, utilities). Développée avec retour d'expérience des attaques comme Stuxnet, BlackEnergy, CrashOverride, Triton.
3.4 Cloud
Focus cloud public (AWS, Azure, GCP, Office 365, Azure AD, Google Workspace). Moins de tactiques techniques bas niveau, plus de techniques identité, API, configuration.
3.5 Containers et Kubernetes
Techniques spécifiques aux conteneurs et à K8s : escape container, abuse du kubelet API, compromise registry, etc.
4. Usages défensifs - le SOC et la blue team
4.1 Mapping des détections
La première utilisation d'ATT&CK dans un SOC : mapper chaque règle de détection à une ou plusieurs techniques. Concrètement :
- Règle "PowerShell avec encoded command" → T1059.001 PowerShell.
- Règle "Création de nouveau user admin" → T1136.001 Create Account: Local Account + T1078 Valid Accounts.
- Règle "Scheduled Task via schtasks.exe" → T1053.005 Scheduled Task.
- Règle "Connexion RDP depuis IP interne inhabituelle" → T1021.001 Remote Desktop Protocol.
Bénéfice : on visualise la couverture de son arsenal de détection sur la matrice ATT&CK, et on identifie les zones sous-couvertes.
4.2 Gap analysis
Exporter la liste de toutes les règles actives mappées à ATT&CK, la projeter sur la matrice Enterprise complète, et identifier les tactiques/techniques non couvertes. Exemple typique de résultat :
- Bonne couverture : Initial Access (email detection), Execution (PowerShell, wscript).
- Couverture moyenne : Credential Access, Persistence.
- Faible couverture : Discovery, Defense Evasion (beaucoup de sous-techniques), Lateral Movement.
- Quasi-nulle : Reconnaissance externe, Resource Development.
Priorisation des chantiers detection engineering : commencer par les zones critiques (Credential Access, Lateral Movement) non couvertes.
4.3 Threat hunting
Le threat hunting hypothesis-driven utilise ATT&CK comme catalogue de comportements à chasser. Exemple de hunt :
- Hypothèse : un attaquant a persisté sur une workstation via scheduled task.
- Technique ATT&CK : T1053.005.
- Data sources nécessaires : Process Creation, Scheduled Task Execution logs (Security EventID 4698/4702), Sysmon EventID 1.
- Requête : rechercher les créations de scheduled tasks en dehors des horaires et utilisateurs attendus, commandes suspectes (encoded PowerShell, cmd avec /c).
4.4 Priorisation des investissements
ATT&CK permet de construire une matrice de priorisation basée sur :
- Fréquence d'observation de la technique dans les threat reports publics.
- Difficulté de détection (certaines techniques sont natives au système).
- Impact si non détectée.
Croiser ces trois dimensions donne une priorité objective.
4.5 Adversary emulation et purple team
Les équipes purple team utilisent ATT&CK pour orchestrer des exercices simulant des acteurs réels. Outils :
- Caldera (MITRE) : framework open source d'émulation automatisée.
- Atomic Red Team (Red Canary) : bibliothèque de tests unitaires par technique.
- Red Team Toolkit commerciaux : Cobalt Strike, Brute Ratel (côté offensive).
Workflow typique :
- Choisir un acteur à émuler (ex. APT29).
- Identifier ses TTPs documentées dans ATT&CK.
- Exécuter les techniques une par une dans un environnement contrôlé.
- Observer ce que la blue team détecte, ce qui passe inaperçu.
- Ajuster les détections manquantes.
4.6 Reporting au management
ATT&CK fournit un langage visuel compréhensible par un board. Les rapports annuels de SOC mûrs incluent :
- Pourcentage de coverage ATT&CK Enterprise.
- Nouvelles techniques détectées ce trimestre.
- Techniques associées aux incidents réels de l'année.
- Gap plan prioritaire pour l'année suivante.
5. Usages offensifs - red team et pentest
5.1 Planification de red team
Un red teamer utilise ATT&CK pour structurer sa mission :
- Mapper les objectifs du mandat (exfiltrer une base X, atteindre un domaine admin) aux tactiques nécessaires.
- Choisir des techniques pertinentes pour le contexte de la cible (Windows AD, cloud AWS, OT).
- Documenter les techniques utilisées pour le rapport post-engagement.
5.2 Adversary emulation plans
MITRE publie des emulation plans pour plusieurs acteurs célèbres : APT29, FIN6, FIN7, Sandworm, OilRig. Ces documents décrivent étape par étape comment émuler l'acteur dans un environnement de test.
5.3 Mapping des rapports post-engagement
Un rapport de pentest ou red team sérieux référence chaque étape par son ID ATT&CK. Le client peut ensuite vérifier, technique par technique, si son SOC a détecté ou manqué.
6. Outils ATT&CK essentiels
6.1 ATT&CK Navigator
Outil web gratuit de MITRE qui permet de :
- Visualiser la matrice complète ou filtrée par plateforme.
- Colorer des techniques (coverage, priorité, observées).
- Superposer plusieurs layers (ex. TTPs observées incident récent + TTPs APT29 emulation plan).
- Exporter en SVG, JSON, Excel.
Lien : attack.mitre.org/navigator ou auto-hébergé (dépôt MITRE GitHub).
6.2 CAR (Cyber Analytics Repository)
Base de données d'analyses de détection open source, mappées à ATT&CK. Chaque CAR contient une hypothèse, une implémentation (Splunk SPL, EQL, KQL, Sigma), et une description de détection. Point de départ précieux pour amorcer un catalogue de détections interne.
6.3 D3FEND
Publié par MITRE fin 2021, framework complémentaire qui catalogue les contre-mesures défensives. Pendant qu'ATT&CK décrit ce que font les attaquants, D3FEND décrit ce que font les défenseurs, mappé aux techniques correspondantes.
6.4 ATT&CK Evaluations (MITRE Engenuity)
Série d'évaluations publiques où MITRE émule un acteur connu (APT29, Turla, FIN7, Wizard Spider, Carbanak) contre des produits EDR/XDR/SIEM commerciaux. Les résultats sont publiés avec détail technique. Référence incontournable pour évaluer objectivement les capacités d'un EDR.
6.5 Sigma et les règles par technique
Sigma est un format YAML open source pour écrire des règles de détection portables (convertibles vers Splunk, Elastic, Sentinel, Chronicle, etc.). Chaque règle Sigma peut référencer ses techniques ATT&CK associées.
Exemple :
title: Suspicious Schtasks Creation With Encoded Powershell
id: 00000000-0000-0000-0000-000000000000
status: experimental
description: Detects the creation of a scheduled task running encoded PowerShell
references:
- https://attack.mitre.org/techniques/T1053/005/
tags:
- attack.persistence
- attack.execution
- attack.t1053.005
- attack.t1059.001
logsource:
product: windows
category: process_creation
detection:
selection:
Image|endswith: '\schtasks.exe'
CommandLine|contains|all:
- '/create'
- 'powershell'
- '-encodedcommand'
condition: selection
falsepositives:
- Administrative scripts scheduled with encoded payload for legitimate reasons
level: high6.6 Intégration EDR/SIEM/SOAR
Tous les EDR/SIEM modernes affichent des tags ATT&CK sur leurs détections natives. Exemple :
- CrowdStrike Falcon : détections taguées avec tactique + technique.
- Microsoft Defender XDR : mapping ATT&CK dans le portail.
- Splunk Enterprise Security : cases analytiques taguées ATT&CK.
- Sentinel : règles analytiques avec tactics/techniques dans les analytics rules.
7. Adopter ATT&CK dans son SOC - plan pratique
7.1 Étape 1 - alphabétisation équipe (semaines 1-2)
- Tous les analystes parcourent la matrice Enterprise.
- Formation courte (demi-journée) sur tactiques/techniques/sous-techniques.
- Lecture d'un threat report public mappé à ATT&CK (ex. rapport APT29 SolarWinds).
7.2 Étape 2 - mapping inventaire existant (mois 1-2)
- Chaque règle active dans le SIEM est reviewée et taguée avec son ou ses IDs ATT&CK.
- Les analystes ajoutent les tags au format standard dans le SIEM (custom field, labels).
- Export de la liste dans ATT&CK Navigator pour visualisation.
7.3 Étape 3 - gap analysis et priorisation (mois 3)
- Identification des zones non couvertes.
- Priorisation basée sur threat model de l'organisation (secteur, acteurs probables).
- Construction du backlog detection engineering pour les 6 mois suivants.
7.4 Étape 4 - playbooks reliés aux techniques (mois 4-6)
- Chaque technique critique associée à un playbook d'investigation.
- Playbooks standardisés : questions à se poser, requêtes à lancer, preuves à collecter, décisions de réponse.
- Versionnés en Git si l'équipe est mature.
7.5 Étape 5 - purple team et itération (mois 6+)
- Exercices purple team trimestriels sur scénarios ATT&CK.
- Mesure avant/après : techniques détectées, techniques manquées.
- Ajustement continu du catalogue.
8. Mesurer sa maturité ATT&CK
Des frameworks de mesure sont apparus :
- MITRE ATT&CK Maturity Model : évaluation qualitative par dimension (detection, hunting, adversary emulation).
- DeTT&CT (Marcus Bakker, Ruben Bouman) : outil open source pour mesurer la couverture en combinant data sources + visibilité + capacité détection.
- SOC-CMM : modèle d'évaluation SOC qui intègre l'usage d'ATT&CK comme un critère de maturité.
Indicateurs pertinents :
- Couverture ATT&CK en % de techniques détectées (avec granularité par sous-technique).
- Nombre de data sources disponibles vs nécessaires.
- Délai entre publication d'une nouvelle technique par MITRE et implémentation d'une détection associée.
- Pourcentage d'incidents analysés avec mapping ATT&CK documenté.
9. Limites et critiques d'ATT&CK
9.1 ATT&CK décrit le passé, pas l'avenir
La matrice intègre les techniques observées et documentées. Nouvelles techniques d'attaque, zero-days, innovations non encore détectées dans la nature : absentes. Compléter avec de la CTI proactive et du red team interne créatif.
9.2 Granularité inégale
Certaines techniques sont très spécifiques (T1003.001 LSASS Memory), d'autres extrêmement larges (T1027 Obfuscated Files or Information). Couvrir une technique large avec une seule règle est souvent illusoire.
9.3 Bias d'attribution
Les TTPs attribuées à des acteurs proviennent majoritairement de vendors US (Mandiant, CrowdStrike, Microsoft). Biais géopolitique et commercial dans les descriptions de Groups. Croiser toujours avec d'autres sources.
9.4 Pas de priorisation native
ATT&CK ne dit pas "concentre-toi sur ces 10 techniques en priorité". Chaque organisation doit construire sa priorisation basée sur son threat model propre. Ne pas confondre ATT&CK avec une stratégie prête à l'emploi.
9.5 Update cadence
La matrice évolue en continu. Entre une version et la suivante, des techniques peuvent être ajoutées, renommées, restructurées. Les équipes doivent maintenir le mapping à jour, ce qui représente un effort récurrent.
9.6 Superposition avec d'autres frameworks
Coexistence avec Kill Chain (Lockheed), Diamond Model (Intrusion Analysis), Unified Kill Chain (Paul Pols), Pyramid of Pain (David Bianco). Aucun ne remplace l'autre, chacun a son angle.
10. Pièges classiques d'usage
10.1 Mapping superficiel
Tagger une règle avec un ID ATT&CK sans comprendre ce qu'elle détecte précisément ne sert à rien. Le mapping doit refléter le comportement réellement détecté, pas le sujet général.
10.2 Fétichisme de la matrice
Ceux qui ne jurent que par ATT&CK au point d'ignorer le contexte métier, la CTI externe, ou les threat models internes perdent de vue l'essentiel : détecter les attaques qui vous visent vous, pas toutes les attaques possibles.
10.3 Croire qu'un vendor "fait tout ATT&CK"
Aucun produit ne couvre 100 % des techniques. Les évaluations MITRE Engenuity montrent que même les leaders EDR manquent régulièrement 20 à 40 % des techniques d'un plan d'émulation.
10.4 Ignorer les mitigations
ATT&CK propose pour chaque technique des mitigations (M1026 Privileged Account Management, M1042 Disable or Remove Feature or Program, etc.). Beaucoup d'équipes se focalisent sur la détection et oublient ces contrôles préventifs qui suppriment le besoin de détecter.
11. Où aller ensuite
- Documentation officielle : attack.mitre.org.
- Blog MITRE ATT&CK : cti-blog.mitre.org (annonces, analyses).
- MITRE Engenuity ATT&CK Evaluations : attackevals.mitre-engenuity.org.
- Sigma rules repository : github.com/SigmaHQ/sigma.
- Atomic Red Team : github.com/redcanaryco/atomic-red-team.
- Caldera : github.com/mitre/caldera.
- D3FEND : d3fend.mitre.org.
- SOC Prime : plateforme communautaire de détections, nombreuses règles Sigma mappées ATT&CK.
- Unit 42 (Palo Alto), Mandiant, CrowdStrike threat reports : rapports d'acteurs récents, systématiquement mappés ATT&CK.
12. Verdict et posture Zeroday
MITRE ATT&CK est devenu indispensable en cybersécurité opérationnelle, mais il ne remplace ni la stratégie, ni l'expertise, ni la connaissance du contexte métier. C'est un dictionnaire partagé et un cadre de visualisation, pas une roadmap.
Pour un analyste SOC qui démarre : apprendre les 14 tactiques, parcourir les techniques les plus fréquentes (Initial Access, Execution, Credential Access, Lateral Movement), utiliser le Navigator sur ses cas réels. Cela change la manière de voir les incidents.
Pour une équipe mature : utiliser ATT&CK pour la gouvernance (coverage, gap analysis, reporting management), mais ne jamais le transformer en idole. Les meilleurs détections sont parfois trop spécifiques pour être bien mappées, et c'est ok.
Pour approfondir les rôles blue team : voir niveaux SOC L1/L2/L3 pour la progression métier, qu'est-ce qu'un analyste CTI pour l'angle threat intel, et red team vs blue team pour la dynamique offensive/défensive qui nourrit ATT&CK en continu.
