Aujourd’hui, que vous travailliez dans une équipe de Cyber Threat Intelligence (CTI), un Security Operations Center (SOC), un Computer Security Incident Response Team (CSIRT), ou même comme pentester, il y a fort à parier que nous ne pouviez faire l’économie d’utiliser, peut-être même au quotidien, la matrice MITRE ATT&CK. Un tel succès appelle une analyse critique de ses causes, l’examen de ses éventuelles limites, ainsi que la définition de quelques bonnes pratiques d’utilisation.
1. ATT&CK : un référentiel au succès spectaculaire
La matrice ATT&CK [1], pour Adversarial Tactics, Techniques, and Common Knowledge, a été conçue et publiée en 2015 par MITRE, une organisation non-lucrative américaine. Elle fait partie d’une vaste galaxie de référentiels de classification peuplant le petit monde de la cybersécurité, parmi les STIX, eCSIRT/ENISA, CVE et autres ETSI. Si l’outil est donc âgé de moins de 10 ans, force est d’admirer la facilité avec laquelle il a acquis une place centrale en ce laps de temps ; à son crédit, un fonctionnement simple combiné à un haut niveau de précision technique.
1.1 La matrice ATT&CK : fonctionnement et principes de base
ATT&CK, comme son nom l’indique, est un ensemble catégorisé de comportements adverses, c’est-à-dire susceptibles d’être employés par des groupes d’attaquants. Il s’agit donc d’un outil qui s’adresse tout particulièrement à la CTI, en ce que celle-ci est amenée...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première