MITRE ATT&CK

MITRE ATT&CK est une base de connaissances qui décrit les comportements observés chez les attaquants. Elle aide à nommer les techniques, structurer l'analyse et relier attaque, détection et défense.

À quoi ça sert

MITRE ATT&CK permet de répondre à des questions concrètes :

• quelle tactique l'attaquant poursuit
• quelle technique a été observée
• quelles données peuvent la détecter
• quelles mesures réduisent le risque
• quels trous existent dans la couverture de détection

Ce n'est pas une checklist magique. C'est un langage commun pour analyser les comportements.

Tactiques et techniques

Une tactique décrit l'objectif. Une technique décrit la méthode.

Tactique : Persistance
Technique : Tâche planifiée

Exemples de tactiques :

• accès initial
• exécution
• persistance
• élévation de privilèges
• évasion défensive
• découverte
• mouvement latéral
• exfiltration

Cas d'usage défense

MITRE peut servir à :

• organiser des règles de détection
• cartographier les journaux disponibles
• préparer des exercices
• enrichir une analyse d'incident
• expliquer une attaque à des équipes non techniques
• prioriser les contrôles de sécurité

Exemple de raisonnement

Si une tâche planifiée suspecte apparaît sur un poste :

Le framework aide à structurer, mais il faut toujours revenir aux faits techniques.

Attention aux erreurs

• chercher à tout mapper sans comprendre
• confondre outil et comportement
• croire qu'une technique suffit à attribuer un attaquant
• oublier le contexte métier
• produire une matrice sans action derrière

Bonnes pratiques

• partir des incidents réels
• relier chaque technique à des logs
• identifier les angles morts
• prioriser les techniques plausibles
• documenter les hypothèses
• mettre à jour les détections après incident