TTPs (Tactiques, Techniques et Procédures)

Les TTPs, abréviation de tactiques, techniques et procédures, désignent la façon dont l'industrie de la sécurité décrit comment un attaquant opère réellement. Plutôt que de réduire une menace à une simple empreinte de fichier ou adresse IP, les TTPs capturent le comportement par couches : l'objectif que poursuit l'adversaire, la méthode générale qu'il emploie et les étapes précises qu'il franchit pour y parvenir. Cette vue par couches est la colonne vertébrale du renseignement sur les menaces moderne et le langage que les défenseurs utilisent pour comparer les incidents et construire des détections durables.

La hiérarchie tactique, technique et procédure

Les trois lettres décrivent trois altitudes d'une même activité, de l'objectif abstrait jusqu'aux frappes clavier concrètes :

Un exemple concret rend la hiérarchie limpide. Supposez qu'un intrus veuille s'enfoncer davantage dans un réseau. La tactique est l'accès aux identifiants. La technique qu'il choisit est l'extraction des identifiants du système d'exploitation (T1003). La procédure est la recette littérale : il dépose une copie renommée d'un outil d'extraction d'identifiants, l'exécute contre le processus LSASS pour en tirer les empreintes, puis enregistre le résultat dans un fichier temporaire avant de l'exfiltrer. Changez l'outil ou le nom du fichier et la procédure se déplace, mais la technique et la tactique restent les mêmes. C'est précisément cette stabilité qui rend les TTPs plus précieuses pour les défenseurs que les indicateurs jetables.

Comment les défenseurs utilisent les TTPs

Rattacher l'activité observée aux TTPs est le travail quotidien du threat hunting et de l'ingénierie de détection. Le cadre dominant pour cela est MITRE ATT&CK, qui attribue à chaque technique un identifiant stable (comme T1003) afin que les équipes parlent un langage commun. Lorsqu'un analyste étiquette un incident avec des identifiants ATT&CK, n'importe qui dans l'industrie comprend immédiatement ce qui s'est passé, le compare aux intrusions passées et vérifie si ses propres capteurs l'auraient détecté.

Tactique (objectif)

↓se précise en

Technique T1003

↓réalisée par

Procédure (étapes exactes)

Les TTPs se situent aussi près du sommet de ce qu'on appelle la pyramide de la douleur : plus une défense est construite haut dans la pyramide, plus il est coûteux pour un attaquant de la contourner. Renouveler une IP ou recompiler un binaire est trivial, mais changer la façon dont un groupe opère vraiment, ses techniques et procédures, est lent et onéreux. Les détections ancrées dans les TTPs vieillissent donc bien mieux que celles fondées sur des signatures.

Quand les TTPs devancent le cadre

Un exemple récent très parlant vient des intrusions assistées par IA. Lorsque Anthropic a enquêté sur une attaque qui détournait ses propres modèles, son équipe a cartographié le comportement de l'adversaire sur MITRE ATT&CK et a constaté que la plupart des étapes correspondaient à des identifiants de technique existants, de la reconnaissance à l'accès aux identifiants jusqu'à l'exfiltration. Mais une capacité n'avait aucun identifiant de technique : l'orchestration autonome de l'attaque par le modèle lui-même, enchaînant les étapes avec une intervention humaine minimale. Cette lacune, documentée dans notre analyse de comment les hackers utilisent l'IA, montre que les catalogues de TTPs sont des documents vivants. À mesure que les adversaires adoptent de nouvelles méthodes, le cadre doit s'étoffer pour les décrire.

La leçon vaut que vous défendiez ou que vous attaquiez : les indicateurs vous disent ce qu'un attaquant a touché, mais les TTPs vous disent comment il pense. Apprenez à lire le comportement aux trois altitudes et vous cesserez de courir après les empreintes d'hier pour commencer à anticiper les mouvements de demain.