Aller au contenu

Prochaine édition 6 juillet 2026

Sécurité défensive

MITRE ATT&CK

MITRE ATT&CK est une base de connaissances gratuite, utilisée dans le monde entier, qui recense les tactiques et techniques réelles des attaquants, organisées en 14 tactiques décrivant les phases d'une cyberattaque, de la reconnaissance jusqu'à l'impact. Les défenseurs s'en servent comme langage commun pour décrire, détecter et contrer la façon dont les attaquants opèrent réellement.

Auteur
Unihackers Team
Temps de lecture
3 min de lecture
Dernière mise à jour

MITRE ATT&CK est ce qui se rapproche le plus, en cybersécurité, d'un dictionnaire commun du comportement des attaquants. Au lieu de décrire les menaces en termes vagues, il catalogue les tactiques et techniques concrètes que des adversaires réels ont employées lors d'intrusions réelles, puis attribue à chacune un identifiant stable. Cette structure permet à un analyste de menaces à Madrid, à un ingénieur SOC à Berlin et à un intervenant en réponse à incident à Milan de décrire la même attaque de la même manière. Vous pouvez explorer la matrice complète sur MITRE ATT&CK home.

Les 14 tactiques

ATT&CK s'organise autour de 14 tactiques, qui représentent les phases d'une intrusion dans l'ordre où un attaquant a tendance à les parcourir. Elles vont de la reconnaissance et du développement de ressources, en passant par l'accès initial, l'exécution, la persistance, l'élévation de privilèges et l'évasion des défenses, jusqu'à l'accès aux identifiants, la découverte, le mouvement latéral, la collecte, la commande et contrôle, l'exfiltration et, enfin, l'impact.

Une tactique répond au pourquoi de l'action de l'attaquant. À l'intérieur de chaque tactique se trouvent de nombreuses techniques qui répondent au comment. La persistance peut être obtenue avec un web shell (T1505.003) ; l'évasion des défenses peut recourir à l'injection de processus (T1055) ou à des fichiers obscurcis (T1027) ; l'accès aux identifiants implique souvent le vol d'identifiants du système (T1003). Ces identifiants sont les mêmes partout, et c'est ce qui rend le framework si durable.

Un langage commun pour le SOC et la threat intel

La vraie force d'ATT&CK, c'est la coordination. Une équipe de threat hunting formule une hypothèse ("un attaquant volerait des identifiants, puis se déplacerait latéralement via SMB"), la relie à T1003 et aux techniques de mouvement latéral, et part en chasse. Les analystes SOC étiquettent leurs règles de détection avec des identifiants de technique pour révéler les angles morts. Les rapports de threat intel décrivent les groupes adverses par les techniques qu'ils privilégient. Comme tout le monde pointe vers les mêmes identifiants, des alertes dispersées s'assemblent en un seul récit lisible.

ATT&CK à l'ère de l'IA

ATT&CK sert désormais à décrire les attaques pilotées par l'IA, et pas seulement celles menées par des humains. Lorsque Anthropic a stoppé une opération d'espionnage qui abusait de Claude Code, son équipe a cartographié 13 873 actions distinctes pilotées par l'IA sur la matrice ATT&CK afin de montrer précisément où l'agent opérait, de la reconnaissance à l'accès aux identifiants jusqu'à l'exfiltration. Nous analysons ce cas et ce qu'il signifie pour les défenseurs dans comment les hackers utilisent l'IA. La leçon est que le framework passe à l'échelle : que l'opérateur soit une personne ou un agent autonome, les tactiques restent les mêmes, tout comme la valeur d'un langage commun pour les nommer.

Dans le Bootcamp

Comment nous enseignons MITRE ATT&CK

Dans notre programme de cybersécurité, vous n'apprendrez pas seulement MITRE ATT&CK en théorie, vous pratiquerez avec de vrais outils dans des travaux pratiques, guidé par des professionnels du secteur qui utilisent ces concepts quotidiennement.

Couvert dans :

Module 8: Opérations de Sécurité Avancées

Sujets connexes que vous maîtriserez :Réponse aux IncidentsDFIRChasse aux MenacesVolatility
Voir comment nous enseignons cela

360+ heures de formation experte • CompTIA Security+ inclus