Analyse CTI : Le Framework ATT&CK, un changement de paradigme DFIR

Note

Résumé exécutif : le framework MITRE ATT&CK® (Adversarial Tactics, Techniques, and Common Knowledge) est la base de connaissances mondialement reconnue du comportement des adversaires, fondée sur des observations du monde réel. Il sert de langage universel — le “tableau périodique des éléments” — pour la cybersécurité offensive et défensive. Pour un centre opérationnel de sécurité (SOC) ou un analyste DFIR, passer d’une détection basée sur les signatures à une méthodologie centrée sur ATT&CK représente un changement de paradigme fondamental. Cela force les défenseurs à cesser de courir après des indicateurs éphémères pour commencer à traquer les comportements sous-jacents des adversaires avancés.

1. La philosophie : gravir la pyramide de la douleur

Pour comprendre pourquoi MITRE ATT&CK a révolutionné l’industrie, il faut comprendre la Pyramide de la douleur (Pyramid of Pain) de David Bianco.

Historiquement, les Blue Teams se concentraient sur le bas de la pyramide : bloquer les valeurs de hachage (hashs), les adresses IP et les noms de domaine. Le problème ? Modifier un hash de fichier ou faire pivoter une IP de C2 coûte à un attaquant quelques centimes et quelques secondes. Le temps qu’une plateforme de Threat Intelligence (TIP) distribue une adresse IP malveillante via STIX/TAXII, l’attaquant l’a déjà changée.

MITRE ATT&CK cible le sommet absolu de la pyramide : les TTPs (Tactiques, Techniques et Procédures). Les TTPs représentent le comportement de l’attaquant. Un adversaire peut facilement modifier le hash de son malware, mais changer le fait qu’il utilise le vidage mémoire de lsass.exe pour voler des identifiants, ou le processus WmiPrvSE.exe pour se déplacer latéralement, l’oblige à réinventer complètement son arsenal et ses procédures opérationnelles.

En détectant le comportement cartographié dans ATT&CK, les défenseurs infligent un maximum de “douleur” à l’adversaire.

2. Déconstruction de l’architecture

Le framework ATT&CK est organisé sous forme de matrice. Pour l’utiliser efficacement, les analystes doivent comprendre ses composants structurels.

Les Tactiques (Le 'Pourquoi')

les colonnes de la matrice. Une tactique représente l’objectif tactique de l’adversaire — la raison pour laquelle il effectue une action. Exemples : Accès initial (TA0001), Élévation de privilèges (TA0004), Mouvement latéral (TA0008).

Les Techniques (Le 'Comment')

les cellules à l’intérieur des colonnes. Une technique décrit la méthode spécifique que l’adversaire utilise pour atteindre l’objectif tactique. Exemple : OS Credential Dumping (T1003) est une technique utilisée pour accomplir la tactique d’Accès aux identifiants (Credential Access).

Les Sous-techniques (Le Détail)

une description plus spécifique et granulaire d’une technique. Exemple : OS Credential Dumping: LSASS Memory (T1003.001) spécifie le mécanisme exact utilisé pour extraire les identifiants.

Le lien critique : sources de données et composants de données

Une erreur courante chez les analystes juniors est de se concentrer uniquement sur le nom de la technique. Les versions modernes d’ATT&CK (v18 et v19) mettent fortement l’accent sur les sources de données (Data Sources).

Vous ne pouvez pas détecter une technique si vous ne collectez pas la bonne télémétrie. ATT&CK mappe chaque sous-technique à des artefacts d’OS spécifiques. Par exemple, pour détecter T1059.001 (PowerShell), ATT&CK spécifie que le défenseur a besoin du composant de données Process: Process Creation. Cela indique exactement à l’architecte ce qu’il doit configurer : l’Événement Windows 4688 ou l’Événement Sysmon 1.

3. Opérationnaliser ATT&CK (Stratégie Blue Team)

La matrice n’est pas seulement un wiki de référence ; c’est un outil profondément opérationnel utilisé pour piloter l’ingénierie de sécurité et la réponse aux incidents.

A. Analyse des écarts (Gap Analysis) et Heatmapping

Les managers SOC utilisent la matrice ATT&CK pour visualiser leur posture défensive grâce au Heatmapping (cartographie thermique). En mappant leurs alertes SIEM et règles EDR existantes sur la matrice, les organisations peuvent attribuer un code couleur aux techniques qu’elles peuvent détecter de manière fiable (Vert) par rapport à celles où elles n’ont aucune visibilité (Rouge).

1. Identifier le profil de menace : utiliser la CTI pour identifier quels groupes APT ou syndicats de ransomwares ciblent votre secteur d’activité spécifique.
2. Extraire les TTPs : lister les techniques spécifiques utilisées par ces groupes.
3. Évaluer la couverture : disposez-vous de la télémétrie (Sources de données) et des règles de détection (Sigma/KQL) pour attraper ces techniques spécifiques ?
4. Ingénierie de détection : prioriser la rédaction de règles de détection pour les techniques très utilisées dont la couverture actuelle est dans le rouge.

B. Threat Hunting et Pivotement

Lors d’un incident actif, le framework ATT&CK s’intègre parfaitement avec le Modèle du Diamant d’Analyse d’Intrusion.

Si un Threat Hunter découvre qu’un attaquant a utilisé T1569.002 (Service Execution) via PsExec, il peut regarder la matrice ATT&CK pour anticiper la prochaine étape logique de l’attaquant. Le framework informe le chasseur que les attaquants utilisant cette technique enchaînent fréquemment avec des tentatives de T1003.001 (LSASS Memory Dumping). Le chasseur pivote immédiatement pour scanner les anomalies d’accès à LSASS.

C. Rapports standardisés

Lorsqu’un CSIRT produit un rapport d’incident, le langage naturel peut être ambigu. Décrire une attaque en disant “Le hacker a exécuté un script pour rester sur le serveur” manque de professionnalisme. Affirmer “L’adversaire a établi une persistance via T1053.005 (Scheduled Task/Job)” est universellement compris, permet une analyse automatisée et indique immédiatement aux autres défenseurs ce qu’ils doivent rechercher exactement.

4. Élargir l’horizon : au-delà de Windows Entreprise

Bien que la matrice “ATT&CK for Enterprise” (couvrant Windows, Linux et macOS) soit la plus largement utilisée, MITRE a étendu le framework pour couvrir l’intégralité de la surface d’attaque moderne :

• ATT&CK for Cloud : couvre les applications AWS, Azure, GCP et SaaS (ex: suivi des abus de la gestion des identités et des accès).
• ATT&CK for Mobile : couvre les écosystèmes iOS et Android.
• ATT&CK for ICS : couvre les systèmes de contrôle industriel et les technologies opérationnelles (SCADA, automates programmables), qui ont des objectifs très différents (ex: perte de contrôle) de ceux des réseaux informatiques traditionnels.

5. Conclusion

Adopter le framework MITRE ATT&CK est la caractéristique déterminante d’un programme de cybersécurité mature. Il fait passer une organisation d’une posture réactive (mettre à jour les signatures antivirus) à une posture proactive (comprendre et perturber le comportement de l’adversaire).

En reliant les récits CTI à une télémétrie brute et tangible — comme le fait de relier directement un rapport de menace sur un APT à un ID d’événement Sysmon — ATT&CK s’assure que l’ingénierie de défense reste toujours ancrée dans la réalité.

---

Sources et références

• Site officiel : MITRE ATT&CK Framework
• Analyse liée : Décoder la mise à jour MITRE ATT&CK v19
• Framework lié : Le Modèle du Diamant (Diamond Model)
• Artefacts liés : MOC : Techniques forensiques mappées sur ATT&CK