
Pourquoi vous devriez vous familiariser avec le framework MITRE ATT&CK
De nombreux experts en technologie et professionnels de l’informatique connaissent MITRE ATT&CK, mais ils ne savent pas quoi en faire. Si vous utilisez des outils tels que CIS CDM et NIST CSF 2.0, pourquoi auriez-vous besoin de connaître les détails fournis dans MITRE ATT&CK ? S’il est vrai que vous pouvez vous en sortir sans creuser, comprendre comment utiliser MITRE ATT&CK peut vous aider à développer des défenses plus solides et plus agiles pour votre entreprise.
Que sont MITRE et MITRE ATT&CK ?
Commençons par l’organisation. The MITRE Corporation (plus connue sous le nom de MITRE), a été lancée en 1958 lorsqu’elle a quitté le MIT Lincoln Laboratory pour devenir une entité indépendante. Contrairement à une croyance populaire, MITRE ne signifie pas Massachusetts Institute of Technology Research and Engineering (Institut de recherche et d’ingénierie du Massachusetts) ni quoi que ce soit d’autre.
Selon Murphy, les fondateurs ont déclaré que ce nom était l’orthographe française du mot anglais « miter », qui désigne la jonction lisse de deux pièces de menuiserie. Beaucoup de gens ont spéculé qu’il s’agissait de « MIT Research and Engineering », mais cela aurait été contraire au désir clair de Stratton de dissocier le MIT du travail sur SAGE. ~Simson Garfinkel, premier divorce du MIT, MIT Technology Review
Il existe encore certaines spéculations concernant l’acronyme MITRE. Un ancien employé se souvient avoir vu des armoires portant l’inscription « MIT/RE », ce qui pourrait faire référence au MIT Research Establishment. La direction de MITRE a toujours nié que le nom soit un acronyme. Consultez l’article de la MIT Technology Review pour découvrir le mystère qui entoure le nom et l’utilisation de majuscules.
Aujourd’hui, MITRE est une organisation à but non lucratif qui gère des centres de recherche et développement financés par le gouvernement fédéral (FFRDC) dans plusieurs domaines prioritaires. Nous faisons ici référence à la cybersécurité.
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissances accessible dans le monde entier sur les modes opératoires malveillants. En d’autres termes, il s’agit d’une encyclopédie qui décrit les méthodes utilisées par les acteurs malveillants dans le monde réel.
MITRE ATT&CK est régulièrement actualisé, avec des mises à jour majeures publiées tous les six mois, généralement au printemps et à l’automne. Des mises à jour mineures sont effectuées si nécessaire, mais il s’agit généralement d’ajustements mineurs des données ou de corrections d’erreurs/de fautes de frappe. Le contenu d’ATT&CK en lui-même n’est pas modifié. Les versions et les mises à jour de MITRE ATT&CK utilisent un numéro de version « majeur.minor » . À chaque mise à jour semestrielle, le numéro de version majeure augmente de 1.0. À chaque mise à jour mineure, le numéro de version augmente de 0.1. Par exemple, la version la plus récente d’ATT&CK est la 17.1. En effet, des mises à jour mineures ont été appliquées après la sortie de la version 17.
Chaque version majeure d’ATT&CK possède sa propre page web permanente. La version la plus récente se trouve toujours à https://attack.mitre.org/.
Tactiques, techniques et procédures (TTP)
Nous arrivons maintenant à la partie la plus intéressante. La plupart des profils de cyberattaques incluront des références aux TTP. Si vous ne savez pas exactement de quoi il s’agit, voici une explication simple :
Tactique : le « pourquoi » derrière une attaque, ou la motivation d’un acteur malveillant. La tactique de reconnaissance en est un exemple. Cette tactique peut être décrite succinctement comme suit : « L’adversaire tente de recueillir des informations qu’il pourra utiliser pour planifier ses opérations futures. » Voici à quoi cela ressemble dans la liste des tactiques :
L’identifiant à gauche, TA0043, nous indique qu’il s’agit d’une Attribution Tactique (TA) et qu’il s’agit de la 43e entrée dans la liste des TA. Les numéros d’identification sont attribués dans l’ordre chronologique d’ajout de la tactique. TA0043, par exemple, a été attribué après TA0042. Chaque tactique dispose de sa propre page dédiée avec les techniques associées. (Voici la reconnaissance)
Techniques : il s’agit de décrire « comment » les pirates procèdent. Si vous vous intéressez à la tactique d’accès initial, vous découvrirez des techniques telles que l’hameçonnage, la compromission de la chaîne d’approvisionnement et les « services distants externes », qui couvrent notamment les exploits VPN et RDP. Vous pouvez consulter les techniques associées à l’accès initial ici.
Chaque technique possède un identifiant, similaire aux identifiants d’attribution de tactique. La technique des services à distance externes est attribuée à l’ID T1133. Il s’agit d’une Technique (T) qui a été la 1133e technique ajoutée au système ATT&CK
Procédures : il s’agit d’exemples concrets de la façon dont différents groupes de menaces exécutent les techniques ATT&CK. Si vous suivez le lien vers la T1133 (external remote services), vous trouverez la page des procédures relatives à cette technique. Vous trouverez ici des listes de campagnes d’attaques, de groupes malveillants et de logiciels malveillants, ainsi que la manière dont ils ont été utilisés dans des attaques réelles. Vous trouverez également des informations sur la détection et l’atténuation.
Pourquoi devriez-vous vous en soucier ?
Les normes et les cadres peuvent vous aider à évaluer votre position en matière de cybersécurité. Ils sont essentiels pour élaborer une stratégie globale et identifier les failles de sécurité. Ils répondent aux questions concernant les actions à entreprendre et le moment opportun pour les réaliser. MITRE ATT&CK est un autre outil que vous pouvez utiliser pour renforcer votre sécurité. Il vous fournit des informations détaillées sur le mode opératoire des acteurs malveillants. C’est une analyse approfondie de leur comportement.
Ces informations peuvent vous aider à rechercher des comportements anormaux et à déterminer s’il existe un lien avec un groupe ou une campagne malveillants connus. Il peut être utilisé pour affiner vos règles de détection ou tester vos défenses contre les TTP associés à la reconnaissance ou à l’accès initial.
En résumé, considérez les normes NIST CSF et CIS comme la référence en matière de sécurité. Considérez les TTP et ATT&CK comme la manière dont les acteurs malveillants procèdent réellement. Vous avez besoin des deux objectifs pour mettre en place des défenses résilientes et adaptatives dans le paysage actuel des menaces.
Plus :
Remarque : cet article apparaît à l'origine dans la communauté Reddit de Barracuda.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter