AccueilGlossaire › MITRE ATT&CK

MITRE ATT&CK

Sécurité

Base de connaissances mondiale des tactiques et techniques d'adversaires observés.

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissances open source créée par MITRE en 2013 qui documente exhaustivement les TTPs (Tactics, Techniques, Procedures) utilisés par les attaquants réels dans le monde, basée sur des observations terrain et la threat intelligence publique. Devenue le standard de facto de l'industrie pour parler de menaces et structurer la défense.

Structure : organisée en matrices par domaine — Enterprise (Windows, Linux, macOS, cloud SaaS/IaaS/PaaS, network, containers), Mobile (iOS, Android), ICS (systèmes industriels). Enterprise v15 (2024) contient 14 Tactics (objectifs : Reconnaissance, Resource Development, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration, Impact) et ~200 Techniques avec ~400 sous-techniques. Chaque technique a un ID (T1078, T1059.001, etc.), une description, des sources de détection, des mitigations, et des exemples d'usage par groupes connus.

Groupes d'adversaires documentés : ~150 groupes (APT28 Fancy Bear, APT29 Cozy Bear, Lazarus, Sandworm, Conti, LockBit, FIN7, etc.) avec leurs techniques associées, leurs malwares (Software), leurs campaigns.

Outils complémentaires : (1) ATT&CK Navigator — visualisation des matrices avec coloration (couverture de détection, techniques d'un groupe) ; (2) ATT&CK Workbench — pour personnaliser et étendre ; (3) DeTT&CT, CAR (Cyber Analytics Repository) — analytics rules mappées ATT&CK ; (4) MITRE Engage (anciennement Shield) — counter-deception ; (5) MITRE D3FEND — taxonomie défensive miroir.

Usages : (1) threat hunting ("chasser T1003.001 LSASS Memory") ; (2) gap analysis — quel pourcentage de la matrice est couvert par mes detections ; (3) red team — choisir des TTPs à simuler ; (4) purple team — collaboration ; (5) reporting cyber threat intelligence ; (6) sélection de produits sécurité (vendors mappent leurs detections sur ATT&CK). Toute personne en cybersécurité moderne doit connaître ATT&CK.

Certifications qui couvrent ce concept
SC-200 CySA+ CISSP CEH
Termes liés
TTP (Tactics, Techniques, Procedures) IoC (Indicator of Compromise) Threat Hunting MITRE D3FEND

Préparez vos certifications IT gratuitement

200+ certifications, 400 000+ questions, examens blancs chronométrés.

Voir le catalogue →
← Retour au glossaire