# Qu'est-ce que le cadre MITRE ATT&CK® ?

Découvrez comment cartographier de manière systématique le comportement des attaquants à l'aide de ce cadre afin de hiérarchiser et de renforcer vos défenses.

![Banner thumbnail](https://www.manageengine.com/log-management/cyber-security/images/log360-cyber-security-common-ban1-sprite-25.png)

## Points clés à retenir

1. **Qu'est-ce que MITRE ATT&CK® ?** Le cadre MITRE ATT&CK® est une matrice complète et mondialement reconnue, utilisée par les professionnels de la cybersécurité pour classer et comprendre les tactiques, techniques et procédures (TTP) des attaquants. Il aide les organisations à détecter et à atténuer les cyberattaques en modélisant le comportement réel des attaquants.
2. **Composantes principales : tactiques, techniques et procédures:** Le cadre s'articule autour des tactiques, techniques et procédures (TTP), qui décrivent la manière dont les adversaires planifient et exécutent leurs attaques. Ces composantes guident les équipes de sécurité dans la défense contre les menaces en cartographiant l'ensemble du cycle de vie d'une cyberattaque.
3. **Applications concrètes d'ATT&CK:** En tirant parti de MITRE ATT&CK, les organisations acquièrent une meilleure compréhension des cybermenaces réelles, ce qui améliore la détection, le renseignement sur les menaces et les stratégies de réponse. Cela aide les professionnels de la sécurité à anticiper les vecteurs d'attaque potentiels et à adopter des mesures proactives pour renforcer leurs défenses.
4. **Détection améliorée des menaces:** le cadre ATT&CK est intégré aux [outils SIEM](https://www.manageengine.com/fr/log-management/top-siem-tools.html?source=what-is-the-mitre-attack-framework), ce qui permet aux organisations d'automatiser la détection des menaces grâce à des règles de corrélation prédéfinies, d'améliorer l'investigation des incidents et d'aligner leurs stratégies de cybersécurité sur les exigences de conformité.

Le [cadre MITRE ATT&CK](https://attack.mitre.org/) est une base de connaissances mondialement reconnue sur les TTP (tactiques, techniques et procédures) des attaquants utilisées dans des cyberattaques réelles. Conçu pour fournir aux professionnels de la sécurité des informations détaillées sur le comportement des adversaires, il permet aux organisations de renforcer leurs défenses face à des cybermenaces sophistiquées en structurant le cycle de vie d'une attaque en étapes exploitables.

Le cadre ATT&CK aide à comprendre le mode opératoire des attaquants en modélisant leurs comportements de manière structurée. Il est continuellement mis à jour à partir de données réelles, ce qui en fait un outil précieux pour la détection des menaces, la réponse aux incidents et l'élaboration de stratégies de cybersécurité. Selon une étude sectorielle récente, les organisations ayant mis en œuvre le cadre MITRE ATT&CK ont constaté une amélioration de 62 % de leurs capacités de détection des menaces et une réduction moyenne de 45 % du temps de réponse aux incidents.

### Avis d'experts sur MITRE ATT&CK

Le cadre MITRE ATT&CK transforme en profondeur les opérations de sécurité lorsqu'il est mis en œuvre de manière réfléchie. Plutôt que d'essayer de couvrir l'ensemble de la matrice en une seule fois, il est préférable d'adopter une approche ciblée : cartographiez vos contrôles existants par rapport aux techniques les plus fréquemment utilisées dans votre secteur, puis priorisez la correction des lacunes en fonction de vos risques métiers les plus critiques. Cette cartographie pragmatique met souvent en évidence des angles morts inattendus dans la défense, même au sein d'environnements matures. Pour maximiser l'impact, intégrez ATT&CK à vos processus existants plutôt que de le traiter comme une initiative isolée : utilisez-le pour améliorer la chasse aux menaces, optimiser les revues d'architecture de sécurité et concevoir des simulations d'attaquants plus réalistes lors des tests. Les implémentations les plus efficaces que j'ai observées considèrent ATT&CK comme un processus d'amélioration continue, dans lequel les équipes étendent progressivement leur couverture tout en mesurant la réduction du temps de présence des menaces dans leur environnement spécifique.

- [Subhalakshmi Ganapathy](https://www.linkedin.com/in/subhalakshmi-ganapathy-21521422/), Experte en Cybersécurité

## Comprendre MITRE ATT&CK : Tactiques, Techniques et Procédures (TTP)

Le **cadre MITRE ATT&CK** classe le comportement des adversaires en trois composantes principales, souvent appelées **TTPs**: **Tactiques**, **Techniques**, et **Procédures**.

- Les tactiques représentent les objectifs généraux de l'adversaire au cours d'une attaque, tels que l'accès à un système ou le maintien de la persistance. Elles donnent un aperçu des motivations derrière les actions de l'attaquant.
- Les techniques correspondent aux méthodes utilisées par les attaquants pour atteindre leurs objectifs. Par exemple, un attaquant peut recourir à une technique de force brute pour obtenir des identifiants.
- Les procédures désignent les étapes détaillées suivies par les attaquants pour mettre en œuvre une technique. Ces étapes sont souvent très spécifiques et s'adaptent aux objectifs de l'attaquant ainsi qu'à l'environnement dans lequel il évolue.

Ces composantes permettent aux équipes de sécurité d'anticiper les actions des adversaires et de mettre en place des défenses alignées sur des stratégies d'attaque réelles. Par exemple, dans une attaque visant à compromettre des identifiants, un adversaire peut utiliser une technique de force brute et suivre une procédure de « password spraying », qui consiste à tester des mots de passe courants sur plusieurs comptes.

![How MITRE ATT&CK's tactics, techniques, and procedures aids in cybersecurity threat detection](https://cdn.manageengine.com/sites/meweb/images/fr/log-management/what-is-the-mitre-attack-framework-ss1-25.png)

Cette classification structurée permet aux équipes de sécurité de mieux se défendre contre les menaces en comprenant **l’ensemble du cycle de vie d’une attaque**, depuis les objectifs de l’attaquant (tactiques) jusqu’aux étapes spécifiques de sa mise en œuvre (procédures).

## Les 14 tactiques de la matrice MITRE ATT&CK

La **matrice MITRE ATT&CK** représente visuellement le comportement des adversaires en décomposant les attaques en **14 tactiques fondamentales**. Ces tactiques correspondent à chaque étape d’une attaque, de la phase initiale de reconnaissance jusqu’à l’impact final sur les systèmes.

![Thumbnail](https://www.manageengine.com/log-management/cyber-security/images/what-is-the-mitre-attack-framework-video-thumbnail-24.png)

**Vidéo 1:** Le cadre MITRE expliqué à l’aide d’un exemple

### 1. Reconnaissance (TA0043)

L’adversaire mène des activités de reconnaissance afin de recueillir des informations qui soutiendront ses opérations futures. Pour ce faire, il privilégie souvent des méthodes passives afin d’éviter la détection, telles que la recherche d’informations sur les cibles dans des sources publiques.

### 2. Développement de ressources (TA0042)

Cette tactique consiste pour les adversaires à créer ou acquérir des ressources, comme la mise en place d’une infrastructure de commande et de contrôle ou l’obtention d’outils, afin de soutenir leurs opérations. Ces ressources permettent de lancer des attaques et de maintenir une présence dans l’environnement ciblé.

### 3. Accès initial (TA0001)

L’adversaire cherche à pénétrer dans votre réseau. Les techniques d’accès initial incluent des méthodes telles que le spear phishing, l’exploitation d’applications exposées au public ou l’utilisation d’identifiants volés pour se faire passer pour des utilisateurs légitimes.

### 4. Exécution (TA0002)

L’adversaire tentera d’exécuter du code malveillant sur un système local ou distant. Cela peut se produire par divers moyens, tels que l’exécution d’un fichier malveillant par un utilisateur ou l’exécution automatisée via l’exploitation d’une vulnérabilité.

### 5. Persistance (TA0003)

L’adversaire tentera de maintenir son accès au réseau. Il peut créer de nouveaux comptes, manipuler des comptes existants ou utiliser des identifiants légitimes afin de garantir un accès continu aux systèmes compromis, même en cas de perturbations telles que des redémarrages ou des modifications d’identifiants.

### 6. [Élévation de privilèges (TA0004)](https://www.manageengine.com/fr/log-management/cyber-security/privilege-escalation-attack.html?source=what-is-the-mitre-attack-framework)

L’adversaire cherchera à obtenir des autorisations de niveau supérieur sur un système ou un réseau. Pour y parvenir, il peut exploiter des vulnérabilités logicielles, c’est-à-dire tirer parti d’erreurs de programmation dans des applications, des services ou le système d’exploitation lui-même, afin d’exécuter son propre code et de prendre le contrôle du système compromis.

### 7. Évitement des mécanismes de défense (TA0005)

L’attaquant met en œuvre des techniques de contournement des défenses afin d’éviter toute détection. Il peut dissimuler ses actions, modifier les processus système ou recourir à des techniques d’obfuscation pour masquer ses activités, lui permettant ainsi d’opérer discrètement.

### 8. Accès aux identifiants (TA0006)

L’attaquant cherche à dérober des identifiants tels que des mots de passe ou des jetons afin d’accéder aux systèmes, services et ressources réseau. Pour y parvenir, il peut recourir à des techniques de force brute afin d’obtenir un accès non autorisé, notamment lorsque les mots de passe sont inconnus ou lorsqu’il dispose de hachages de mots de passe.

### 9. Découverte (TA0007)

L’adversaire tentera de cartographier votre environnement et vos systèmes. Il peut notamment analyser le trafic réseau afin de collecter des informations sur l’environnement ciblé, ce qui peut inclure l’interception d’identifiants sensibles et d’autres données circulant sur le réseau.

### 10. Déplacement latéral (TA0008)

L’attaquant cherchera à se déplacer au sein de votre environnement afin de compromettre des systèmes supplémentaires. Il peut utiliser des identifiants volés pour accéder à des équipements en réseau ou recourir à des techniques telles que le « pass-the-ticket » ou les services à distance pour étendre son accès.

### 11. Collecte (TA0009)

L’attaquant tentera de collecter des données pertinentes pour atteindre son objectif. Cela peut inclure des documents sensibles, des données opérationnelles critiques ou des informations propriétaires présentes dans les environnements compromis, souvent en préparation d’une exfiltration.

### 12. [Commande et contrôle (TA011)](https://www.manageengine.com/fr/eventlog/cyber-security/c2-domain-iocs.html?source=what-is-the-mitre-attack-framework)

L’attaquant cherchera à communiquer avec les systèmes compromis afin de les contrôler. Il peut utiliser des proxys comme intermédiaires pour le trafic réseau, redirigeant ainsi les communications afin d’éviter les connexions directes vers son infrastructure ou ses serveurs de commande et de contrôle.

### 13. Exfiltration (TA0010)

L’adversaire tentera de voler des données. Pour ce faire, il peut transférer illicitement des informations, y compris des sauvegardes d’environnements cloud, d’un compte vers un autre qu’il contrôle au sein du même service. Cette approche permet de contourner les mécanismes de détection classiques liés aux transferts de fichiers ou aux téléchargements.

### 14. Impact (TA0040)

L’adversaire cherchera à manipuler, perturber ou détruire vos systèmes et vos données. Il peut notamment compromettre la disponibilité des systèmes, des services et des ressources réseau en supprimant volontairement des fichiers ou des données, soit sur des systèmes ciblés, soit à l’échelle de l’ensemble du réseau.

## Comment fonctionne le cadre MITRE ATT&CK

Le cadre MITRE ATT&CK est organisé en une matrice qui catégorise les comportements des adversaires à travers différentes étapes d'attaque. Le cadre couvre une variété d'environnements, y compris les systèmes d'entreprise, les appareils mobiles, et les systèmes de contrôle industriel (ICS). Cela permet aux organisations de divers secteurs de l'adopter et d'améliorer leurs stratégies de cyberdéfense.

### La structure de la matrice MITRE ATT&CK

La matrice ATT&CK est structurée en lignes représentant les tactiques des adversaires et en colonnes représentant les techniques utilisées pour les mettre en œuvre. Chaque tactique, comme l’accès initial ou le déplacement latéral, est associée à une liste de techniques spécifiques que les adversaires peuvent utiliser. Par exemple, pour la tactique d’accès aux identifiants, des techniques telles que le « password spraying » ou l’enregistrement de frappe sont répertoriées.

![How MITRE ATT&CK's tactics, techniques, and procedures aids in cybersecurity threat detection](https://www.manageengine.com/log-management/cyber-security/images/what-is-the-mitre-attack-framework-ss1-24.png)

*La Matrice MITRE ATT&CK Enterprise classe les comportements des attaquants par tactiques (colonnes) et techniques (lignes), offrant ainsi une vue d’ensemble du cycle de vie d’une attaque.*

Chaque technique peut également être décomposée en sous-techniques, qui apportent des précisions supplémentaires sur la manière dont les attaquants peuvent mener une attaque. Cette structure permet aux organisations de cartographier l’ensemble du cycle de vie d’une attaque, depuis la phase de reconnaissance initiale jusqu’à l’impact final sur les systèmes cibles.

## Couverture multi-plateforme

Le cadre MITRE ATT&CK couvre trois domaines principaux :

- **Enterprise ATT&CK:** se concentre sur les tactiques et techniques visant les environnements d’entreprise traditionnels, tels que les systèmes Windows, Linux et macOS. Ce domaine englobe un large éventail de vecteurs d’attaque, notamment les exploits réseau, le vol d’identifiants et la propagation de logiciels malveillants.
- **Mobile ATT&CK:** se concentre sur les tactiques et techniques utilisées lors d’attaques contre les appareils mobiles, couvrant les plateformes iOS et Android. Ce domaine inclut des techniques telles que l’extraction de données, le suivi de localisation et la compromission d’appareils via des applications malveillantes.
- **ICS ATT&CK:** se concentre sur les tactiques et techniques utilisées par les adversaires pour cibler les systèmes de contrôle industriels, essentiels dans des secteurs tels que l’énergie, l’industrie manufacturière et les transports. Ces attaques visent souvent à perturber les processus physiques, provoquant des dommages ou des interruptions d’activité.

## Comment la matrice renforce la cyberdéfense ?

En s’appuyant sur la matrice MITRE ATT&CK, les équipes de sécurité peuvent :

- **Visualiser le cycle de vie d’une attaque:** la matrice fournit une représentation claire de chaque phase, de la reconnaissance à l’impact. Elle aide les équipes à comprendre la progression des adversaires et à anticiper leurs prochaines actions.
- **Détecter les indicateurs précoces de compromission (IoC):** le cadre aide les organisations à identifier les IoC associés à chaque technique. Par exemple, si une technique comme le déplacement latéral est détectée, les équipes peuvent rechercher des signes tels qu’un accès à distance non autorisé ou une utilisation anormale des identifiants. Cela permet une détection plus rapide des menaces actives.
- **Mettre en corrélation les renseignements sur les menaces:** les équipes peuvent associer les données de renseignement et les incidents réels à des techniques spécifiques de la matrice. Cela permet d’obtenir une vision complète du comportement des adversaires en temps réel et d’ajuster les défenses en conséquence.
- **Hiérarchiser les efforts de sécurité:** la matrice permet d’identifier et de prioriser les tactiques et techniques à haut risque les plus pertinentes pour l’environnement de l’organisation. Par exemple, une entreprise fortement orientée cloud pourra se concentrer sur les techniques liées à la compromission des comptes cloud, tandis qu’une organisation dépendant des systèmes ICS ciblera les techniques propres à ces environnements.

### Ressources supplémentaires :

De la compréhension à la défense : découvrez comment tirer parti de MITRE ATT&CK pour identifier et atténuer de manière proactive les menaces potentielles.

- [UTILISER MITRE ATT&CK® pour comprendre les techniques à l’origine des violations](https://www.manageengine.com/fr/log-management/ebooks/mitre-attack-for-data-breaches.html?source=what-is-the-mitre-attack-framework)
- Chasse aux menaces 101 : développez vos capacités de détection et d’investigation des menaces grâce au cadre MITRE ATT&CK

## Cas d'utilisation de MITRE ATT&CK

Le **cadre MITRE ATT&CK** est largement utilisé par les organisations publiques et privées pour améliorer leur posture de cybersécurité. Voici les principaux cas d’utilisation :

- **Analyse des renseignements sur les menaces :** MITRE ATT&CK fournit un langage commun pour catégoriser et partager les comportements des adversaires, favorisant ainsi une défense collective contre les cybermenaces. Les analystes peuvent associer les comportements observés à des TTP spécifiques, ce qui facilite le suivi et l’analyse des menaces.
- **Exercices d’équipes rouges et bleues :** le cadre constitue une ressource clé pour les équipes rouges lorsqu’elles simulent des adversaires réels. Ces simulations permettent d’identifier les vulnérabilités. Les équipes bleues utilisent quant à elles le cadre pour développer des règles de détection et améliorer leurs stratégies de réponse.
- **Réponse aux incidents :** ATT&CK permet de relier les incidents aux techniques des adversaires, facilitant ainsi une réponse plus rapide et plus efficace. En identifiant des tactiques spécifiques, les équipes peuvent corréler ces comportements aux alertes et contenir plus rapidement les attaques en cours.
- **Alignement sur la conformité :** les organisations peuvent aligner leurs initiatives de sécurité sur des normes telles que PCI DSS, HIPAA et le RGPD en associant les tactiques et techniques ATT&CK aux exigences réglementaires. Cela permet de démontrer une approche proactive en matière de détection et de réponse aux menaces.

## Guide en cinq étapes pour mettre en œuvre MITRE ATT&CK

### Étape 1 : Évaluez votre posture de sécurité actuelle

Répertoriez vos outils, contrôles et processus de sécurité existants. Identifiez vos actifs les plus critiques ainsi que les menaces les plus susceptibles de cibler votre organisation.

### Étape 2 : Hiérarchisez les tactiques et techniques pertinentes

En fonction de votre secteur, déterminez quelles tactiques et techniques MITRE sont les plus pertinentes. Concentrez-vous sur celles qui sont le plus fréquemment utilisées contre des organisations similaires à la vôtre.

### Étape 3 : Cartographiez vos capacités de détection

Évaluez dans quelle mesure vos outils de sécurité actuels permettent de détecter les techniques prioritaires. Identifiez les lacunes dans vos capacités de détection.

### Étape 4 : Améliorez la détection et la réponse

Mettez en place de nouvelles règles de détection, contrôles ou processus afin de combler les lacunes identifiées. Configurez votre solution SIEM pour associer les alertes aux techniques MITRE.

### Étape 5 : Testez et affinez

Réalisez des exercices de type « équipe rouge » ou des simulations pour tester vos capacités. Ajustez en continu votre mise en œuvre en fonction des résultats et des nouvelles informations sur les menaces.

## Comment Log360 exploite MITRE ATT&CK pour la détection des menaces ?

En intégrant **MITRE ATT&CK** à **Log360**, les organisations peuvent renforcer leurs capacités en cybersécurité. Log360 améliore la détection et la réponse aux menaces en :

- **Fournissant des tableaux de bord de sécurité et des rapports sur les incidents alignés sur ATT&CK:** ces rapports offrent une visibilité détaillée des activités des attaquants mises en correspondance avec le cadre, améliorant la connaissance de la situation et accélérant les temps de réponse.
- **Proposant des règles de corrélation prédéfinies pour les techniques ATT&CK:** Log360 inclut des règles permettant de détecter les techniques ATT&CK et de surveiller le comportement des attaquants en temps réel.
- **Offrant des stratégies d’atténuation exploitables:** Log360 fournit des recommandations concrètes pour chaque étape du cycle de vie de l’attaque, aidant les équipes à mettre en œuvre des contre-mesures efficaces.
- **Permettant une investigation approfondie des incidents:** grâce à une visibilité complète sur les 14 tactiques et les techniques associées, Log360 facilite l’analyse détaillée des incidents de sécurité et limite le risque de menaces non détectées.

## Améliorer la détection des menaces et la conformité avec MITRE ATT&CK

Le **cadre MITRE ATT&CK** propose une approche complète pour renforcer la posture de cybersécurité d’une organisation. Grâce à **son intégration dans Log360**, les organisations peuvent :

- Bénéficier d’une **visibilité en temps réel** sur les tactiques et techniques des attaquants.
- Automatiser la détection des menaces grâce à des **règles de corrélation prédéfinies**.
- Améliorer les enquêtes sur les incidents en associant les comportements des attaquants aux **14 tactiques ATT&CK**.
- Renforcer les efforts de conformité en alignant les stratégies de sécurité sur les **exigences réglementaires**.

## Poursuivez votre lecture sur les pratiques essentielles en matière de cybersécurité :

- [Qu’est-ce que le SIEM ? Guide complet](https://www.manageengine.com/fr/log-management/siem/what-is-siem.html?source=what-is-the-mitre-attack-framework)
- [Les cinq meilleurs outils SIEM à envisager](https://www.manageengine.com/fr/log-management/top-siem-tools.html?source=what-is-the-mitre-attack-framework)
- [Rapport Gartner Magic Quadrant 2024 pour le SIEM](https://www.manageengine.com/fr/log-management/2024-gartner-siem-mq.html?source=what-is-the-mitre-attack-framework)

## Questions fréquentes sur MITRE ATT&CK

### Comment commencer à mettre en œuvre MITRE ATT&CK dans mon organisation ?

Commencez par identifier vos actifs les plus critiques ainsi que les menaces les plus susceptibles de les cibler. Ensuite, mettez en correspondance vos contrôles de sécurité existants avec les tactiques et techniques MITRE pertinentes afin d’identifier les lacunes de couverture. Commencez progressivement avec quelques techniques clés plutôt que de tenter de couvrir l’ensemble du cadre immédiatement.

### À quelle fréquence le cadre MITRE ATT&CK est-il mis à jour ?

MITRE met généralement à jour le cadre ATT&CK deux fois par an, avec des versions majeures introduisant de nouvelles techniques, tactiques et améliorations basées sur l’observation des comportements des acteurs malveillants.

### Quelle est la différence entre les tactiques, les techniques et les procédures ?

Les tactiques correspondent aux objectifs globaux de l’adversaire (le « pourquoi »), les techniques aux méthodes utilisées pour atteindre ces objectifs (le « comment ») et les procédures aux mises en œuvre concrètes des techniques (les « étapes précises »).

### Le cadre MITRE ATT&CK convient-il aux petites organisations ?

Oui, les organisations de toutes tailles peuvent tirer parti du cadre MITRE ATT&CK. Les plus petites structures peuvent se concentrer sur les techniques les plus pertinentes pour leur secteur plutôt que de tenter de couvrir l’ensemble du cadre d’un seul coup.

### Quel est le rapport entre MITRE ATT&CK et d’autres cadres tels que le NIST ou l’ISO ?

Alors que des cadres comme le NIST et l’ISO se concentrent sur les contrôles de sécurité et les bonnes pratiques, MITRE ATT&CK se concentre sur les comportements des adversaires. Ces approches sont complémentaires : le NIST et l’ISO permettent de construire une base de sécurité solide, tandis que MITRE ATT&CK aide à comprendre et contrer des méthodes d’attaque spécifiques.