TTP (Tactics, Techniques, Procedures)

Les TTP (Tactics, Techniques, Procedures) sont un concept de threat intelligence introduit par le DoD pour modéliser le comportement des adversaires à trois niveaux d'abstraction. C'est le sommet de la "Pyramid of Pain" : changer ses TTPs coûte énormément à un attaquant car cela demande de modifier sa façon d'opérer fondamentalement, là où changer un hash ou une IP est trivial.

Les trois niveaux : (1) Tactics — le "pourquoi", l'objectif tactique de l'adversaire à une étape donnée de la kill chain (Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration, Impact dans MITRE ATT&CK) ; (2) Techniques — le "comment", la méthode utilisée pour atteindre la tactic (ex: T1078 Valid Accounts, T1059 Command and Scripting Interpreter) ; (3) Procedures — l'"implémentation spécifique", les détails exacts utilisés par un acteur précis (ex: APT29 utilise PowerShell encodé en base64 avec sleep aléatoire entre 30-300s).

MITRE ATT&CK est le framework de référence pour cataloguer les TTPs des adversaires : 14 tactics, ~200 techniques, ~400 sous-techniques (Enterprise Matrix v15.1), avec des dizaines de groupes d'attaquants documentés (APT28, APT29, FIN7, Conti, LockBit, etc.) et leurs procedures associées.

Usage opérationnel : (1) threat hunting — chasser les TTPs au lieu d'IOCs éphémères ; (2) gap analysis de détection — couverture MITRE ATT&CK Navigator vs ses outils ; (3) red team / purple team — simuler des TTPs d'un acteur spécifique (Atomic Red Team, CALDERA) ; (4) attribution — corréler TTPs observés avec acteurs connus (toujours avec prudence — les TTPs sont copiées) ; (5) detection engineering — créer des règles Sigma/KQL basées sur TTPs ; (6) reporting — communiquer en business language sur la menace.

Le modèle Diamond (Caltagirone) ajoute l'angle adversaire-capacité-infrastructure-victime, complémentaire aux TTPs.