MITRE ATT&CK: Le Guide Complet

Les équipes de cybersécurité du monde entier s’appuient sur le cadre MITRE ATT&CK® pour protéger leurs actifs les plus critiques face aux méthodes utilisées par les cybercriminels et les groupes d’attaquants.
Basée sur des observations réelles d’intrusions, cette base de connaissances aide les professionnels de la sécurité à comprendre les comportements adverses — depuis l’accès initial jusqu’au vol de données ou à la perturbation des systèmes.

En offrant un langage commun et une structure partagée, MITRE ATT&CK® transforme la manière dont les organisations appréhendent la défense : elle permet de passer d’une approche réactive à une stratégie proactive et comportementale, centrée sur la détection et l’anticipation des menaces.

Melissa Parsons

Un article de

Melissa Parsons
Rédactrice technique
Publié le
July 10, 2024
mis à jour le
October 15, 2025
temps
min
mitre attack cyber attack

Qu’est-ce que le cadre MITRE ATT&CK ® ?

MITRE ATT&CK® (Adversarial Tactics, Techniques and Common Knowledge) est une base de connaissances qui aide à modéliser les tactiques et techniques utilisées par les cyber-adversaires afin d’améliorer les systèmes et contrôles de sécurité.

Le cadre ATT&CK repose sur des observations réelles : il permet aux professionnels de la cybersécurité et de la sécurité de l’information de comprendre les comportements des cyber-attaquants, depuis l’accès initial jusqu’au vol de donnéeset à la perturbation des systèmes.

Il s’agit essentiellement d’une encyclopédie communautaire, libre et open source, répertoriant les comportements et activités des cybercriminels et groupes d’attaquants une fois qu’ils ont pénétré un système.
Des défenseurs travaillant dans la cybersécurité soumettent leurs observations à ATT&CK ; celles-ci sont ensuite ajoutées au référentiel.

Souvent, différentes équipes de sécurité utilisent des termes distincts pour décrire les mêmes comportements adverses. Le cadre ATT&CK fournit donc un langage commun, facilitant la communication entre équipes, entre unités métiers et à l’échelle mondiale.

Nous aborderons les aspects techniques des tactiques, techniques et procédures qui composent le cadre ATT&CK après un détour par les origines de la MITRE Corporation et la genèse du projet ATT&CK.

Les origines militaires de MITRE

La MITRE Corporation a été créée en 1958 comme centre de réflexion militaire destiné à renforcer la défense des États-Unis durant la Guerre froide.
Sa création fut motivée par la volonté de l’US Air Force de rapprocher la recherche académique et l’industrie de défense.
Cette initiative s’inscrivait dans le contexte de la crise de Berlin : à l’époque, le Premier ministre soviétique Nikita Khrouchtchev exigeait le retrait des forces américaines, britanniques et françaises de Berlin-Ouest.

L’une des réalisations clés de cette collaboration public-privé fut le SAGE (Semi-Automatic Ground Environment) – un système révolutionnaire utilisant de puissants ordinateurs et des équipements de surveillance avancés pour collecter les données issues de radars répartis sur le territoire américain, produisant ainsi une vue unifiée et en temps réel de l’espace aérien national.
SAGE fut le premier système de défense aérienne du pays, supervisant la réponse de la NORAD à une éventuelle attaque soviétique.

Aujourd’hui, la MITRE Corporation a élargi ses activités de recherche et développement aux domaines de la défense et du renseignement, de la sécurité intérieure, de l’aviation, des systèmes civils, de la justice et de la santé.
Le cadre ATT&CK est le résultat direct de ces programmes de R&D.

Le projet FMX – les origines d’ATT&CK

Le cadre MITRE ATT&CK® trouve son origine dans un projet de recherche appelé FMX (Fort Meade eXperiment) lancé en 2010.

FMX constituait un véritable laboratoire vivant : les chercheurs y avaient accès à une enclave de production du réseau interne de MITRE, où ils pouvaient déployer des outils, effectuer des tests et découvrir de nouvelles méthodes de détection.

Les chercheurs ont mené des exercices red team / blue team, centrés sur la détection des menaces APT (Advanced Persistent Threats), en adoptant une approche fondée sur la mentalité « assume breach » – autrement dit, considérer la compromission comme acquise pour améliorer la détection post-intrusion.

L’un des objectifs du projet était de renforcer la détection après compromission en exploitant la télémétrie des terminaux et l’analyse comportementale.

FMX a ensuite classé les comportements observés dans divers groupes adverses ; ces informations ont été réutilisées lors d’exercices et de cyber-jeux internes, jetant les bases du futur modèle ATT&CK.

Le modèle ATT&CK 2013 – 2024

  • 2013 : première version du modèle ATT&CK, centrée sur l’environnement Windows Enterprise.
  • 2015 : publication publique basée sur Windows Enterprise ; cette version comportait 96 techniques et 9 tactiques.
  • 2017 : sortie d’ATT&CK for Enterprise, incluant les matrices pour macOS, Linux et Windows ; lancement d’ATT&CK for Mobile.
  • 2019 : ajout des techniques Cloud dans la version Enterprise.
  • 2020 : publication d’ATT&CK for ICS (Industrial Control Systems).
  • 2024 : sortie d’ATT&CK v15.

Le cadre ATT&CK

La théorie à la base du cadre MITRE ATT&CK® repose sur une idée simple : les acteurs malveillants ont des routines.
Leurs comportements, ou patterns d’attaque, se répètent encore et encore.
Les TTP (Tactics, Techniques and Procedures) constituent donc le point idéal pour détecter les adversaires, car même si leurs outils changent, leurs comportements fondamentaux restent similaires.

Une image contenant texte, capture d’écran, Police, menuLe contenu généré par l’IA peut être incorrect.

Les composants fondamentaux du modèle ATT&CK

Selon le document de recherche publié par MITRE en 2020, “ATT&CK Design and Philosophy”, le cadre ATT&CK est un modèle comportemental structuré autour de plusieurs éléments centraux :

  • Tactiques : décrivent les objectifs tactiques à court terme d’un adversaire au cours d’une attaque.
    → Exemple : maintenir un accès persistant, élever ses privilèges ou exfiltrer des données.
  • Techniques : décrivent les méthodes générales employées par les attaquants pour atteindre ces objectifs.
    → Exemple : création de tâches planifiées, exploitation d’un service système, ou injection de code.
  • Sous-techniques : détaillent les variations spécifiques d’une technique, offrant un niveau de granularité plus fin.
    → Exemple : T1053.005 – Scheduled Task Creation.
  • Procédures : documentent la manière exacte dont un groupe d’attaque ou un malware met en œuvre une technique donnée.
    Ces procédures sont accompagnées de métadonnées : contexte, systèmes concernés, outils utilisés, et liens vers les rapports de renseignement sur la menace.

Les matrices ATT&CK selon les environnements

Le cadre MITRE ATT&CK se décline en plusieurs matrices, adaptées à différents types d’environnements et de plateformes :

  • Enterprise Matrix : couvre les environnements d’entreprise traditionnels — Windows, macOS, Linux — mais aussi les environnements Cloud (AWS, Azure, GCP, SaaS), les réseaux et les conteneurs.
  • Mobile Matrix : dédiée aux systèmes Android et iOS, elle décrit les techniques spécifiques aux appareils mobiles et à leurs écosystèmes.
  • ICS Matrix (Industrial Control Systems) : conçue pour les environnements industriels et SCADA, elle prend en compte les particularités des systèmes OT et des infrastructures critiques.

Chaque matrice regroupe les tactiques et techniques propres à son domaine, permettant aux équipes de défense de se concentrer sur les menaces pertinentes pour leur infrastructure.

Pourquoi la structure ATT&CK est essentielle à l’analyse des menaces

Cette organisation par tactiques et techniques offre une vue systémique des attaques.
Les analystes peuvent ainsi :

  • Cartographier les activités malveillantes observées à chaque étape d’une intrusion ;
  • Identifier les lacunes de couverture dans leurs contrôles de sécurité ;
  • Évaluer la maturité de détection par rapport à chaque tactique ;
  • Prioriser les investissements de sécurité selon les menaces les plus réalistes.

Grâce à cette approche, ATT&CK transforme la cyber threat intelligence en actions concrètes : chaque alerte, chaque artefact, chaque flux réseau suspect peut être replacé dans une logique de tactique et de technique adversaire.

Comment mettre en œuvre le cadre MITRE ATT&CK

Cas d’usage

Le cadre MITRE ATT&CK® n’est pas seulement une référence : c’est un outil de référence dynamique.
Les organisations l’utilisent à différentes étapes de leur cycle de sécurité pour renforcer la détection, la réponse et la résilience.

Voici les principaux cas d’usage du cadre :

1. Émulation d’adversaires

Les équipes Red Team reproduisent les comportements connus d’acteurs de la menace (basés sur les TTPs ATT&CK) afin de tester les capacités de détection et de réponse de leur organisation.

Ces exercices permettent d’évaluer la posture défensive en conditions réelles et de s’assurer que les équipes de sécurité peuvent identifier et contrer des techniques adverses observées dans le monde réel.

2. Détection comportementale et Threat Hunting

Les équipes Blue Team et les ingénieurs en détection utilisent ATT&CK pour construire des analyses comportementales capables d’identifier les activités suspectes correspondant aux techniques de la matrice.

Cette approche, centrée sur le comportement, permet de détecter des menaces inconnues ou sans signature, en se basant sur des schémas d’activité cohérents avec les tactiques adverses plutôt que sur de simples indicateurs techniques.

3. Analyse des écarts de défense (Defensive Gap Assessment)

En superposant leurs contrôles de sécurité à la matrice via ATT&CK Navigator, les équipes de sécurité peuvent visualiser quelles techniques adverses sont détectées, prévenues ou non couvertes.

Cette approche permet d’identifier les zones de faiblesse dans les capacités de défense, d’orienter les investissements de sécurité et de prioriser les actions d’amélioration.

4. Évaluation de la maturité du SOC (SOC Maturity Assessment)

MITRE ATT&CK offre une manière structurée d’évaluer la maturité du SOC (Security Operations Center) en fonction des tactiques de la matrice – par exemple Lateral Movement ou Command and Control.

Les équipes mesurent ainsi la couverture de détection existante, la comparent aux tactiques adverses et peuvent planifier des objectifs d’amélioration mesurables au fil du temps.

5. Enrichissement du renseignement sur les menaces (Cyber Threat Intelligence Enrichment)

Les équipes de Cyber Threat Intelligence (CTI) associent les groupes d’attaquants et leurs campagnes aux techniques spécifiques d’ATT&CK, reliant ainsi de nouveaux indicateurs (malwares, outils, infrastructures) à des comportements déjà documentés.

Cette approche renforce la compréhension des TTPs adverses et enrichit le renseignement global sur la menace, tout en facilitant le partage de connaissances au sein de la communauté cybersécurité.

Outils et plateformes prenant en charge MITRE ATT&CK®

MITRE et la communauté élargie mettent à disposition plusieurs outils qui rendent ATT&CK exploitable dans la pratique :

🔹 ATT&CK Navigator – permet de visualiser la couverture de sécurité et de créer des cartes thermiques personnalisées pour votre environnement.

🔹 MITRE CAR (Cyber Analytics Repository) – propose des analyses et requêtes prêtes à l’emploi pour détecter les techniques ATT&CK.

🔹 ATT&CK Workbench – permet d’héberger une instance privée d’ATT&CK, de personnaliser les groupes et campagnes, et de gérer des bases de connaissances internes.

Intégrations SIEM et EDR

  • Splunk Enterprise Security – inclut des tableaux de bord intégrés ATT&CK et des mises à jour de contenu spécifiques.
  • IBM QRadar – offre un mappage des règles et des flux d’investigation basés sur les tactiques ATT&CK.
  • Elastic Security – fournit des détections alignées sur ATT&CK et des visualisations chronologiques des événements.
  • Microsoft Sentinel – propose des règles analytiques et des workbooks alignés sur ATT&CK.

Ces intégrations garantissent que les alertes de sécurité sont automatiquement contextualisées dans la matrice ATT&CK, ce qui simplifie les investigations et accélère la réponse aux incidents.

Intégrer ATT&CK dans une stratégie de cybersécurité

Un programme de cybersécurité mature utilise MITRE ATT&CK® non seulement pour l’analyse post-incident, mais aussi pour la conception stratégique de la défense.

1.        Identifier les menaces pertinentes

Analysez les renseignements sur les menaces afin de comprendre quels groupes APT et quelles tactiques, techniques et procédures (TTPs) ciblent votre secteur d’activité.

2.        Évaluer l’exposition et les actifs critiques

Cartographiez vos systèmes et données les plus sensibles, c’est-à-dire ceux qui sont les plus susceptibles d’être exploités par un adversaire.
Identifiez les points d’entrée potentiels ou les dépendances qui pourraient être utilisés comme vecteurs d’attaque.

3. Prioriser les techniques

Adoptez une approche fondée sur le risque : évaluez la probabilité qu’une technique soit utilisée et son impact potentiel, puis concentrez-vous sur les contrôles capables de couvrir plusieurs techniques simultanément.

4.        Renforcer les contrôles préventifs

Mettez en œuvre des standards de durcissement (CIS), segmentez les réseaux, appliquez une gestion stricte des privilèges, maintenez un programme de correctifs régulier, et contrôlez la configuration de vos environnements cloud.

5.        Améliorer la détection et la réponse

Développez des cas d’usage SIEM et des règles de détection EDR/XDR alignés sur ATT&CK.Déployez des honeypots ou honeytokens et des technologies de tromperie (deception) pour détecter les mouvements latéraux.

6. Améliorer en continu

Organisez des exercices red team, blue team et purple team, simulez des scénarios ATT&CK, et intégrez les enseignements tirés dans vos capacités de détection et vos playbooks de réponse.

En adoptant ATT&CK comme couche unificatrice entre la prévention, la détection et la réponse, les organisations progressent vers une défense adaptative et fondée sur le renseignement.

Téléchargez le livre blanc EBIOS RM × FAIR

Apprenez à intégrer l'impact financier et les probabilités dans votre analyse EBIOS RM à l'aide de FAIR.

Obtenez le livre blanc

Contactez C-Risk

Souhaitez-vous évaluer la maturité de votre organisation face aux techniques du cadre MITRE ATT&CK® ? Nos experts C-Risk peuvent vous aider à mettre en œuvre une stratégie de défense alignée sur les bonnes pratiques ATT&CK et basée sur une approche par le risque.

Contactez-nous

Conclusion

Le cadre MITRE ATT&CK® est bien plus qu’un simple catalogue de techniques d’attaque : c’est une fondation stratégique pour bâtir des programmes de sécurité résilients et fondés sur les comportements.

En intégrant ATT&CK dans la modélisation des menaces, la réponse aux incidents et la gestion des risques, les organisations passent d’une défense statique à une cybersécurité dynamique et proactive.

FAQ

En quoi MITRE ATT&CK diffère-t-il de la Cyber Kill Chain ?

La Cyber Kill Chain décrit les attaques sous la forme d’une séquence linéaire en sept étapes. MITRE ATT&CK, au contraire, offre une approche plus souple et granulaire, articulée autour de 14 tactiques et de centaines de techniques qui peuvent survenir de manière non linéaire ou répétée. ATT&CK se concentre principalement sur les comportements post-compromission.

MITRE ATT&CK peut-il être utilisé dans les environnements cloud ou IoT ?

Oui. MITRE a étendu le cadre ATT&CK pour couvrir les environnements Cloud (AWS, Azure, GCP, SaaS) ainsi que les systèmes de contrôle industriel (ICS). Cela garantit sa pertinence dans les architectures hybrides modernes et les infrastructures connectées.

Comment une petite organisation peut-elle commencer à utiliser ATT&CK ?

Commencez modestement : identifiez les 5 à 10 techniques les plus utilisées contre votre secteur d’activité, cartographiez vos contrôles existantsdans ATT&CK Navigator, et priorisez les gains rapides tels que la centralisation des journaux et le durcissement des configurations. Vous pourrez ensuite étendre progressivement votre couverture à mesure que votre maturité augmente.

Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

En savoir plus

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.

Voir tous les articles
cyberattaque - C-Risk

Cyberattaques : comment les identifier et se protéger efficacement ?

Découvrez des exemples courants de cyberattaques et apprenez les stratégies clés que les entreprises peuvent utiliser pour se protéger contre les menaces, minimiser les risques et sauvegarder les données sensibles.

Lydie Aubert

June 18, 2021

C-Risk est un expert reconnu dans la quantification des risques cyber selon la méthodologie FAIR™. Nous proposons des solutions de CRQ, des services de conseil et des formations à la quantification des risques.

Ne rien manquer

Restez au courant de l'actualité cyber, abonnez-vous à notre newsletter

Cas d'usage
RSSI - Risques Majeurs et Priorisation des ContrôlesCommuniquez avec le conseil d’administration et la directionDimensionnez, catégorisez et justifiez votre budget infosecÉvaluez les risques liés à l'IAOptimisez votre assurance cyber risquesFacilitez la conformité réglementaireGestion des risques cyber liés aux tiersFusion & Acquition
Services
Consulting & AdvisoryDDRM as a Service CRQ as a Service
Solutions
Plateforme CRQ SAFE OnePlateforme SAFE One Third party
Formations
Formation CRQFormation E-learning
Votre rôle
ComexCadres dirigeantsProfessionnels du risque
Ressources
BlogActualitésVidéosRessourcesWebinairesStatistiques
À propos
A propos de C-riskCarrièrePartenairesC-Risk dans la presse
Contact
Contactez-nous
Langue
C-Risk France
110 Esplanade du Général de Gaulle
92931 Paris La Défense
C-Risk USA
990 Biscayne Blvd
Office 701
Miami, Florida 33132
C-Risk UK
4/4a BloomsburySquare
London WC1A2RP
C-Risk Irlande
9 Exchange Place
Dublin 1 - D01 X8H2
C-Risk Allemagne
Bergheimer Strasse 147 EG
F-Section
69115 Heidelberg
Created by Sales Odyssey
Mentions légalesPolitique de confidentialité