Comprendre et exploiter MITRE ATT&CK pour défendre son SI
Quand on parle de menaces, tout le monde n'utilise pas le même vocabulaire — et c'est un problème. MITRE ATT&CK est devenu le langage commun pour décrire comment les attaquants opèrent, étape par étape. Le comprendre, c'est pouvoir aligner détection, défense et veille sur une même grille.
L'essentieldécideur ATT&CK est une base de connaissances, maintenue par le MITRE, qui catalogue les comportements réels des attaquants. Elle s'organise en tactiques (le « pourquoi » : leur objectif) et techniques (le « comment » : leur méthode). Son intérêt concret : savoir quelles attaques vous détectez — et surtout lesquelles vous ne voyez pas encore.
La matrice ATT&CK : tactiques (colonnes) × techniques (cellules)
Chaque colonne = un objectif d'attaquant (tactique). Chaque cellule = une méthode connue (technique). La matrice complète compte 14 tactiques.
Du signal brut à la défense : mapper une observation sur ATT&CK
Tactiques, techniques, procédures technique
ATT&CK structure la connaissance en trois niveaux, les TTP :
Tactique — l'objectif de l'attaquant à un instant donné (ex. Accès initial, Exécution, Persistance, Exfiltration). 14 tactiques au total dans la matrice Enterprise.
Technique — la méthode employée pour atteindre cet objectif (ex. T1059 : interpréteurs de commandes et de scripts), souvent affinée en sous-techniques (ex. T1059.001 : PowerShell).
Procédure — la mise en œuvre concrète et observée d'une technique par un acteur donné.
La matrice dispose les tactiques en colonnes (dans l'ordre logique d'une intrusion) et les techniques en cellules. C'est une carte des comportements adverses, pas une liste de vulnérabilités.
L'usage défensif (le vrai intérêt)
Cartographier sa couverture. Pour chaque technique pertinente, posez-vous : est-ce que je la détecte ? est-ce que je la bloque ? Coloriez la matrice : vous obtenez une analyse de lacunes visuelle de votre défense.
Défense informée par la menace. Plutôt que de tout couvrir (impossible), priorisez les techniques réellement utilisées par les acteurs qui ciblent votre secteur.
Langage commun. ATT&CK relie veille, SOC, réponse à incident et red team autour des mêmes identifiants T#### — fini les descriptions floues.
ATT&CK décrit des comportements, là où les CVE décrivent des failles. Les deux sont complémentaires : une CVE est souvent le moyen d'exécuter une technique (ex. un accès initial). Sur FactualRisk, les techniques ATT&CK associées sont affichées sur les fiches CVE concernées.
En pratique chez vous
Commencez petit : prenez les 10-15 techniques les plus courantes (accès initial, exécution, persistance) et évaluez votre détection.
Utilisez l'ATT&CK Navigator (gratuit) pour colorier votre couverture et visualiser vos angles morts.
Reliez à votre veille : quand une CVE de votre parc est associée à une technique d'accès initial, c'est un signal fort de priorité.
Faites-en un langage d'équipe : décrivez incidents et menaces en T####, pas en prose vague.