Quelle différence entre tactiques, techniques et sous-techniques ?

Hiérarchie à trois niveaux. Tactiques (14) : le "pourquoi" de l'attaquant. Ses objectifs intermédiaires dans l'attaque. Exemples : Initial Access (entrer dans le réseau), Persistence (maintenir l'accès), Exfiltration (sortir les données). Organisées dans un ordre approximatif du déroulement d'une attaque. Identifiées par code TA (TA0001 = Initial Access). Techniques (200+) : le "comment". Les méthodes utilisées pour accomplir une tactique. Exemple : pour Initial Access, on trouve T1566 Phishing, T1190 Exploit Public-Facing Application, T1133 External Remote Services, T1078 Valid Accounts, etc. Identifiées par code T (T1566). Sous-techniques (400+) : détail d'une technique. Exemple : T1566 Phishing a 3 sous-techniques — T1566.001 Spearphishing Attachment, T1566.002 Spearphishing Link, T1566.003 Spearphishing via Service. Introduites en 2020 pour gérer la granularité croissante. Procédures : les implémentations spécifiques observées en nature, typiquement liées à des groupes ou outils. Exemple : APT29 utilise telle variante de T1566.002. Documentées dans les pages "Groups" (groupes d'attaquants) et "Software" (malwares et outils) du framework. Cette hiérarchie TTP (Tactics, Techniques, Procedures) permet de parler de la même attaque à différents niveaux d'abstraction selon le public.

Comment utiliser MITRE ATT&CK concrètement ?

Plusieurs usages complémentaires selon le profil. SOC (Security Operations Center) : cartographier les détections existantes sur les techniques ATT&CK. Le site MITRE D3FEND offre un framework défensif complémentaire. Identifier les zones sans détection (coverage gap). Créer des règles SIEM référencées par ID de technique pour traçabilité. Threat Intelligence : profiler les groupes adverses. Chaque groupe documenté (APT1, APT28, APT29, FIN7, Cl0p, LockBit, etc.) a un ensemble de techniques connues. Faciliter le partage : plutôt que dire "ils ont utilisé un email piégé", dire "T1566.001". EDR et XDR : les éditeurs (SentinelOne, CrowdStrike, Microsoft Defender, Palo Alto Cortex XDR, SophosSwissLabs) mappent leurs détections sur ATT&CK. Facilite l'évaluation comparative. Red teaming et pentest : structurer les exercices sur des techniques documentées. Outils comme Atomic Red Team proposent des tests concrets pour chaque technique. Caldera (MITRE) automatise les simulations. Threat hunting : chercher activement des traces de techniques spécifiques (ex. abus de wmic, mshta, rundll32 souvent liés à Execution). Reporting incident : documenter les TTP observés avec les IDs ATT&CK facilite les rapports incident structurés (SOC, CERT). Scoring maturity : MITRE propose ATT&CK Navigator pour visualiser la couverture défensive, identifier priorités d'investissement. Formation : référentiel commun pour former les équipes sécurité. Framework MITRE D3FEND (2021) complète ATT&CK côté défense.

Quelle différence entre MITRE ATT&CK et Cyber Kill Chain ?

Deux frameworks complémentaires mais distincts. Cyber Kill Chain : framework créé par Lockheed Martin en 2011, décrit le cycle de vie d'une cyberattaque en 7 phases linéaires — Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Actions on Objectives. Séquentiel, haut niveau, adapté à la communication exécutive. Populaire dans les cercles militaires et stratégiques. MITRE ATT&CK : catalogue détaillé et exhaustif des techniques utilisées dans chaque phase d'une attaque. Non linéaire (une attaque peut boucler, sauter des phases, paralléliser). Beaucoup plus granulaire (200+ techniques vs 7 phases). Orienté détection opérationnelle et analytics. Les 14 tactiques d'ATT&CK recoupent approximativement les phases de la Kill Chain mais en plus détaillé. En pratique : Cyber Kill Chain pour l'analyse stratégique et la communication de haut niveau, MITRE ATT&CK pour le travail opérationnel en SOC, CTI et red team. Les deux cohabitent dans la plupart des organisations matures. Autres frameworks connexes : Unified Kill Chain (2017, hybride), Diamond Model (2013, orienté analyse d'intrusion), MITRE PRE-ATT&CK (ancien, fusionné dans ATT&CK Enterprise depuis 2020). MITRE a aussi publié D3FEND en 2021 pour structurer les contre-mesures défensives.

MITRE ATT&CK : définition, tactiques et usage (framework TTP)

Q: Qu'est-ce que MITRE ATT&CK ?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est un framework public et gratuit développé depuis 2013 par la MITRE Corporation, une organisation américaine à but non lucratif sous contrat fédéral. Il catalogue de manière systématique les tactiques, techniques et procédures (TTP) utilisées par les adversaires dans des cyberattaques réelles observées. Structure hiérarchique : 14 tactiques (les "pourquoi" — Reconnaissance, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration, Impact, plus Resource Development), déclinées en 200+ techniques (les "comment" — Phishing, Exploit Public-Facing Application, Valid Accounts, etc.), elles-mêmes en 400+ sous-techniques. Plusieurs matrices : Enterprise (SI traditionnels Windows/Linux/macOS + Cloud + Containers), Mobile (iOS/Android), ICS (systèmes industriels). Chaque technique est documentée avec description, exemples concrets de groupes qui l'utilisent, détection, atténuation. Devenu référence mondiale pour threat intelligence, SOC, EDR, red teaming. Accessible gratuitement sur attack.mitre.org.

Créateur: MITRE Corporation (organisation US à but non lucratif)
Première publication: 2013 (originellement interne à MITRE)
Accessibilité: Public et gratuit — attack.mitre.org
Structure: 14 tactiques, 200+ techniques, 400+ sous-techniques (Enterprise)
Mise à jour: Versions majeures ~2 fois par an
Cadre connexe: MITRE D3FEND (2021) pour les contre-mesures défensives

01 — DéfinitionQu'est-ce que MITRE ATT&CK ?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est un framework public et gratuit développé depuis 2013 par la MITRE Corporation, organisation américaine à but non lucratif opérant des centres de R&D sous contrat fédéral (dont la FFRDC National Cybersecurity FFRDC).

La mission

Cataloguer de manière systématique les tactiques, techniques et procédures (TTP) utilisées par les adversaires dans des cyberattaques réelles observées. Le framework ne spécule pas — il documente ce qui a été vu dans le monde réel.

Pourquoi c'est devenu incontournable

Langage commun : SOC, CERT, EDR, CTI et red team parlent enfin la même langue.
Exhaustivité : 200+ techniques documentées, constamment enrichies.
Gratuit et ouvert : pas de barrière d'adoption.
Documenté : chaque technique a description, exemples réels, détection, atténuation.
Indépendant des vendeurs : pas de biais commercial.
Orienté opérations : pensé pour l'usage quotidien, pas seulement théorique.

Historique rapide

2013 : premier modèle interne MITRE pour tracker les techniques adverses.
2015 : publication publique d'ATT&CK Enterprise.
2017 : ATT&CK Mobile.
2018 : ATT&CK for ICS.
2020 : ajout des sous-techniques, restructuration majeure. PRE-ATT&CK fusionné dans Enterprise.
2021 : lancement de MITRE D3FEND (contre-mesures).
2023-2025 : enrichissement continu, mapping cloud-native, intégration IA/LLM.

Positionnement parmi les frameworks

Cyber Kill Chain (Lockheed Martin, 2011) : 7 phases linéaires, haut niveau stratégique.
ATT&CK : ultra-détaillé, non linéaire, opérationnel.
Unified Kill Chain (2017) : hybride des deux.
Diamond Model (2013) : orienté analyse d'intrusion.
NIST Cybersecurity Framework : orienté gouvernance/conformité.
D3FEND : contre-mesures défensives, complément d'ATT&CK.

ATT&CK est à la cybersécurité ce que le tableau périodique est à la chimie : une classification systématique qui permet de parler précisément d'un domaine complexe, d'identifier ce qu'on connaît et ce qu'on ignore, et de structurer la recherche. Sans ATT&CK, chaque équipe SOC reinventait son vocabulaire.

02 — StructureHiérarchie TTP

Les trois niveaux

Tactiques — le « pourquoi »

Les objectifs intermédiaires de l'attaquant au cours d'une intrusion. Réponse à la question « qu'est-ce qu'il essaie d'accomplir à ce stade ? ». Identifiées par code TA (ex. TA0001 = Initial Access).

Il y a 14 tactiques pour la matrice Enterprise, organisées dans un ordre approximatif du déroulement d'une attaque (mais une attaque réelle n'est pas forcément séquentielle).

Techniques — le « comment »

Les méthodes spécifiques utilisées pour accomplir une tactique. Réponse à la question « comment il s'y prend ? ». Identifiées par code T (ex. T1566 = Phishing).

Chaque technique est documentée avec : description, exemples de groupes qui l'utilisent, logiciels connus, méthodes de détection, moyens d'atténuation, références d'études de cas.

Sous-techniques — le détail

Introduites en 2020 pour affiner la granularité. Identifiées par code T.XXX (ex. T1566.001 = Spearphishing Attachment).

Exemple pour T1566 Phishing :

T1566.001 : Spearphishing Attachment.
T1566.002 : Spearphishing Link.
T1566.003 : Spearphishing via Service.
T1566.004 : Spearphishing Voice (ajoutée récemment pour le vishing).

Procédures — l'implémentation concrète

Les mises en œuvre spécifiques observées en nature. Exemple : « APT29 utilise une variante particulière de T1566.002 avec des URLs sur Dropbox ».

Documentées dans les pages Groups (groupes d'attaquants comme APT28, APT29, FIN7, Lazarus, Cl0p, LockBit) et Software (malwares et outils comme Cobalt Strike, Mimikatz, Emotet, Trickbot, BeEF).

Les autres concepts du framework

Groups (groupes d'attaquants)

Plus de 150 groupes documentés avec leurs techniques connues, cibles, motivations, attribution probable. Exemples courants :

APT28 (Fancy Bear) : attribué à la Russie (GRU).
APT29 (Cozy Bear, NOBELIUM, Midnight Blizzard) : attribué à la Russie (SVR).
Lazarus Group : attribué à la Corée du Nord.
FIN7, FIN11 : groupes cybercriminels financiers.
Sandworm : attribué à la Russie (GRU), connu pour NotPetya.
Volt Typhoon : attribué à la Chine, cible les infrastructures critiques US.
Cl0p, LockBit, BlackCat/ALPHV : groupes ransomware (avant démantèlements partiels).

Software

Malwares, outils d'attaque, implants documentés avec les techniques qu'ils implémentent. Exemples : Cobalt Strike, Mimikatz, Empire, Metasploit, Brute Ratel, Emotet, Trickbot, Conti ransomware, etc.

Campaigns (ajoutées 2022)

Campagnes d'attaque spécifiques documentées (ex. SolarWinds / UNC2452, NotPetya, Colonial Pipeline). Relient groupes, techniques et incidents historiques.

Data Sources

Catalogue des sources de données utiles pour détecter chaque technique (logs Windows, Sysmon, EDR, network flows, auth logs). Aide à planifier l'instrumentation.

Mitigations

Contre-mesures organisationnelles et techniques applicables. Exemples : User Training, Application Isolation, Credential Access Protection.

03 — TactiquesLes 14 tactiques Enterprise

Ordre approximatif d'une attaque complète :

TA0043 — Reconnaissance

Collecte d'information avant l'attaque (OSINT, scan, ingénierie sociale préparatoire). Techniques : Active Scanning, Search Open Technical Databases, Gather Victim Identity Information.

TA0042 — Resource Development

Préparation des infrastructures et ressources (enregistrement de domaines, achat de VPS, création d'outils, achat d'accès sur le dark web). Techniques : Acquire Infrastructure, Compromise Accounts, Develop Capabilities.

TA0001 — Initial Access

Entrée dans le réseau cible. Techniques les plus courantes :

T1566 Phishing (domine depuis des années).
T1190 Exploit Public-Facing Application (serveurs web, VPN).
T1133 External Remote Services (RDP, SSH, VPN compromis).
T1078 Valid Accounts (credentials volés).
T1200 Hardware Additions (USB piégée, appareils sur site).
T1195 Supply Chain Compromise.

TA0002 — Execution

Exécution de code malveillant sur un système cible. Techniques : Command and Scripting Interpreter (PowerShell, cmd.exe, bash), User Execution (clic de l'utilisateur), Scheduled Task/Job, Windows Management Instrumentation (WMI), Native API.

TA0003 — Persistence

Maintenir l'accès même après reboot, changement de mot de passe, etc. Techniques : Registry Run Keys, Scheduled Task, Service, Account Manipulation, Create or Modify System Process, Bootkit.

TA0004 — Privilege Escalation

Obtenir plus de droits (local admin, SYSTEM, domain admin). Techniques : Exploitation for Privilege Escalation, Valid Accounts, Process Injection, Abuse Elevation Control Mechanism.

TA0005 — Defense Evasion

Éviter la détection et les contrôles. Très nombreuses techniques : Obfuscated Files, Masquerading, Indicator Removal, Impair Defenses (désactiver antivirus / EDR), Signed Binary Proxy Execution (LOLBins — Living Off the Land Binaries).

TA0006 — Credential Access

Voler des identifiants. Techniques : OS Credential Dumping (Mimikatz pour LSASS, SAM, DCSync), Brute Force, Credentials from Password Stores, Network Sniffing, Input Capture (keylogging).

TA0007 — Discovery

Explorer l'environnement compromis. Techniques : Account Discovery, Network Service Scanning, Remote System Discovery, Permission Groups Discovery, Domain Trust Discovery.

TA0008 — Lateral Movement

Se déplacer entre les machines du réseau compromis. Techniques : Remote Services (RDP, SMB), Use Alternate Authentication Material (pass-the-hash, pass-the-ticket, Kerberoasting), Exploitation of Remote Services, Internal Spearphishing.

TA0009 — Collection

Rassembler les données d'intérêt avant exfiltration. Techniques : Data from Local System, Email Collection, Data from Cloud Storage, Screen Capture, Video Capture, Keylogging.

TA0011 — Command and Control (C2)

Communication entre le malware et l'infrastructure de l'attaquant. Voir notre fiche C2. Techniques : Application Layer Protocol (HTTPS, DNS), Web Service (Google Drive, Dropbox comme C2), Proxy, Domain Fronting, Encrypted Channel.

TA0010 — Exfiltration

Sortir les données du réseau. Techniques : Exfiltration Over C2 Channel, Exfiltration Over Alternative Protocol (FTP, DNS), Exfiltration Over Web Service, Scheduled Transfer, Automated Exfiltration.

TA0040 — Impact

Objectif final destructeur : chiffrement (ransomware), suppression, altération. Techniques : Data Encrypted for Impact (ransomware), Data Destruction, Defacement, Disk Wipe, Resource Hijacking (cryptomining), Service Stop, Account Access Removal.

Usage des tactiques

Une attaque réelle ne parcourt pas forcément toutes les tactiques dans l'ordre. Elle peut : sauter certaines (pas de Lateral Movement si la cible est atteinte directement), boucler (ré-infection, nouveaux accès), paralléliser (plusieurs voies simultanées). ATT&CK fournit le vocabulaire, pas une séquence obligatoire.

04 — MatricesLes déclinaisons spécialisées

Enterprise — la matrice principale

Couvre les SI traditionnels et modernes :

Windows, macOS, Linux : systèmes d'exploitation classiques.
Cloud : sous-matrice dédiée couvrant AWS, Azure, GCP, Microsoft 365, Google Workspace, SaaS, IaaS.
Network : équipements réseau (routeurs, switches, firewalls).
Containers : Docker, Kubernetes.
Office 365 / Identity Provider : spécifique cloud.

Mobile

Matrice dédiée iOS et Android avec 14 tactiques similaires mais techniques spécifiques mobile :

Delivery via Stores (apps malveillantes).
SMS Control (interception SMS).
Device Administrator.
Network Effects (sur réseaux mobiles).
Carrier or Wireless Operator.

Inclut les spécificités des menaces mobiles : spyware commerciaux (Pegasus, Predator), exploits zero-click, abus APIs Android.

ICS — Industrial Control Systems

Matrice dédiée aux systèmes industriels : automates (PLC), SCADA, DCS, capteurs. Tactiques adaptées :

Impair Process Control.
Inhibit Response Function.
Damage to Property.
Loss of Safety.

Référence pour cybersécurité OT (Operational Technology). Alimentée par des incidents historiques : Stuxnet, Black Energy, Industroyer / Crash Override, Triton / Trisis.

Pre-ATT&CK — historique

Matrice séparée jusqu'en 2020 couvrant la phase avant l'intrusion (reconnaissance, préparation). Fusionnée dans Enterprise en 2020 via les tactiques TA0043 Reconnaissance et TA0042 Resource Development.

ATLAS — IA et adversarial ML

MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) : framework dédié aux attaques contre les systèmes IA. Lancé en 2020-2021, enrichi avec les attaques LLM. Couvre : évasion de modèle, empoisonnement, prompt injection, extraction de modèle, attaques adversariales.

D3FEND — le complément défensif

Lancé par MITRE en 2021, D3FEND catalogue les contre-mesures organisées en 6 catégories : Harden, Detect, Isolate, Deceive, Evict. Mapping explicite vers les techniques ATT&CK : chaque technique offensive est liée à des contre-mesures D3FEND applicables. Moins mature qu'ATT&CK mais en évolution rapide.

05 — UsageComment utiliser ATT&CK en pratique

En SOC (Security Operations Center)

Cartographier les détections existantes sur les techniques ATT&CK.
Identifier les coverage gaps : techniques non couvertes par les détections actuelles.
Prioriser les investissements : focus sur les techniques les plus observées dans la menace actuelle.
Référencer les règles SIEM par ID ATT&CK pour traçabilité (ex. « détection de T1059.001 »).
Rapports incident structurés : décrire l'attaque avec les techniques observées.

En Threat Intelligence (CTI)

Profiler les groupes adverses : chaque groupe documenté a un set de techniques.
Partage d'information standardisé entre organisations (MISP, STIX avec taxonomie ATT&CK).
Threat modeling : quels groupes visent notre secteur, quelles techniques utilisent-ils.
Évolution temporelle : suivre les nouvelles techniques adoptées par les groupes d'intérêt.

Chez les éditeurs EDR / XDR

Les grands éditeurs mappent leurs détections sur ATT&CK :

SentinelOne, CrowdStrike, Microsoft Defender, Palo Alto Cortex XDR, Sophos, SentinelOne, Trend Micro : référencement systématique par ID ATT&CK.
MITRE Engenuity ATT&CK Evaluations : évaluations annuelles où MITRE teste les EDR contre des scénarios basés sur des groupes réels (APT29, Turla, OilRig, Sandworm…).
Ces évaluations influencent fortement le marché — les vendeurs communiquent leurs résultats.

Red teaming et adversary emulation

Atomic Red Team (Red Canary) : bibliothèque open source de tests atomiques pour chaque technique ATT&CK.
Caldera (MITRE) : plateforme d'automatisation de simulations adversariales.
Adversary Emulation Plans : scénarios MITRE qui simulent des groupes spécifiques (ex. plan FIN7, plan APT29).
Purple team exercises : rouge et bleue travaillent ensemble, référentiel commun ATT&CK.

Threat hunting

Chercher activement des traces de techniques spécifiques dans les logs :

Abus de binaires légitimes (LOLBins) : wmic, mshta, rundll32, regsvr32.
PowerShell obfusqué (T1059.001 + T1027).
Création de tâches planifiées (T1053).
Modifications de registre suspects (T1547.001 Run Keys).
Dumping LSASS (T1003.001).

Outils associés

ATT&CK Navigator : visualisation web de la matrice, annotations personnalisables, coloration par couverture. mitre-attack.github.io/attack-navigator.
CALDERA : plateforme d'automatisation adversariale open source.
DeTT&CT : mapping de data sources et détections.
Atomic Red Team : tests atomiques par technique.
Sigma rules : format générique de règles de détection souvent mappé ATT&CK.
STIX 2.x : format standard de partage CTI avec support ATT&CK.

Intégration conformité

NIST CSF : références à ATT&CK dans les fonctions Detect et Respond.
Rapports CISA : alertes systématiquement annotées ATT&CK.
Reporting ANSSI : bulletins CERT-FR incluent les techniques ATT&CK.
NIS2 : les rapports d'incidents gagnent en qualité avec une référence TTP commune.

06 — ComparaisonATT&CK vs Cyber Kill Chain

Cyber Kill Chain — Lockheed Martin 2011

Cadre linéaire en 7 phases :

Reconnaissance : collecte d'info sur la cible.
Weaponization : préparation du payload malveillant.
Delivery : livraison (email, USB, web).
Exploitation : déclenchement de la vulnérabilité.
Installation : installation du malware.
Command & Control : communication C2.
Actions on Objectives : objectif final (exfil, destruction).

Avantages : simple, communicable à des dirigeants, vision stratégique claire. Concept « briser la chaîne » (kill chain) intuitif — bloquer à n'importe quelle étape stoppe l'attaque.

Limites : trop linéaire pour des attaques modernes non séquentielles, trop peu granulaire pour le travail opérationnel, pensé dans un contexte de défense périmétrique daté.

Comparaison directe

Granularité : Kill Chain 7 phases, ATT&CK 14 tactiques × 200+ techniques.
Linéarité : Kill Chain linéaire strict, ATT&CK non-linéaire.
Public cible : Kill Chain = exécutifs, stratégie ; ATT&CK = SOC, CTI, red team.
Détection : Kill Chain orienté prévention, ATT&CK inclut détection et mitigation pour chaque technique.
Évolution : Kill Chain statique depuis 2011, ATT&CK mis à jour 2 fois/an.
Adoption : Kill Chain dominante dans contexte militaire et communication exec, ATT&CK dominante dans l'opérationnel cyber.

Les deux coexistent

Dans les organisations matures, les deux frameworks sont utilisés pour des publics différents :

Board / Direction : Kill Chain pour vulgariser.
SOC / CTI / Red team : ATT&CK pour l'opérationnel.
Rapports externes (press, régulateurs) : Kill Chain + éléments ATT&CK selon destinataire.

Autres frameworks à connaître

Unified Kill Chain (Paul Pols, 2017) : hybride Kill Chain + ATT&CK, 18 phases.
Diamond Model (Caltagirone et al., 2013) : 4 features (Adversary, Infrastructure, Capability, Victim), orienté CTI.
MITRE Engage : framework pour la decoy/deception.
MITRE D3FEND : contre-mesures défensives.

07 — FAQQuestions fréquentes

MITRE ATT&CK est-il vraiment gratuit ?

Oui, totalement. MITRE est une organisation à but non lucratif financée principalement par le gouvernement américain. Le framework est sous licence Apache 2.0. Utilisation commerciale, modification, intégration dans des produits : autorisées. Le site attack.mitre.org et mitre.org sont libres d'accès, tout le contenu est téléchargeable (STIX, JSON, Excel). Les outils associés (Navigator, CALDERA) sont open source sur GitHub. Seules les MITRE Engenuity ATT&CK Evaluations sont payantes pour les vendeurs qui veulent y participer — les résultats sont ensuite publiés publiquement.

À quelle fréquence ATT&CK est-il mis à jour ?

Versions majeures environ 2 fois par an (typiquement avril et octobre). Entre les versions, des mises à jour mineures peuvent apporter nouvelles techniques, sous-techniques, ou documentation de groupes récents. Chaque version est numérotée (v14, v15, v16...) et des notes de version détaillent les changements. Les outils doivent se synchroniser sur ces versions : changer de version peut nécessiter du re-mapping.

Quelle différence entre ATT&CK et CAPEC ?

CAPEC (Common Attack Pattern Enumeration and Classification) est un autre framework MITRE, plus ancien (2007), plus générique, plus orienté applicatif. Il liste les patterns d'attaque génériques (ex. « Buffer Overflow »). ATT&CK est plus orienté observé en nature, plus récent, plus opérationnel. Les deux coexistent mais ATT&CK a pris le dessus pour l'usage quotidien SOC/CTI. CAPEC reste utilisé pour analyse de vulnérabilités et ingénierie sécurisée. Liens croisés entre les deux existent.

Dois-je mapper toutes mes règles de détection sur ATT&CK ?

Oui pour les organisations matures — c'est devenu une bonne pratique standard. Avantages : visualisation de couverture sur la matrice, identification des gaps, communication avec autres équipes, benchmarking vs threat intelligence. Attention : ne pas confondre « avoir une règle sur chaque technique » avec « bien couvrir ». Certaines techniques sont détectées par plusieurs angles, d'autres sont structurellement difficiles à détecter (Living Off the Land). Priorité aux techniques les plus utilisées dans votre threat landscape spécifique (groupes visant votre secteur).

Peut-on utiliser ATT&CK pour former les équipes ?

Excellent usage. Supports disponibles : MITRE propose des formations gratuites en ligne (ATT&CK Fundamentals, Cyber Threat Intelligence using ATT&CK), partenariats avec SANS Institute. De nombreuses formations tierces intègrent ATT&CK (Offensive Security, BHIS). Certifications indirectes : MAD (MITRE ATT&CK Defender) par AttackIQ. Excellents cas pratiques : analyser un incident réel et le mapper sur ATT&CK, identifier les techniques d'un groupe spécifique, simuler un scénario avec Atomic Red Team. Format intuitif pour apprendre les fondamentaux de l'offensive sans avoir besoin d'être red teamer.

ATT&CK couvre-t-il les menaces IA ?

Partiellement et en évolution. L'intégration des menaces IA dans ATT&CK Enterprise s'enrichit, mais le framework principal dédié est MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems). ATLAS couvre : évasion de modèle, empoisonnement de données d'entraînement, prompt injection, extraction de modèle, attaques adversariales sur vision/NLP. Lancé en 2020-2021, enrichi régulièrement avec les menaces LLM. Structure similaire à ATT&CK (tactiques, techniques). Complément attendu pour les prochaines années à mesure que les attaques contre l'IA se systématisent.