arrow_back
search
close

Qu'est-ce que le Framework MITRE ATT&CK ?

Jon Clay 

- Dernière mise à jour Jun 03, 2026

tball

MITRE ATT&CK signifie tactiques, techniques et connaissances communes contradictoires. Il s'agit d'une base de connaissances publique sur les tactiques et techniques contradictoires, qui peut être utilisée comme base pour le développement de modèles et méthodologies spécifiques aux cybermenaces.

Table des matières

keyboard_arrow_down

MITRE ATT&CK Framework

Cette base de connaissances a été développée sur la base des trois concepts suivants : 

  • Il maintient le point de vue de l'adversaire 

  • Il suit l’utilisation réelle de l’activité grâce à des exemples d’utilisation empirique 

  • Le niveau d’abstraction est approprié pour faire le lien entre une action offensive et une éventuelle défense 

MITRE ATT&CK aide le secteur à définir et à normaliser la manière de décrire l'approche d'un assaillant. Il collecte et catégorise les tactiques, techniques et procédures d'attaque (TTP) courantes, puis organise ces informations dans un cadre. 

Le 3e concept, qui nécessite un niveau d’abstraction approprié pour faire le lien entre la méthode d’attaque et les contre-mesures de défense qui peuvent être mises en œuvre, est particulièrement important lorsque vous comprenez la structure d’ATT&CK. Les informations sont organisées comme des informations avec un haut degré d’abstraction, et non des informations individuelles/spécifiques telles que les adresses IP, les URL et les informations de signature des malwares. 

La base du concept de facteurs est d'analyser les attaques en fonction de leurs TTP (tactiques, techniques et procédures). Principalement, les connaissances sur les techniques sont acquises et organisées. 

  • Tactique : Objectif à court terme d'un attaquant 

  • Technique : Les moyens pour un attaquant d'atteindre un objectif 

  • Procédure : Une méthode spécifique pour qu'un attaquant utilise des techniques 

Ce cadre peut être utilisé pour expliquer comment les adversaires se comportent, ce qu'ils essaient de faire et comment ils essaient de le faire. 

Avoir un langage et un cadre communs est important pour pouvoir communiquer, comprendre et répondre aux menaces aussi efficacement que possible. 

MITRE ATT&CK est devenu une base de connaissances essentielle pour les cyberdéfendeurs, améliorant ainsi l'efficacité de la sécurité et les temps de réponse. L'évaluation annuelle MITRE compare l'innovation à l'échelle du secteur pour fournir les solutions nécessaires pour détecter et répondre à l'évolution du paysage des menaces. 

La ressource originale est disponibleici

Ce type de framework est extrêmement utile pour les professionnels de la sécurité de l'information qui les tiennent informés des nouvelles techniques d'attaque et évitent que des attaques ne se produisent en premier lieu. 

Les organisations utilisent ATT&CK pour normaliser leurs échanges dans la communauté, les tests de défense et les évaluations de produits/services.

Évaluations MITRE ATT&CK

L'évaluation MITRE ATT&CK offre de la transparence aux clients et des scénarios d'attaque réels. Cela permet aux clients d'évaluer activement les produits de sécurité pour se protéger des dernières avancées des attaquants en fonction de leurs objectifs principaux. L'évaluation fait appel à une attaque simulée pour s'assurer que les clients peuvent répondre aux menaces actuelles. Utiliser des techniques, outils, méthodes et objectifs inspirés de ceux d'un attaquant.  

Les simulations sont exécutées dans un environnement de laboratoire contrôlé pour garantir des tests justes et précis. Les techniques d'attaque sont ensuite utilisées de manière logique, étape par étape, pour explorer l'étendue de la couverture ATT&CK.  

Les évaluations ne sont pas une analyse concurrentielle. Il n’existe pas de scores, de classements ou de notations. Ils montrent plutôt comment chaque fournisseur aborde la détection des menaces dans le contexte de la base de connaissances ATT&CK 

L'évaluation offre aux acheteurs et aux clients de solutions de cybersécurité une option impartiale pour évaluer les produits de sécurité afin de s'armer des dernières avancées des attaquants en fonction de leurs domaines de plus grand besoin. 

Par exemple, en 2022, l’évaluation a émulé des flux opérationnels de Wizard Spider et de Sandworm pour simuler des attaques similaires au comportement sur le terrain de ces groupuscules. Après l'exécution de la simulation, les résultats ont été traités et rendus publics, y compris la méthodologie.

Matrices MITRE ATT&CK

Le cadre MITRE ATT&CK est structuré en plusieurs matrices, chacune adaptée à des environnements spécifiques où les cybermenaces opèrent. Ces matrices catégorisent les tactiques, techniques et procédures (TTP) utilisées par les attaquants, aidant ainsi les équipes de sécurité à améliorer leurs stratégies de défense.

Matrice d'entreprise

La matrice la plus complète, couvrant les menaces dans les environnements Windows, macOS, Linux et cloud. Il comprend des techniques telles que l’escalade des privilèges, le mouvement latéral et l’exfiltration de données.

Matrice mobile

Axé sur les menaces ciblant les appareils iOS et Android. Cette matrice détaille les techniques d'attaque telles que le vol d'identifiants, le piratage de réseau et la persistance des malware mobiles.

Matrice ICS (Industrial Control Systems)

Traite les cybermenaces spécifiques aux environnements industriels, tels que les systèmes SCADA. Elle met en évidence les techniques utilisées pour perturber l'infrastructure critique, notamment l'exécution de commandes non autorisées et la manipulation de firmware.

Tactiques MITRE ATT&CK

ATT&CK présente une série de techniques représentant des actions pour qu'un attaquant atteigne un objectif. Les objectifs sont classés en tant que tactiques. 

La tactique représente le « pourquoi » de la technique. C'est la raison pour laquelle un attaquant exécute une action. Une technique est le « moyen » pour qu'un attaquant atteigne un objectif en exécutant une action. Il représente également ce que l'attaquant acquiert. 

Lorsque l'on considère le domaine d'Enterprise comme une analogie, la tactique est la suivante : 

  • Accès initial : Méthodes utilisées par les attaquants pour infiltrer un réseau, telles que le phishing, la compromission de la chaîne d’approvisionnement et l’exploitation d’applications orientées vers le public. 

  • Exécution : Techniques qui exécutent du code malveillant sur un système, y compris l’exécution de ligne de commande, la création de scripts et l’exploitation pour l’exécution client. 

  • Persistance : Méthodes utilisées par les attaquants pour maintenir l'accès après la compromission initiale, comme la création de nouveaux comptes utilisateur, les modifications de registre et les tâches planifiées. 

  • Escalade de privilèges : Les adversaires obtiennent des autorisations de niveau supérieur, telles que l'exploitation des vulnérabilités, le dumping des informations d'identification et la manipulation des jetons d'accès. 

  • Contournement des défenses : Techniques pour contourner les mesures de sécurité, notamment la désactivation des outils de sécurité, l’obscurcissement des fichiers et l’injection de processus. 

  • Accès aux informations d'identification : Méthodes pour voler des informations d'identification, telles que l'enregistrement de clés, les attaques par force brute et le dumping d'informations d'identification. 

  • Découverte : Tactiques utilisées pour recueillir des informations sur un système ou un réseau, comme l’analyse du réseau et l’énumération des comptes. 

  • Mouvement latéral : Techniques pour se déplacer entre les systèmes, comme le protocole de bureau à distance (RDP) et les attaques de passage au hachage. 

  • Collecte : Méthodes de collecte de données sensibles, y compris la capture d'écran, l'enregistrement de clé et les données provenant de bases de données locales. 

  • Exfiltration : Moyens de transférer des données volées hors d’un réseau, comme l’exfiltration chiffrée et l’abus de stockage dans le cloud. 

  • Impact : Techniques visant à perturber les opérations, y compris le déploiement de ransomware, la destruction de données et les attaques par déni de service.

Techniques MITRE ATT&CK

Le cadre MITRE ATT&CK catégorise les techniques antagonistes utilisées dans les cyberattaques. Les techniques clés comprennent : 

  • Accès initial : méthodes telles que le phishing et l’exploitation d’applications publiques pour obtenir une entrée. 

  • Exécution : exécution de code malveillant via une ligne de commande ou un script. 

  • Persistance : maintien de l'accès par le biais de modifications de registre ou de tâches planifiées. 

  • Escalade des privilèges : obtention de privilèges plus élevés à l'aide d'exploits ou de dumping d'informations d'identification. 

  • Évasion de la défense – Contourner la sécurité avec des outils d’obscurcissement ou de désactivation. 

  • Mouvement latéral : se propager à travers les réseaux via RDP ou passe-passe. 

  • Exfiltration : voler des données à l'aide d'abus cloud ou de transferts chiffrés. 

Comprendre ces techniques aide les organisations à renforcer les défenses de sécurité.

Anatomie du cadre MITRE ATT&CK

Les tactiques sont la description de ce que les attaquants essaient d'atteindre. 

Les tactiques sont l’équivalent des chapitres d'un livre. Un DSSI peut décrire une histoire qu'il veut raconter avec les tactiques de haut niveau utilisées dans une attaque, puis se référer aux techniques pour raconter comment il a accompli l'attaque, ce qui fournit des détails supplémentaires.

https://www.trendmicro.com/explore/knowledge-hub/knowledgehub-xdr/01436-v1-en-rpt

Exemple d'histoire : Créer une histoire d'attaque dans un langage commun

L'objectif de l'attaquant était d'obtenir un accès initial au réseau. En assurant une compromission par téléchargement furtif de malware et suite à un lien de spear-phishing et des interactions de confiance avec la victime, l'attaquant a obtenu un accès initial.  

Remarque : Le framework répertorie toutes les façons connues pour un attaquant d’obtenir un accès initial.

Comment une solution de cybersécurité peut-elle aider ?

La solution cartographie les produits qui sont associés au cadre ATT&CK, en montrant les tactiques et techniques pour chaque malware détecté, ce qui montre comment nous pouvons vous aider à assurer une détection et une réponse pertinentes aux menaces

Qu’en est-il de la prévention ?

Les contrôles préventifs, élément important d'une stratégie de neutralisation des menaces, renforce la résilience en cas d'attaque. Les contrôles préventifs ont été testés lors des dernières évaluations, avec la possibilité de déjouer les risques rapidement, ce qui permet aux organisations de consacrer plus de temps à des problèmes de sécurité plus difficiles.

MITRE ATT&CK vs Cyber Kill Chain

MITRE ATT&CK est conçu pour fournir un niveau de granularité plus approfondi dans la description de ce qui peut se produire pendant une attaque, qui est un pas en avant par rapport à la chaîne de cyber-détruction 

Il y a sept étapes dans la chaîne Cyber Kill : 

  • Reconnaissance 

  • Intrusion 

  • Exploitation 

  • Exécution des privilèges 

  • Mouvement latéral 

  • Obfuscations / Anti-médico-légal 

  • Refus de service 

  • Exfiltration

Cas d’utilisation MITRE ATT&CK

MITRE ATT&CK vous permet d'organiser les technologies du point de vue de l'attaquant et de déterminer les contre-mesures de défense. Par conséquent, les cas d'utilisation suivants sont décrits.

Émulation antagoniste

Simulation d’un assaillant. À partir des groupes de la base de données, déterminez les techniques et les scénarios d'attaque utilisés par un attaquant spécifique, détectez une campagne d'attaques et vérifiez s'il existe des mesures défensives contre ces attaques.

Exercice d’équipe rouge

Créez des scénarios d'attaque pour mener des exercices de cybersécurité. La Red team joue le rôle de l'assaillant, la Blue team joue le rôle de la défense et la White team joue un rôle de contrôle et d’arbitre.

Développement de l'analyse comportementale

Au lieu de l'IOC et des informations sur les menaces connues, utilisez la base de connaissances d'ATT&CK et analysez les techniques et schémas d'action inconnus pour développer de nouvelles contre-mesures.

Évaluation des lacunes défensives

Identifiez ce qui est déficient dans les contre-mesures existantes d’une organisation. Déterminez les priorités d'investissement.

Évaluation de la maturité du SOC

Déterminez l'efficacité de la détection, de l'analyse et de la réponse par SOC.

Enrichissement des renseignements sur les cybermenaces

L'analyste peut comprendre en profondeur les actions d'un groupe d'attaquants et les signaler. Il est possible d'identifier clairement le type d'outils qu'un groupe spécifique a utilisé, le type de technologie et la procédure que le groupe a utilisée lors du démarrage des attaques, en récupérant les données de la base de données. 

Bien qu'il s'agisse d'un domaine professionnel, le site Web de MITRE ATT&CK fournit également une application appelée ATT&CK Navigator, qui vous permet de créer une matrice selon les objectifs décrits ci-dessus.

Résultats MITRE ATT&CK 2024 pour la sécurité d’entreprise

En 2024, MITRE Engenuity a mis la barre plus haut, en simulant les techniques d’attaque modernes les plus réelles à ce jour. Dire que Trend Micro a écrasé la mission est un euphémisme. 

L’incroyable performance 2024 dans MITRE Engenuity ATT&CK Evaluations est notre cinquième année consécutive et comprend certains des scores les plus élevés jamais enregistrés pour n’importe quel fournisseur. 

Avec plus de 161 milliards de menaces bloquées en 2023, soit une augmentation de 10 % par rapport à 2022, une meilleure visibilité sur les risques est essentielle pour arrêter de manière proactive même les attaques les plus avancées. 

Les évaluations de cette année se sont concentrées sur les tactiques, techniques et procédures (TTP) de DPRK, CL0P et LockBit, trois des menaces de ransomware les plus sophistiquées et dangereuses qui existent. 

fernando

Jon Clay

Vice President of Threat Intelligence

pen

Jon Clay travaille dans le domaine de la cybersécurité depuis plus de 29 ans. Jon utilise son expérience du secteur pour former et partager des informations sur toutes les recherches et informations sur les menaces publiées en externe par Trend Micro.

Foire aux questions (FAQ)

Expand all Hide all

Qu’est-ce que le cadre MITRE ATT&CK ?

add

Le cadre MITRE ATT&CK est une base de connaissances reconnue des tactiques et techniques adverses, aidant détection, défense et cybersécurité.

Quelles sont les techniques MITRE ATT&CK ?

add

Les techniques MITRE ATT&CK décrivent comportements d’attaquants, classés par tactiques comme accès initial, persistance, élévation de privilèges et exfiltration.

MITRE est-il un cadre de cybersécurité ?

add

MITRE n’est pas un cadre de cybersécurité; il fournit des connaissances comme ATT&CK, complétant normes, guides organisationnels et contrôles existants.

Que signifie MITRE ?

add

MITRE signifiait initialement MIT Research Establishment; aujourd’hui, le nom désigne une organisation indépendante à but non lucratif servant l’intérêt général.

Quelle est la différence entre NIST et MITRE ?

add

NIST publie normes et contrôles de cybersécurité, tandis que MITRE fournit modèles de comportement adverses comme ATT&CK pour guider l’implémentation.

Trend Vision One™ - Là où la sécurité proactive commence.

Ressources

Support

À propos de Trend

Siège social national

  • Trend Micro - France (FR)
  • 85, rue Albert Premier
    92500, Rueil Malmaison
    France
  • Phone : +33 (0)1 76 68 65 00

Select a language

close

Testez gratuitement notre plateforme de cybersécurité d'entreprise

Copyright ©2026 Trend Micro Incorporated. All rights reserved.