Qu'est-ce que MITRE ATT&CK ?
ATT&CK, pour Adversarial Tactics, Techniques and Common Knowledge, est une base de connaissances maintenue par l'organisation MITRE. Elle documente, à partir d'observations réelles, la façon dont les attaquants opèrent, étape par étape, une fois qu'ils ont pénétré un environnement.
Le contenu est organisé en matrices (Entreprise, Mobile, systèmes industriels). Les colonnes représentent les tactiques, c'est-à-dire les objectifs des attaquants, et chaque tactique regroupe des techniques et sous-techniques, qui décrivent comment ces objectifs sont atteints.
Pourquoi c'est important pour votre organisation
ATT&CK déplace la défense du « quel outil » vers le « quel comportement ». Un attaquant peut changer de logiciel malveillant, mais les techniques sous-jacentes, comme l'utilisation d'outils système légitimes, sont plus stables et donc plus faciles à détecter durablement.
C'est aussi un référentiel commun qui aligne les équipes de détection, de réponse et de threat intelligence sur un même vocabulaire, et permet de mesurer objectivement où se situent les angles morts de la défense.
Comment utiliser ATT&CK
- Cartographier la détection : associer chaque règle et capteur aux techniques couvertes.
- Prioriser : se concentrer sur les techniques les plus utilisées contre son secteur.
- Simuler : guider les exercices d'équipe rouge et de purple teaming.
- Structurer la CTI : décrire les modes opératoires des acteurs de menace avec un vocabulaire partagé.
Où les organisations pèchent le plus souvent
L'écueil le plus courant est de traiter ATT&CK comme une simple liste à cocher, en cherchant à « couvrir » un maximum de techniques sans tenir compte de leur pertinence pour son environnement. La valeur vient de la priorisation par la menace réelle, pas de l'exhaustivité théorique.