MITRE ATT&CK 2026 : Framework TTPs, Tactiques et Techniques

Le framework MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) est la knowledge base de référence mondiale documentant les tactiques, techniques et procédures (TTPs) employées par les adversaires lors de cyberattaques réelles. Maintenu depuis 2013 par la MITRE Corporation, organisation à but non lucratif financée par le gouvernement fédéral américain, ATT&CK structure la connaissance offensive selon une matrice où chaque colonne représente une tactique (objectif adverse) et chaque cellule une technique observée dans la nature. La version v15+ couvre en 2026 plus de 14 tactiques Enterprise, 200+ techniques et 400+ sous-techniques, complétées par des matrices spécialisées Mobile, ICS, Cloud et Containers. ATT&CK est devenu le langage commun des équipes Red Team, Blue Team, SOC, threat hunters, éditeurs SIEM/EDR et CTI : il permet de cartographier la couverture défensive, prioriser les détections, simuler des adversaires connus (APT28, Lazarus, FIN7) et mesurer la maturité d'un programme de cybersécurité. Gratuit, open source et lié au format STIX/TAXII, ATT&CK est aujourd'hui intégré nativement dans Microsoft Sentinel, CrowdStrike Falcon, Splunk, Elastic et Wazuh.

Définition : qu'est-ce que MITRE ATT&CK ?

MITRE ATT&CK est une base de connaissances structurée (curated knowledge base) qui documente le comportement adverse à un niveau d'abstraction intermédiaire entre les indicateurs de compromission (IoCs) volatiles et les modèles stratégiques globaux comme la Cyber Kill Chain. Concrètement, ATT&CK décrit ce que font les attaquants une fois à l'intérieur d'un système, en s'appuyant exclusivement sur des observations factuelles tirées d'incidents réels, de rapports de threat intelligence et d'analyses forensiques.

Le framework s'organise autour de trois entités principales : les Tactiques (le « pourquoi », l'objectif tactique recherché par l'adversaire), les Techniques (le « comment », la méthode employée) et les Sous-techniques (le « comment précisément »). À ces entités s'ajoutent les Procedures qui décrivent l'implémentation spécifique d'une technique par un groupe particulier, les Groups qui identifient les acteurs malveillants, et les Software qui répertorient malwares et outils utilisés.

Contrairement à des taxonomies fermées, ATT&CK est open source, gratuit et collaboratif : la communauté contribue via GitHub, et le contenu est publié au format STIX 2.1 pour intégration machine-readable.

Histoire et évolution du framework

ATT&CK naît en 2013 au sein du programme FMX (Fort Meade eXperiment) de MITRE, dont l'objectif était d'évaluer empiriquement quelles techniques de détection étaient effectivement efficaces face à des adversaires post-exploitation. Le projet documente d'abord les comportements observés sur Windows lors d'exercices internes simulant des APT.

En mai 2015, MITRE rend ATT&CK public, marquant un tournant dans la cybersécurité : la communauté dispose désormais d'un référentiel commun. Les versions successives étendent le périmètre :

• 2017 : ajout de PRE-ATT&CK (techniques de reconnaissance préalable, depuis fusionné dans Enterprise).
• 2018 : matrice Mobile (Android, iOS).
• 2020 : matrice ICS (systèmes industriels).
• 2021-2023 : restructuration des sous-techniques, intégration native du Cloud (AWS, Azure, GCP, Office 365, Google Workspace) et des Containers (Kubernetes, Docker).
• 2024-2026 : versions v14 à v17 enrichissent les techniques liées à l'IA générative, aux supply chain attacks, et aux environnements hybrides edge/cloud.

La version v15+ active en 2026 dépasse les 200 techniques Enterprise et plus de 140 groupes documentés.

Structure du framework : Tactiques, Techniques, Sub-techniques

La hiérarchie ATT&CK suit une logique strictement descendante :

• Tactique : objectif de haut niveau, par exemple Persistence (TA0003).
• Technique : méthode pour atteindre cet objectif, par exemple Boot or Logon Autostart Execution (T1547).
• Sous-technique : implémentation spécifique, par exemple Registry Run Keys / Startup Folder (T1547.001).
• Procédure : exemple concret d'utilisation par un groupe (ex. APT29 utilise T1547.001 via la clé HKCU\Software\Microsoft\Windows\CurrentVersion\Run).

Chaque entité possède une fiche normalisée comportant : description, plateformes affectées, sources de données pour la détection, mitigations recommandées, exemples d'utilisation, références bibliographiques. Cette structure permet une lecture verticale (par tactique) ou horizontale (parcours adversaire).

Les 14 tactiques Enterprise

La matrice Enterprise se lit de gauche à droite, dans l'ordre approximatif d'une intrusion :

1. Reconnaissance (TA0043) — collecte d'informations sur la cible (scanning, OSINT, recherche de credentials sur le dark web).
2. Resource Development (TA0042) — préparation des ressources offensives (achat de domaines, compromission d'infrastructure, création de malware).
3. Initial Access (TA0001) — entrée dans l'environnement (phishing T1566, exploitation T1190, valid accounts T1078).
4. Execution (TA0002) — exécution de code malveillant (Command and Scripting Interpreter T1059, PowerShell T1059.001, Python T1059.006).
5. Persistence (TA0003) — maintien de l'accès au redémarrage (services Windows, tâches planifiées, BITS jobs).
6. Privilege Escalation (TA0004) — élévation de privilèges (UAC bypass, exploitation kernel, token impersonation).
7. Defense Evasion (TA0005) — contournement des défenses (obfuscation, désactivation EDR, masquerading).
8. Credential Access (TA0006) — vol d'identifiants (OS Credential Dumping T1003, Brute Force T1110, Kerberoasting T1558.003).
9. Discovery (TA0007) — exploration interne (Account Discovery, Network Service Scanning, Domain Trust Discovery).
10. Lateral Movement (TA0008) — propagation (Remote Services T1021, Pass-the-Hash, RDP).
11. Collection (TA0009) — agrégation de données sensibles (capture d'écran, keylogging, données depuis dépôts).
12. Command and Control (TA0011) — communication avec l'attaquant (Application Layer Protocol T1071, DNS tunneling, beacons Cobalt Strike).
13. Exfiltration (TA0010) — sortie des données (Exfiltration Over C2 Channel, Cloud Storage, alternate protocol).
14. Impact (TA0040) — destruction ou perturbation (Data Encrypted for Impact T1486 — typique des ransomwares, wiper, déni de service).

Matrices spécialisées : Enterprise, Mobile, ICS, Cloud, Containers

ATT&CK se décline en plusieurs matrices selon l'environnement cible :

• Enterprise : la matrice principale, couvrant Windows, macOS, Linux, et les sous-domaines Cloud (IaaS, SaaS, Office 365, Google Workspace, Azure AD/Entra ID), Network Devices et Containers.
• Mobile : techniques spécifiques aux OS Android et iOS (abus d'accessibilité, capture SMS, surveillance audio/vidéo).
• ICS (Industrial Control Systems) : matrice dédiée aux environnements OT (PLC, SCADA, HMI). Tactiques propres comme Inhibit Response Function ou Impair Process Control.
• Containers (sous-ensemble Enterprise depuis 2021) : techniques ciblant Docker, Kubernetes (Container Escape, Pod Manipulation).
• Cloud : sous-ensemble Enterprise filtrant les techniques applicables aux fournisseurs cloud.

Identifiants techniques et nomenclature TXXXX

Chaque technique reçoit un identifiant pérenne. Les plus emblématiques en 2026 :

• T1059 — Command and Scripting Interpreter (PowerShell, cmd, bash, Python).
• T1190 — Exploit Public-Facing Application (web shells, vulnérabilités CVE applicatives).
• T1078 — Valid Accounts (accès via comptes légitimes compromis).
• T1003 — OS Credential Dumping (LSASS, SAM, NTDS.dit).
• T1486 — Data Encrypted for Impact (ransomware).
• T1566 — Phishing.
• T1055 — Process Injection.
• T1027 — Obfuscated Files or Information.
• T1071 — Application Layer Protocol (C2 over HTTPS, DNS).
• T1053 — Scheduled Task/Job.

Cette nomenclature stable facilite l'échange entre équipes et outils : un rapport CTI qui mentionne « T1003.001 » est immédiatement compris comme « LSASS Memory dumping ».

Groups : threat actors documentés (G####)

ATT&CK répertorie plus de 140 groupes adversaires, chacun identifié par un code G####. Chaque fiche groupe indique : aliases utilisés par les éditeurs (CrowdStrike, Mandiant, Microsoft), techniques observées, software employé, secteurs ciblés.

• APT28 / Fancy Bear (G0007) — groupe lié au GRU russe, ciblage gouvernemental et défense.
• APT29 / Cozy Bear / Midnight Blizzard (G0016) — services russes, opération SolarWinds.
• Lazarus Group (G0032) — Corée du Nord, vol crypto et ransomware (WannaCry).
• FIN7 (G0046) — cybercrime financier, point de vente.
• Conti (G0144) — ransomware-as-a-service, dissous en 2022 mais opérateurs réapparus dans Black Basta.
• Volt Typhoon (G1017) — APT chinois ciblant infrastructures critiques US (Living-off-the-Land).

Software : malwares et outils (S####)

La catégorie Software regroupe à la fois malwares spécifiques et outils légitimes détournés (dual-use). Exemples :

• Cobalt Strike (S0154) — framework d'émulation adverse devenu outil offensif majeur.
• Mimikatz (S0002) — extraction d'identifiants Windows.
• Empire (S0363) — post-exploitation PowerShell.
• BloodHound — cartographie Active Directory (souvent référencé via T1087).
• Emotet (S0367), TrickBot (S0266), Qakbot (S0650) — loaders bancaires recyclés en initial access brokers.
• LockBit, Conti, BlackCat — familles ransomware.

Mitigations et Detections

Chaque fiche technique liste deux blocs défensifs essentiels :

• Mitigations (M####) — contremesures préventives (Application Control M1038, Privileged Account Management M1026, Network Segmentation M1030).
• Detection / Data Sources (DS####) — sources de télémétrie permettant la détection (Process Creation, Command Execution, File Modification, Network Traffic Content).

Cette double approche permet de mesurer la couverture défensive : pour chaque technique, l'organisation peut évaluer si elle dispose des journaux nécessaires (volet Detection) et des contrôles préventifs (volet Mitigation). Pour aller plus loin, consultez notre guide sur le threat hunting basé sur ATT&CK.

Exemples détaillés de techniques majeures

Pour mieux comprendre le niveau de détail d'ATT&CK, examinons quelques techniques emblématiques et leurs implications opérationnelles.

T1003.001 — LSASS Memory Dumping

Sous-technique critique de Credential Access. L'attaquant extrait le contenu mémoire du processus lsass.exe (Local Security Authority Subsystem Service) qui contient les hash NTLM, tickets Kerberos et parfois des credentials en clair. Outils : Mimikatz, ProcDump, Task Manager (clic droit Create Dump File), comsvcs.dll MiniDump. Détection : événements Sysmon ID 10 (ProcessAccess) ciblant lsass.exe avec un GrantedAccess suspect (0x1410, 0x1010, 0x1438). Mitigation : Credential Guard sur Windows 10/11, RunAsPPL (Protected Process Light) pour lsass, restrictions d'accès SeDebugPrivilege.

T1190 — Exploit Public-Facing Application

Technique d'Initial Access ultra-courante en 2026 (Log4Shell, ProxyShell, Confluence CVE-2023-22515, MOVEit, Citrix Bleed). L'attaquant exploite une vulnérabilité publique d'une application web exposée. Détection : règles WAF, logs applicatifs corrélés avec scanners CVE, signatures IDS (Snort, Suricata). Mitigation : patch management agressif, segmentation réseau, WAF avec règles virtuelles, désexposition des interfaces administratives.

T1486 — Data Encrypted for Impact

Technique d'Impact emblématique du ransomware. Détection : taux anormaux de modifications de fichiers, entropie des fichiers en hausse, suppression de Volume Shadow Copies (T1490) souvent corrélée. Mitigation : sauvegardes immuables (3-2-1-1-0), segmentation, EDR avec rollback, contrôle d'application (AppLocker, WDAC).

ATT&CK Navigator : visualisation et heatmaps

L'ATT&CK Navigator est une application web open source (hébergée sur mitre-attack.github.io ou auto-hébergeable) qui permet de manipuler la matrice de manière interactive.

Fonctionnalités clés :

• Layers : couches superposables permettant de marquer techniques avec scores numériques, couleurs et commentaires.
• Comparison : superposer plusieurs layers (ex. couverture EDR vs techniques APT29) pour identifier les gaps.
• Export : JSON, SVG, Excel pour reporting.
• Filtering : par plateforme, par groupe, par data source.

Cas d'usage typique : un RSSI génère une heatmap de la couverture détection actuelle, la compare avec le profil TTPs des groupes ciblant son secteur, et priorise les investissements sur les zones rouges.

ATT&CK Workbench : extension et partage

L'ATT&CK Workbench (open source, déployable on-premise) permet aux organisations de gérer leur propre instance d'ATT&CK : ajouter des techniques internes confidentielles, modifier des fiches existantes, importer/exporter au format STIX 2.1, et partager des extensions avec des partenaires de confiance. Indispensable pour les CERT sectoriels et les communautés ISAC.

Relations avec autres frameworks

ATT&CK s'inscrit dans un écosystème plus large :

• Cyber Kill Chain (Lockheed Martin) — modèle linéaire en 7 phases (Reconnaissance → Actions on Objectives). Plus stratégique, moins granulaire qu'ATT&CK. Les deux sont complémentaires : voir notre anatomie d'une attaque ransomware.
• NIST Cybersecurity Framework (CSF) — cadre de gouvernance (Identify, Protect, Detect, Respond, Recover). ATT&CK alimente la fonction Detect.
• OWASP Top 10 — focalisé sur les vulnérabilités applicatives web ; intersection avec T1190.
• MITRE D3FEND — knowledge base complémentaire des contremesures défensives, mappée sur ATT&CK.
• MITRE Engage — framework de tromperie active (deception).
• MITRE CAPEC — patterns d'attaque applicatifs, plus fin qu'ATT&CK pour le code.

Use cases pratiques : Red, Blue, Purple, SOC

ATT&CK est un langage commun aux différentes fonctions cyber :

• Red Team : émulation d'adversaires connus (APT29, FIN7) en suivant leurs TTPs documentés. Outils : Atomic Red Team, Caldera (MITRE), Atomic Purple Team.
• Blue Team / SOC : mapping des règles de détection sur les techniques pour mesurer la couverture, prioriser les nouvelles détections sur les techniques fréquentes.
• Purple Team : exercices collaboratifs où la Red Team joue une technique, la Blue Team vérifie sa détection, et l'on remonte la chaîne pour combler les gaps.
• Threat Hunting : formulation d'hypothèses de chasse fondées sur des TTPs ; voir aussi notre guide top techniques 2026 et défense.
• Gap analysis : audit de maturité comparant TTPs détectées vs TTPs adverses pertinentes.
• CTI : standardisation du reporting d'incidents et partage entre équipes.

ATT&CK pour SIEM/EDR : intégrations 2026

Les principaux éditeurs intègrent nativement ATT&CK :

• Microsoft Sentinel — chaque analytics rule peut être taggée avec tactiques/techniques ; workbook MITRE ATT&CK natif.
• CrowdStrike Falcon — détections cartographiées, playbooks Falcon Insight alignés ATT&CK.
• Splunk Enterprise Security — Common Information Model (CIM) avec champs annotations.mitre_attack.
• Elastic Security — règles SIEM préfixées avec techniques, dashboards MITRE.
• Wazuh — décodeurs et règles avec champ mitre.id.
• Sigma — format générique de règles ; chaque règle Sigma porte un champ tags: attack.txxxx permettant la conversion vers tout SIEM via sigma-cli.

Cette mécanique permet de générer automatiquement la heatmap Navigator depuis le SIEM. Pour évaluer la robustesse de votre EDR, lisez notre dossier sur les techniques de bypass EDR 2026.

STIX/TAXII et formats machine-readable

ATT&CK est publié au format STIX 2.1 (Structured Threat Information eXpression) sur le dépôt github.com/mitre/cti. Chaque tactique, technique, groupe et software est un objet STIX SDO (STIX Domain Object) avec des relations SRO (STIX Relationship Object).

Le protocole TAXII 2.1 permet la consommation programmatique : MITRE expose un serveur TAXII public sur cti-taxii.mitre.org, interrogeable depuis Python (taxii2-client) ou tout SIEM compatible. Cette automatisation alimente directement les pipelines CTI et permet de versionner sa couverture défensive dans un dataset structuré (voir nos datasets cybersécurité).

Atomic Red Team et émulation adverse

Pour valider la couverture détection, la communauté a développé plusieurs frameworks d'émulation adverse open source mappés sur ATT&CK :

• Atomic Red Team (Red Canary) — bibliothèque de tests unitaires (atomic tests) pour chaque technique. Chaque test est un script PowerShell, bash ou cmd reproduisant le comportement adversaire. Exemple : Invoke-AtomicTest T1003.001 exécute un dump LSASS contrôlé.
• CALDERA (MITRE) — plateforme d'émulation automatisée capable de chaîner techniques pour reproduire un scénario complet APT.
• Atomic Purple Team — orchestre des cycles Red/Blue avec validation immédiate de la détection.
• Stratus Red Team (DataDog) — équivalent dédié au cloud (AWS, Azure, GCP, Kubernetes).
• Adversary Emulation Plans — scénarios scriptés émulant des groupes spécifiques (APT3, APT29, FIN6, menuPass) publiés par MITRE Engenuity.

La méthodologie purple team consiste à exécuter chaque atomic test en environnement contrôlé, vérifier que la télémétrie nécessaire est présente (Sysmon, EDR, journaux applicatifs), confirmer la création d'une alerte et mesurer le délai de détection. Le résultat alimente directement un layer Navigator qui devient la « carte de combat » de l'organisation.

ATT&CK Evaluations : benchmark indépendant des EDR

MITRE Engenuity organise depuis 2018 les ATT&CK Evaluations, un programme indépendant qui évalue les solutions EDR/XDR commerciales (CrowdStrike, SentinelOne, Microsoft Defender, Palo Alto Cortex, Trellix, Cisco, Sophos, etc.) face à des scénarios d'émulation reproduisant des groupes connus. Chaque round cible un adversaire : APT3 (2018), APT29 (2019), Carbanak/FIN7 (2020), Wizard Spider/Sandworm (2021), Turla (2022), menuPass + ALPHV BlackCat (2023), DPRK + CL0P (2024-2026).

Les résultats — publics et non classés — fournissent des matrices détaillées : Detection (visibilité), Analytic Coverage (corrélations), Telemetry Only (logs sans alerte). Les évaluations ne classent pas les produits (« there is no winner ») mais permettent aux acheteurs de comparer méthodologiquement les capacités. Pour un RSSI, c'est un input essentiel dans la sélection EDR.

Évolutions récentes : Cloud, OT, IA

Les versions v15 à v17 (2024-2026) approfondissent plusieurs domaines :

• Cloud : techniques d'abus IAM (T1098.001 Additional Cloud Credentials), Cloud API (T1078.004 Cloud Accounts), exfiltration vers stockage cloud légitime (T1567).
• OT / ICS : matrice ICS étoffée à la suite des incidents Industroyer2, Pipedream/Incontroller.
• Identity : ajout de techniques liées à Entra ID, fédération SAML, OAuth (T1528 — Steal Application Access Token).
• Mobile : techniques de stalkerware et de profilage MDM.
• IA et LLM : initiative parallèle MITRE ATLAS qui documente les attaques contre les systèmes d'IA (prompt injection, model evasion, training data poisoning) ; à terme, intégration partielle dans ATT&CK.

Implémentation pratique : feuille de route 90 jours

Pour une organisation découvrant ATT&CK, voici un plan d'adoption pragmatique étalé sur trois mois :

• Jours 1-15 — Acculturation : formation de l'équipe SOC sur la matrice Enterprise, parcours guidé sur attack.mitre.org, ateliers de lecture de fiches techniques. Identifier 2 ou 3 référents internes ATT&CK.
• Jours 15-30 — Cartographie initiale : recensement des règles SIEM/EDR existantes et tagging manuel sur les techniques. Construction d'un premier layer Navigator « As-Is ».
• Jours 30-45 — Threat profiling : sélection de 3 à 5 groupes pertinents pour le secteur (santé : Royal/BlackCat, finance : FIN7/Lazarus, industrie : Volt Typhoon/Sandworm). Création de layers d'adversaires.
• Jours 45-60 — Gap analysis : superposition des layers As-Is et Adversaires. Identification des techniques non couvertes ; priorisation par fréquence d'observation.
• Jours 60-75 — Quick wins : déploiement de règles Sigma communautaires sur les top techniques manquantes (T1059.001, T1003.001, T1486, T1078, T1071).
• Jours 75-90 — Validation : exercice purple team avec Atomic Red Team sur les nouvelles règles ; mesure de la couverture finale et baseline pour suivi trimestriel.

À l'issue des 90 jours, l'organisation dispose d'un référentiel vivant, de KPI mesurables et d'un processus reproductible. Le maintien recommandé est trimestriel, avec revue annuelle de la stratégie globale.

Limites et critiques du framework

Malgré son adoption massive, ATT&CK présente certaines limites :

• Couverture incomplète : la matrice ICS reste plus pauvre qu'Enterprise ; l'OT industriel européen est moins représenté que les contextes US.
• Pas une mesure d'efficacité : couvrir 100% des techniques ATT&CK ne garantit pas la sécurité ; certaines détections peuvent être triviales à contourner.
• Granularité variable : certaines techniques sont très larges (T1059 — tout interpréteur), d'autres ultra-spécifiques.
• Biais d'observabilité : ATT&CK reflète ce qui est détecté et publié, donc sous-représente les menaces non observées (zero-day silencieux, opérations très ciblées).
• Lourdeur opérationnelle : maintenir une heatmap à jour demande un investissement organisationnel non négligeable.

Une approche complémentaire passe par des audits réguliers et des exercices Red Team commandités, comme proposé dans notre service audit d'infrastructure.

FAQ : questions fréquentes sur MITRE ATT&CK

Quelle différence entre ATT&CK et la Cyber Kill Chain ?

La Cyber Kill Chain de Lockheed Martin (2011) modélise l'attaque en 7 phases linéaires de haut niveau (Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Actions on Objectives). ATT&CK est plus granulaire (200+ techniques) et non strictement linéaire : un attaquant peut alterner entre tactiques. Les deux frameworks sont complémentaires : la Kill Chain pour la communication exécutive, ATT&CK pour l'opérationnel.

Comment commencer avec ATT&CK quand on est SOC débutant ?

Étape 1 : explorer attack.mitre.org pour se familiariser avec la matrice Enterprise. Étape 2 : choisir 5 à 10 techniques top-of-mind dans son secteur (T1059, T1078, T1486, T1190, T1566) et vérifier que le SIEM les détecte. Étape 3 : utiliser ATT&CK Navigator pour visualiser la couverture. Étape 4 : élargir progressivement via les profils de groupes pertinents. La courbe d'apprentissage est de quelques semaines pour un usage opérationnel courant.

ATT&CK est-il vraiment gratuit et open source ?

Oui, totalement. Le contenu est sous licence permissive (Apache 2.0 pour le code Navigator/Workbench, et conditions d'usage permissives pour les données ATT&CK). Aucune souscription n'est nécessaire. MITRE Corporation est un FFRDC (Federally Funded Research and Development Center) dont la mission inclut la diffusion de standards de sécurité.

Que peut-on faire avec ATT&CK Navigator ?

Créer des layers personnalisés (couverture détection, profils adversaires, plans d'amélioration), comparer plusieurs layers pour identifier les gaps, exporter vers Excel ou SVG pour reporting, importer des layers générés automatiquement par les SIEM/EDR. C'est l'outil de visualisation officiel et le plus utilisé en 2026.

Comment mapper mes détections existantes sur ATT&CK ?

Trois méthodes : (1) tagger manuellement chaque règle SIEM avec un champ mitre.technique ; (2) utiliser des règles Sigma (qui portent nativement les tags ATT&CK) puis les convertir vers le SIEM cible ; (3) s'appuyer sur les contenus de détection préfournis par les éditeurs (Sentinel Content Hub, Elastic prebuilt rules) qui sont déjà mappés. La méthode (2) est la plus pérenne car portable d'un SIEM à l'autre.

ATT&CK couvre-t-il les vulnérabilités de type race condition ?

Indirectement. Les race conditions sont plutôt des classes de vulnérabilités (CWE-362) que des techniques ATT&CK. Néanmoins, leur exploitation peut tomber sous T1068 (Exploitation for Privilege Escalation) ou T1190. Pour approfondir, consultez notre guide dédié race condition : faille, attaque et défense.

Liens approfondis et ressources

• Site officiel : attack.mitre.org
• MITRE Corporation : mitre.org
• Données STIX sur GitHub : github.com/mitre/cti
• Notre guide top techniques ATT&CK 2026 et stratégies de défense
• Notre dossier threat hunting et détection proactive avec MITRE
• Notre analyse anatomie d'une attaque ransomware (Kill Chain + ATT&CK)
• Notre guide techniques de bypass EDR et contremesures 2026
• Notre guide race conditions : exploitation et défense
• Nos datasets cybersécurité et notre service d'audit d'infrastructure