Historiquement, la tactique Defense Evasion (TA0005) était un fourre-tout massif. Si un attaquant utilisait un binaire signé pour cacher une charge utile, c’était du Defense Evasion. Si un attaquant supprimait activement le capteur EDR du noyau, c’était également du Defense Evasion.
Du point de vue de la Blue Team, regrouper ces comportements était fonctionnellement inadapté. L’un exige de détecter des anomalies au sein d’un trafic légitime ; l’autre exige de réagir à la destruction d’une infrastructure. Dans la v19, MITRE a corrigé cela en divisant la tactique selon l’intention de l’adversaire.
Furtivité / Stealth (TA0005)
Intention : se fondre dans la masse pour éviter la détection. Impact : vos défenses sont pleinement opérationnelles, mais elles sont trompées. L’adversaire utilise un camouflage comportemental. Exemples : fichiers offusqués, masquage (Masquerading), Living-off-the-Land (LOLBAS). (Note : Stealth hérite de l’ancien identifiant TA0005).
Altération / Defense Impairment (TA0112)
Intention : casser, dégrader ou désactiver les défenses. Impact : vos contrôles de sécurité sont activement sabotés. Exemples : tuer des processus EDR, modifier des pare-feux cloud ou effacer les journaux d’événements Windows.
Impair Defenses (T1562 → T1685)Conséquence directe de cette scission, la célèbre technique T1562 (Impair Defenses) a été lourdement restructurée. Elle a été fusionnée dans une nouvelle technique parente : T1685: Disable or Modify Tools.
Si votre SIEM ou vos playbooks SOAR sont actuellement mappés sur T1562.001 pour détecter la falsification d’EDR, vous devez mettre à jour vos pipelines d’ingénierie de détection immédiatement pour suivre T1685 et ses nouvelles sous-techniques.
Tout au long de 2025 et début 2026, l’industrie de la cybersécurité a observé un glissement théorique vers l’exploitation de l’IA Agentique. ATT&CK v19 fait officiellement passer cela de la théorie à la réalité en introduisant de nouvelles techniques et campagnes documentant des adversaires qui militarisent l’IA dans des opérations réelles.
MITRE souligne que l’IA ne change pas ce que l’adversaire essaie de faire ; elle change l’échelle et l’outillage.
T1682: Query Public AI Services : les adversaires interrogent désormais systématiquement les LLM publics pour la recherche de cibles, l’OSINT et la planification opérationnelle à grande échelle.T1683: Generate Content : capture l’utilisation de l’IA pour générer dynamiquement du contenu écrit (T1683.001) et audiovisuel (T1683.002) pour des campagnes de spear-phishing hautement convaincantes et localisées.L’ajout le plus effrayant de la v19 est sans doute la Campagne C0062 (Anthropic AI-orchestrated Campaign). MITRE a documenté un cluster dirigé par la RPC (GTG-1002) utilisant Claude Code pour exécuter de manière autonome la majorité d’une campagne d’espionnage à plusieurs étapes. Par ailleurs, la v19 introduit LAMEHUG (S9035), associé à APT28, qui est le premier malware documenté à interroger dynamiquement un grand modèle de langage (LLM) pendant des opérations en direct pour adapter son comportement.
Dans la v19, l’ingénierie sociale a été fondamentalement réorganisée. Les adversaires manipulant la confiance humaine ne sont plus dispersés à travers divers vecteurs d’accès initial.
MITRE a introduit une nouvelle technique parente : T1684: Social Engineering, placée sous la tactique Stealth.
D’anciennes techniques comme l’usurpation d’identité (Impersonation) et le spoofing d’e-mails ont été révoquées en tant que techniques autonomes et rééditées comme sous-techniques sous T1684.
À retenir pour le DFIR : la nouvelle stratégie de détection de MITRE pour T1684 (DET0899) se concentre sur le schéma comportemental plutôt que sur le canal de diffusion. L’ingénierie de détection ne doit plus se concentrer uniquement sur le repérage d’un faux e-mail ; elle doit se concentrer sur la séquence d’une “interaction suspecte” immédiatement suivie d’une “action non habituelle autorisée par l’utilisateur” (ex: une approbation de consentement OAuth ou une réinitialisation MFA).
Mettre à jour un SOC vers la v19 nécessite une approche délibérée et structurée. Ne faites surtout pas un simple “rechercher et remplacer” dans votre SIEM.
Stealth (Furtivité) contre Defense Impairment (Altération) afin de donner à votre RSSI une image plus claire : vos défenses sont-elles contournées ou sont-elles détruites ?T1562 (Impair Defenses) et T1211 (Exploitation for Defense Evasion). Remappez-les respectivement vers T1685 et la nouvelle technique T1687 (Exploitation for Defense Impairment).MITRE ATT&CK v19 est un jalon de maturité pour l’industrie de la cybersécurité. En scindant l’évasion de défense, le framework force les défenseurs à reconnaître la différence entre un angle mort et une caméra brisée. En intégrant des campagnes orchestrées par l’IA, il confirme que la militarisation des grands modèles de langage a franchi le seuil de la recherche académique pour entrer dans la cyberguerre active parrainée par des États.