{# Use overflow-x: clip instead of hidden so html/body don't become scroll containers, which would break `position: sticky` (e.g. the blog TOC sidebar). #} MITRE ATT&CK : définition et fonctionnement | Trapster
Définition

MITRE ATT&CK

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissances ouverte qui répertorie les comportements des attaquants observés en conditions réelles. Maintenue par l'organisation MITRE, elle est devenue un langage commun pour les équipes de sécurité du monde entier : elle permet de décrire, de classer et de comparer les actions offensives de manière standardisée. Dans le contexte de la sécurité par tromperie, ATT&CK fournit un référentiel précieux pour cartographier ce que détectent les leurres et planifier leur déploiement.

Structure : tactiques, techniques et procédures

ATT&CK organise la connaissance adverse selon deux axes complémentaires. Les tactiques représentent le « pourquoi » : l'objectif que poursuit l'attaquant à une étape donnée, comme la découverte de l'environnement ou l'accès aux identifiants. Les techniques décrivent le « comment » : les moyens concrets employés pour atteindre cet objectif. Chaque technique peut se décliner en sous-techniques plus granulaires, et s'accompagne de procédures qui documentent des usages réels par des groupes d'attaquants identifiés.

La matrice Enterprise compte plusieurs tactiques couvrant l'ensemble du cycle d'attaque, parmi lesquelles :

  • Reconnaissance et accès initial : comment l'adversaire entre dans le système d'information.
  • Découverte (Discovery) : cartographie de l'environnement, des comptes, des partages et des services.
  • Accès aux identifiants (Credential Access) : vol ou collecte de mots de passe, de tickets ou de secrets.
  • Mouvement latéral (Lateral Movement, TA0008) : déplacement d'un système à un autre au sein du réseau.
  • Collection : agrégation des données ciblées avant exfiltration.

Cette taxonomie permet aux défenseurs de raisonner non plus en termes d'outils ou de signatures, mais en termes de comportements, qui sont plus stables et plus difficiles à modifier pour un attaquant.

ATT&CK et la sécurité par tromperie

La sécurité par tromperie consiste à semer dans l'environnement des éléments factices — leurres, breadcrumbs, honeytokens — destinés à attirer et à révéler l'attaquant. ATT&CK offre une grille de lecture pour comprendre quelles tactiques ces dispositifs détectent et où les positionner. Un attaquant légitime n'a aucune raison d'interagir avec un actif factice : toute interaction constitue donc un signal à forte valeur, que l'on peut rattacher à une tactique précise.

Les dispositifs trompeurs sont particulièrement efficaces sur quelques tactiques clés :

  • Découverte : un faux serveur ou un partage piégé déclenche une alerte dès que l'attaquant énumère le réseau.
  • Accès aux identifiants : des honeytokens (identifiants factices) signalent toute tentative de réutilisation.
  • Mouvement latéral : des breadcrumbs orientent l'attaquant vers un leurre lorsqu'il cherche à rebondir entre machines.
  • Collection : des fichiers appâts révèlent les tentatives d'agrégation de données sensibles.

En cartographiant ses détections sur ATT&CK, une équipe de sécurité identifie ses angles morts : si aucune technique de mouvement latéral n'est couverte par un leurre, c'est là qu'il faut placer de nouveaux breadcrumbs. Cette approche réduit aussi le temps de présence (dwell time) de l'attaquant, en multipliant les occasions de le détecter avant qu'il n'atteigne sa cible.

MITRE Engage, le complément dédié à la tromperie

Si ATT&CK décrit le comportement des adversaires, MITRE Engage est un cadre distinct et complémentaire, consacré à l'engagement de l'adversaire et à la défense active. Engage aide les défenseurs à planifier des opérations de tromperie : exposer des leurres, susciter certains comportements, collecter du renseignement et orienter l'attaquant. Là où ATT&CK répond à la question « que fait l'attaquant ? », Engage répond à « comment l'amener à se révéler et le perturber ? ».

Utilisés conjointement, ces deux référentiels structurent une démarche défensive cohérente : ATT&CK pour qualifier la menace et mesurer la couverture des détections, Engage pour concevoir le dispositif de tromperie qui exploite ces connaissances. C'est dans cette articulation que les solutions de deception trouvent leur pleine valeur opérationnelle.

Avec Trapster

Trapster s'appuie sur MITRE ATT&CK pour cartographier les détections de ses leurres et honeytokens. Chaque interaction avec un actif factice est rattachée à la tactique correspondante (Découverte, Accès aux identifiants, Mouvement latéral, Collection), offrant aux équipes SOC une vision claire de leur couverture et des angles morts à combler.

Termes liés

Mouvement latéral Le mouvement latéral désigne la phase post-compromission où un attaquant progresse de son point d'entrée vers d'autres systèmes du réseau. Deceptive security (technologie de déception) La déception est une stratégie de défense qui sème des leurres et des appâts pour détecter, tromper et étudier les attaquants déjà présents dans le réseau. Dwell time (temps de présence) Le dwell time désigne la durée écoulée entre la compromission initiale d'un attaquant et sa détection au sein du système d'information. Leurre (decoy) Actif factice (serveur, poste, service, partage, base de données) imitant une ressource de production pour attirer, ralentir et détecter un attaquant.

Passez de la théorie à la détection

Découvrez comment Trapster déploie honeypots, leurres et honeytokens sur votre réseau pour transformer chaque interaction suspecte en alerte fiable.

Réserver une démo Tout le glossaire

Démo de 30 min, sans engagement · Hébergé en France