false
Blogs Splunk
Blogs Splunk
Blogs Splunk
Learn
12 novembre 2024
 | 
11 min de lecture

MITRE ATT&CK : le guide complet

Nos cyberadversaires semblent toujours avoir une longueur d’avance sur nous. La grande passion des acteurs malveillants : essayer de nouvelles tactiques et techniques pour cibler leurs victimes et atteindre leurs sombres objectifs.

Aujourd’hui, n’importe qui peut être victime d’une cyberattaque, et ce, à tout moment. Le framework MITRE ATT&CK veut être un phare dans la nuit : il vous aide à évaluer vos mesures de sécurité actuelles et à renforcer les mécanismes de sécurité des appareils et des terminaux contre des cybermenaces en constante évolution.

Cet article présente MITRE ATT&CK et son histoire, ainsi qu’une vue d’ensemble de ses matrices et de leurs différents composants. Et naturellement, nous examinerons les différents cas d’usage du framework ATT&CK.

Qu’est-ce que MITRE ATT&CK ?

MITRE ATT&CK est un catalogue complet et gratuit de tactiques, techniques et procédures (TTP) employées par les acteurs malveillants. Les informations qu’il fournit n’ont rien de théorique : elles reposent sur des méthodes qui ont été réellement utilisées par des pirates pour mener des attaques.

Ce framework est maintenu par The MITRE Corporation, un organisme à but non lucratif riche de plusieurs décennies d’histoire, qui soutient aujourd’hui les entreprises, les administrations et l’enseignement supérieur. Le nom « MITRE ATT&CK » est composé du nom de l’organisme et d’un acronyme anglais signifiant Tactiques et techniques adverses et connaissances communes.

MITRE ATT&CK vise à élaborer des modèles de menace spécifiques. Le framework aborde plusieurs secteurs : entreprises, administrations et services de cybersécurité. MITRE détaille les tactiques employées par les adversaires et propose des techniques pour les détecter et les éliminer. Les matrices de tactiques et de techniques que l’on trouve dans la base de connaissances MITRE ATT&CK concernent les environnements mobiles, les entreprises et les systèmes de contrôle industriel (ICS).

L’histoire de MITRE ATT&CK

La MITRE Corporation a lancé le projet ATT&CK en 2013 pour recenser les comportements malveillants après une compromission. En 2015, MITRE a publié la matrice ATT&CK, contenant des tactiques et des techniques pour les systèmes d’entreprise et en particulier Windows. 

Au cours des années qui ont suivi, le projet a pris de l’ampleur pour couvrir macOS, Linux et les environnements cloud. En 2019, le catalogue s’est encore élargi et a accueilli des matrices de tactiques et techniques applicables aux systèmes de contrôle industriel (ICS). MITRE a également introduit ATT&CK pour mobile, qui couvre les systèmes d’exploitation iOS et Android.

Aujourd’hui, le framework MITRE ATT&CK continue d’évoluer en recevant des mises à jour et en s’enrichissant de nouvelles techniques, toujours sur la base des recherches et des informations les plus récentes. 

Matrices du framework ATT&CK

Le framework MITRE ATT&CK comprend actuellement trois matrices ATT&CK :

  • Enterprise,
  • Mobile,
  • Industrial Control Systems (ICS).

Chaque matrice est organisée en colonnes correspondant aux tactiques employées par les adversaires. Sous chaque tactique, les lignes de la matrice présentent un ensemble de techniques connexes, éventuellement détaillées en sous-techniques. Cette organisation ne produit pas réellement une matrice à proprement parler. Les éléments sont plutôt présentés sous forme de tableau à plusieurs niveaux hiérarchiques.

Sur le site web de l’organisme, vous trouverez une version abrégée de chaque matrice. Chaque technique peut être développée pour détailler les sous-techniques associées.  Voici un aperçu de la matrice ATT&CK pour les entreprises :

Composants de la matrice ATT&CK

Chaque matrice possède trois composants principaux : tactiques, techniques et sous-techniques. Chaque tactique, technique et sous-technique possède un identifiant unique dans cette organisation. 

Tactiques

La tactique est la raison qui justifie l’emploi des techniques et sous-techniques choisies par l’adversaire. Autrement dit, elle explique pourquoi il utilise telle ou telle technique pour viser le système cible.  Voici quelques exemples :

  • Dans la tactique « Évitement des mécanismes de défense », l’objectif de l’adversaire est d’échapper à toute détection.
  • Dans la tactique « Accès aux identifiants », l’objectif de l’adversaire est de dérober des informations d’identification (nom d’utilisateur et mot de passe) pour obtenir l’accès aux systèmes. 

Les matrices Enterprise et Mobile comprennent 14 tactiques, tandis que la matrice ICS en contient 12. Ces trois environnements partagent une grande partie de ces tactiques : on retrouve les techniques d’accès initial, d’exécution, de déplacement latéral et d’impact dans les trois matrices.

Le framework indique le nombre de techniques sous chaque tactique, et chaque technique précise le nombre de sous-techniques associées. Au moment de la publication de cet article, on recense au total 14 tactiques dans la matrice Enterprise :

  1. Reconnaissance : TA0043 (10 techniques)
  2. Développement de ressources : TA0042 (8 techniques)
  3. Accès initial : TA0001 (9 techniques)
  4. Exécution : TA0002 (14 techniques)
  5. Persistance : TA0003 (19 techniques)
  6. Acquisition de privilèges : TA0004 (13 techniques)
  7. Évitement des mécanismes de défense : TA0005 (42 techniques)
  8. Accès aux identifiants : TA0006 (17 techniques)
  9. Découverte : TA0007 (31 techniques)
  10. Déplacement latéral : TA0008 (9 techniques)
  11. Collecte : TA0009 (17 techniques)
  12. Commande et contrôle : TA0011 (16 techniques)
  13. Exfiltration : TA0010 (9 techniques)
  14. Impact : TA0040 (13 techniques)

(Découvrez en quoi ATT&CK se distingue de la Cyber Kill Chain.)

Techniques

Les techniques sont les méthodes employées par les adversaires pour mettre en œuvre leur tactique ou atteindre leur objectif. Autrement dit, les techniques décrivent comment l’adversaire va exécuter sa tactique.

Prenons pour exemple la tactique de reconnaissance. Dans ce contexte, l’objectif de l’adversaire est de recueillir des informations sur une cible donnée, en vue de planifier des attaques ultérieures. Pour mettre en œuvre la tactique de reconnaissance, il va employer des techniques comme le balayage actif, la détection des blocs d’adresses IP et la découverte des vulnérabilités.

Le framework MITRE ATT&CK offre une définition ou un aperçu de chaque technique. Il propose ensuite des exemples de procédures et d’implémentations réelles de ces techniques. Chaque exemple de procédure s’accompagne d’informations utiles :

  • description de la procédure,
  • techniques employées,
  • groupes qui utilisent ce logiciel,
  • campagnes.

Chaque technique est accompagnée d’une liste de méthodes d’atténuation et de détection utilisables avec les composants de données des utilisateurs. Vous trouverez également des informations supplémentaires sur les plateformes vulnérables à la technique et les personnes qui ont contribué à alimenter la base de connaissances. 

Sous-techniques

Certaines techniques se divisent en plusieurs sous-techniques, mais ce n’est pas le cas de toutes.  Par exemple, les techniques de phishing employées par les adversaires peuvent être réparties en trois types : pièce jointe, lien et service de phishing ciblé.

Comme pour les techniques, la page de chaque sous-technique fournit des exemples de procédures ainsi que des méthodes d’atténuation et de détection. 

En consultant des tactiques spécifiques, l’utilisateur peut acquérir une vision détaillée des différentes techniques et sous-techniques associées, ainsi que des méthodes d’atténuation et de prévention. 

Documentation complémentaire de MITRE ATT&CK

Outre les trois composants de matrice que nous venons de décrire, le framework MITRE ATT&CK met également à la disposition de la communauté une documentation distincte sur de nombreux sujets.

Sources de données

Les sources de données décrivent les informations que vous pouvez obtenir des capteurs et des logs. Le document Data Sources présente brièvement des composants de données et les éléments qui peuvent être supervisés, collectés et détectés à l’aide de chaque source.

Par exemple, dans la catégorie de source « Application Logs », les entreprises peuvent utiliser les logs d’audit des boîtes de réception pour détecter les modifications des dossiers et identifier les domaines qui ont été compromis. 

Groupes

Les « Groups » réunissent les noms courants donnés par les experts à des groupes malveillants ou actifs.  Il arrive en effet que le nom donné au même groupe varie d’un expert à l’autre, même si le comportement observé est toujours le même.

L’équipe MITRE ATT&CK suit ces dénominations pour faire les recoupements nécessaires. Pour chaque groupe, la documentation fournit différentes informations : description courte, techniques utilisées et logiciel.  

Logiciel

La mention du logiciel précise l’ensemble de techniques qu’il utilise actuellement (selon des observations réalisées) ou qu’il pourrait employer. Si un groupe est connu pour utiliser un logiciel particulier, il sera relié ou « mappé » au logiciel en question. Cette section décrit les différents types de logiciels à la disposition des acteurs malveillants et des défenseurs. 

campagnes.

La page Campaigns recense les activités en ligne qui poursuivent un même objectif pour des cibles spécifiques. L’équipe donnera une étiquette unique en l’absence de nom spécifique pour ces activités. Lorsque le nom change en fonction des personnes ou des signalements, l’équipe mentionne des « Associated Campaigns » sur la page, en espérant que les chercheurs pourront établir le lien. 

Elle peut également relier ces campagnes à des groupes ou des logiciels spécifiques si des signalements publics vont dans ce sens. Elle décrit enfin toutes les techniques connues employées dans une campagne, en précisant comment ces informations ont été obtenues. 

Scénarios d’utilisation du framework MITRE ATT&CK

Votre organisation peut mettre à profit les informations du framework MITRE ATT&CK de différentes façons. Voyons quelques exemples pratiques.

Identifier les angles morts de la sécurité

Vous pouvez tout à fait utiliser ce framework pour évaluer l’efficacité de vos mécanismes de sécurité existants face à des tactiques et des techniques connues. Cette évaluation va révéler les lacunes et les vulnérabilités de votre structure ; vous saurez ainsi dans quels domaines vous devez renforcer votre sécurité.

Votre entreprise devra hiérarchiser ces différents points en fonction de son secteur d’activité, de ses activités, de son appétit pour le risque et de sa tolérance au risque.

Obtenir de la threat intelligence

Utilisez ensuite le framework pour collecter de la threat intelligence, c’est-à-dire des informations sur des groupes malveillants spécifiques et les familles de malware associées. Les entreprises peuvent conserver des informations à jour sur les adversaires en rapprochant le comportement de groupes malveillants spécifiques à la matrice ATT&CK.

C’est également une méthode intégrée et normalisée de décrire et de catégoriser les comportements malveillants. Vous n’aurez plus besoin d’inventer votre propre jargon pour décrire les différentes TTP.

Recherche des menaces

MITRE ATT&CK est une base de connaissances complète sur les TTP adversaires connues, ce qui en fait un outil de choix pour la recherche des menaces. Une matrice ATT&CK peut servir de base à la création de processus de recherche : élaboration d’une hypothèse, hiérarchisation, collecte des données et documentation. 

(Découvrez le modèle PEAK de recherche des menaces ou apprenez à traquer les menaces avec Splunk.)

Étude

Pour les chercheurs en sécurité, le framework offre un moyen normalisé de nommer, décrire et catégoriser les comportements adverses. D’autre part, les chercheurs peuvent identifier les lacunes et les domaines méritant une investigation plus approfondie en explorant et en étudiant la matrice ATT&CK, et ainsi découvrir de nouvelles pistes d’amélioration.

Équipes rouges

Les équipes rouges mettent la posture de sécurité d’une organisation à l’épreuve en simulant des comportements adverses. Elles peuvent sélectionner le profil d’un acteur malveillant spécifique dans le framework et reproduire son comportement. En s’appuyant sur le framework, elles s’assurent que leur attaque ressemble étroitement aux scénarios réels.

Les entreprises qui utilisent le framework MITRE ATT&CK dans leurs exercices de simulation comprennent mieux les points forts et les faiblesses de leurs défenses.

(La couleur compte : sachez faire la différence entre les équipes rouges, les équipes bleues et même les équipes violettes.)

Formation de sécurité

Les entreprises performantes savent que MITRE ATT&CK est la meilleure référence pour former les équipes de sécurité et leur donner des connaissances complètes sur les différentes techniques et tactiques d’attaque. 

La meilleure défense, c’est l’ATT&CK

MITRE ATT&CK fournit une documentation complète pour comprendre les cyberattaques sophistiquées et s’en prémunir. Comme les adversaires perfectionnent quotidiennement leurs tactiques, cet outil est indispensable pour mettre en œuvre une défense proactive. Il fournit des informations éclairées qui vous aident à renforcer votre résilience face aux adversaires actuels et émergents. 


Une erreur à signaler ? Une suggestion à faire ? Contactez-nous à l’adresse ssg-blogs@splunk.com.


Cette publication ne représente pas nécessairement la position, les stratégies ou l’opinion de Splunk.

Articles connexes

Learn 17 min de lecture

Cycle de vie du développement logiciel (SDLC) : introduction
Cet article de blog s’intéresse au cycle de vie du développement logiciel (SDLC), sa terminologie, les bonnes pratiques qui l’entourent et d’autres aspects.
Learn 10 min de lecture

Maintenance prédictive : une brève introduction
Dans cet article de blog, nous nous intéressons à l’importance de la maintenance prédictive et à ses liens avec les autres approches de la maintenance.
Learn 6 min de lecture

Services gérés et services professionnels
Services gérés et services professionnels : choisissez la bonne solution IT pour votre entreprise. Cernez les différences pour prendre une décision éclairée.

À propos de Splunk

La plateforme Splunk élimine les obstacles qui séparent les données de l'action, pour donner aux équipes d'observabilité, d'IT et de sécurité les moyens de préserver la sécurité, la résilience et le pouvoir d'innovation de leur organisation.

Fondée en 2003, Splunk est une entreprise internationale. Ses plus de 7 500 employés, les Splunkers, ont déjà obtenu plus de 1 020 brevets à ce jour, et ses solutions sont disponibles dans 21 régions du monde. Ouverte et extensible, la plateforme de données Splunk prend en charge les données de tous les environnements pour donner à toutes les équipes d'une entreprise une visibilité complète et contextualisée sur l'ensemble des interactions et des processus métier. Splunk, une base solide pour vos données.
lire Light
En savoir plus sur Splunk
ENTREPRISE
ENTREPRISE
PRODUITS
PRODUITS
SITES SPLUNK
SITES SPLUNK
CONTACTER SPLUNK
CONTACTER SPLUNK
TÉLÉCHARGER SPLUNK MOBILE - App Store
TÉLÉCHARGER SPLUNK MOBILE - Google Play

© 2005 - 2025 Splunk LLC Tous droits réservés.

Domaine juridique
Confidentialité
Plan du site
Conditions d'utilisation du site web

© 2005 - 2025 Splunk LLC Tous droits réservés.