MITRE ATT&CK
Base de connaissances ouverte qui cartographie les tactiques, techniques et procédures (TTPs) utilisées par les attaquants observés sur le terrain. Référence mondiale pour structurer la détection, le threat hunting et l'évaluation des contrôles de sécurité.
Ce qu’est MITRE ATT&CK
MITRE ATT&CK est une base de connaissances maintenue par MITRE Corporation depuis 2013 qui décrit, de manière systématique, comment les attaquants procèdent dans le monde réel. Le framework distingue :
- Tactiques — les objectifs intermédiaires d’un attaquant (reconnaissance, accès initial, exécution, persistance, élévation de privilèges, évasion défensive, accès aux identifiants, découverte, mouvement latéral, collecte, exfiltration, impact).
- Techniques — les moyens employés pour atteindre une tactique (par exemple « Phishing — Spearphishing Link » pour l’accès initial).
- Procédures — les implémentations concrètes observées chez tel ou tel groupe.
Pourquoi c’est utile
Un attaquant compétent ne suit pas un seul outil — il suit une stratégie. Catégoriser ses comportements en TTPs permet de :
- Construire des règles de détection comportementales plutôt que par signature.
- Évaluer la couverture défensive (quelles techniques détectons-nous ? lesquelles pas ?).
- Communiquer entre équipes (SOC, IR, threat intelligence) avec un vocabulaire commun.
- Comparer des solutions de sécurité sur un référentiel partagé (cf. évaluations MITRE ATT&CK contre EDR).
ATT&CK chez Hexceos
Notre EDR/XDR Hexceos Sentinel mappe ses détections sur MITRE ATT&CK en temps réel. Notre SOC utilise le framework pour structurer le threat hunting et présenter les rapports d’incidents de manière lisible côté CODIR.
Dernière mise à jour : 19 mai 2026