MITRE ATT&CK : Les 10 Techniques les Plus Utilisées en 2026 et Comment s'en Défendre

Introduction : MITRE ATT&CK, le langage universel de la cybersécurité

Le framework MITRE ATT&CK s'est imposé comme le référentiel incontournable pour décrire, catégoriser et analyser les comportements adverses dans le cyberespace. Créé en 2013 par la MITRE Corporation, il recense aujourd'hui plus de 200 techniques réparties en 14 tactiques, couvrant l'ensemble du cycle de vie d'une intrusion, de la reconnaissance initiale à l'exfiltration de données. En 2026, ATT&CK n'est plus seulement un catalogue académique : c'est le langage commun qui unit les équipes de sécurité offensive et défensive à travers le monde.

Pourquoi est-il si critique de connaître les techniques les plus utilisées ? Les données de télémétrie collectées par les principaux éditeurs de solutions de sécurité (CrowdStrike, Microsoft, Mandiant, Recorded Future) révèlent une concentration remarquable : environ 80 % des incidents observés en 2025-2026 impliquent des techniques liées à l'évasion défensive et à la persistance. Les attaquants, qu'il s'agisse de groupes APT étatiques ou de gangs de ransomware, recyclent et perfectionnent un ensemble relativement restreint de techniques éprouvées plutôt que d'en inventer de nouvelles.

Cette concentration représente à la fois un défi et une opportunité. Un défi parce que ces techniques sont constamment raffinées pour contourner les défenses les plus récentes. Une opportunité parce qu'en concentrant les efforts de détection sur ce noyau critique, les équipes Blue Team peuvent maximiser leur retour sur investissement sécuritaire. De même, les Red Teams doivent maîtriser ces techniques pour simuler fidèlement les menaces réelles lors d'exercices adversarial.

Cet article propose une analyse approfondie des 10 techniques ATT&CK les plus fréquemment observées en 2026, enrichie pour chacune de détails sur les sous-techniques, les outils utilisés par les attaquants, les méthodes de détection concrètes et les contre-mesures opérationnelles. Nous aborderons ensuite la méthodologie de threat hunting basée sur ATT&CK et la construction d'une stratégie défensive cohérente. Que vous soyez analyste SOC, threat hunter, pentester ou RSSI, ce guide vise à transformer votre compréhension d'ATT&CK en capacité opérationnelle mesurable.

Note méthodologique : Le classement présenté ici s'appuie sur la synthèse de rapports publics de threat intelligence (Mandiant M-Trends 2026, CrowdStrike Global Threat Report 2026, Red Canary Threat Detection Report), les données de la plateforme MITRE ATT&CK elle-même, et notre propre expérience d'audits et de réponse à incident.

#1 Process Injection (T1055)

La technique d'injection de processus occupe la première place de notre classement, et ce n'est pas une surprise. T1055 Process Injection est la pierre angulaire de l'arsenal offensif moderne. Elle permet à un attaquant d'exécuter du code arbitraire dans l'espace mémoire d'un processus légitime, obtenant ainsi à la fois l'évasion des défenses (le code malveillant s'exécute sous l'identité d'un processus de confiance) et une élévation de privilèges potentielle.

Les variantes principales (T1055.001 à T1055.012)

ATT&CK recense douze sous-techniques de Process Injection, chacune exploitant un mécanisme spécifique du système d'exploitation :

DLL Injection (T1055.001)

La méthode la plus classique. L'attaquant force un processus cible à charger une DLL malveillante via CreateRemoteThread combiné à LoadLibrary. Bien que ancienne, cette technique reste efficace car de nombreuses applications légitimes chargent des DLL dynamiquement, rendant le comportement difficile à distinguer du fonctionnement normal. Les outils comme Cobalt Strike, Havoc et Sliver l'implémentent nativement.

Process Hollowing (T1055.012)

Technique plus sophistiquée : l'attaquant crée un processus légitime en état suspendu (par exemple svchost.exe), vide son contenu mémoire via NtUnmapViewOfSection, puis injecte son propre code avant de reprendre l'exécution. Le processus apparaît légitime dans le gestionnaire de tâches et les outils de monitoring classiques. Le Process Hollowing est particulièrement prisé par les groupes de ransomware comme LockBit et BlackCat/ALPHV car il permet de contourner les listes blanches d'applications.

APC Injection (T1055.004)

L'injection via Asynchronous Procedure Call exploite le mécanisme APC de Windows pour forcer un thread cible à exécuter du code lors de son prochain état d'alerte (alertable state). La variante "Early Bird" injecte le code avant même que le processus n'ait terminé son initialisation, contournant ainsi les hooks EDR posés au démarrage du processus. Cette technique est devenue un standard dans les implants APT depuis les campagnes de APT29 (Cozy Bear) et est largement documentée dans les analyses de techniques d'évasion EDR.

Thread Execution Hijacking (T1055.003)

L'attaquant suspend un thread existant d'un processus légitime, modifie son contexte d'exécution (registre EIP/RIP) pour pointer vers le shellcode injecté, puis reprend le thread. Cette technique ne crée pas de nouveau thread, ce qui la rend particulièrement furtive face aux EDR qui surveillent les appels CreateRemoteThread.

NTDLL Unhooking

Bien que pas directement une sous-technique T1055, le NTDLL unhooking est devenu indissociable de l'injection de processus moderne. Les EDR placent des hooks (détours) dans les fonctions critiques de ntdll.dll pour intercepter les appels système. Les attaquants contournent ces hooks en rechargeant une copie "propre" de ntdll depuis le disque ou directement depuis les syscalls, rendant les injections invisibles. Les frameworks comme SysWhispers3 et HellsGate automatisent ce contournement.

Extra Window Memory Injection (T1055.011)

Cette variante exploite les structures de fenêtres Windows (Extra Window Memory) pour stocker et exécuter du shellcode. Utilisée notamment par le malware PowerLoader et certaines variantes de Dridex, elle reste peu connue des analystes SOC et donc rarement détectée.

#2 Credentials from Password Stores (T1555)

Le vol de credentials reste l'un des objectifs prioritaires de toute intrusion. La technique T1555 Credentials from Password Stores regroupe l'ensemble des méthodes permettant d'extraire des identifiants stockés localement sur un système compromis. En 2026, cette technique est omniprésente dans les chaînes d'attaque, servant de pivot entre l'accès initial et le mouvement latéral.

Navigateurs et gestionnaires de mots de passe

Les navigateurs modernes (Chrome, Firefox, Edge) stockent les mots de passe dans des bases de données chiffrées locales. Sous Windows, Chrome utilise DPAPI (Data Protection API) pour chiffrer les credentials dans le fichier Login Data (SQLite). L'attaquant ayant compromis une session utilisateur peut déchiffrer ces données via les clés DPAPI du profil. Des outils comme Mimikatz (module dpapi::chrome), LaZagne et SharpDPAPI automatisent cette extraction.

Sur macOS, le Keychain stocke les mots de passe, certificats et clés SSH. L'outil security dump-keychain combiné à des techniques d'élévation de privilèges permet l'extraction complète. Les gestionnaires de mots de passe tiers (1Password, KeePass, Bitwarden) constituent également des cibles de choix lorsqu'ils sont déverrouillés en mémoire.

DPAPI Abuse et credential managers

Windows Credential Manager et Windows Vault stockent les credentials pour les connexions réseau, les sessions RDP et les applications. L'abus de DPAPI est devenu un axe majeur d'attaque : un attaquant disposant du hash NTLM d'un utilisateur ou des clés de sauvegarde DPAPI du domaine peut déchiffrer hors ligne tous les secrets protégés par DPAPI, y compris les credentials Wi-Fi, les certificats et les cookies de session. Le module sekurlsa::dpapi de Mimikatz et l'outil SharpDPAPI de GhostPack permettent cette extraction à grande échelle lors d'opérations de post-exploitation.

Accès à LSASS et extraction mémoire

Bien que techniquement distinct (T1003.001 LSASS Memory), l'accès au processus LSASS est souvent combiné avec T1555 dans les chaînes d'attaque réelles. Les méthodes modernes incluent le dump via comsvcs.dll (MiniDump), les outils comme Nanodump, PPLdump pour contourner la protection PPL (Protected Process Light), et même l'utilisation de pilotes vulnérables signés (BYOVD - Bring Your Own Vulnerable Driver) pour désactiver la protection PPL avant le dump. L'exploitation de Kerberos et le vol de TGT/TGS sont également liés à cette technique.

#3 Virtualization/Sandbox Evasion (T1497)

L'évasion de sandbox et de virtualisation est devenue un composant standard de pratiquement tous les malwares sophistiqués en 2026. La technique T1497 regroupe les méthodes utilisées par les malwares pour détecter s'ils s'exécutent dans un environnement d'analyse (sandbox, machine virtuelle, debugger) et modifier leur comportement en conséquence, généralement en restant dormants ou en simulant un comportement bénin.

Pourquoi cette technique explose en 2026

La généralisation des sandboxes dans les solutions de sécurité (Palo Alto WildFire, CrowdStrike Falcon Sandbox, Joe Sandbox, Any.Run) a créé une pression de sélection : seuls les malwares capables de contourner l'analyse automatisée survivent assez longtemps pour atteindre leurs objectifs. Le résultat est une course aux armements permanente entre analystes et développeurs de malwares.

Méthodes de détection d'environnements virtuels

Les techniques les plus courantes incluent :

• Vérification matérielle : présence de VMware Tools, VirtualBox Guest Additions, registres spécifiques (HKLM\SOFTWARE\VMware), adresses MAC de fournisseurs de virtualisation (00:0C:29 pour VMware, 08:00:27 pour VirtualBox).
• Timing-based evasion : mesure du temps d'exécution de certaines instructions CPU (RDTSC, CPUID). Les environnements virtualisés introduisent des latences mesurables. Les malwares utilisent des boucles de calibration pour détecter ces anomalies temporelles.
• User interaction checks : vérification du mouvement de souris, des clics, du nombre de fichiers récents, de la taille du disque, du nombre de processus en cours. Un système fraîchement installé sans activité utilisateur est un indicateur fort de sandbox.
• Vérification de l'environnement réseau : résolution DNS de domaines connus des sandbox, vérification de la connectivité Internet réelle, détection de proxies d'analyse.
• Instructions CPU spécifiques : l'instruction CPUID avec certains leaf values révèle le hypervisor brand string. L'instruction IN avec le port VMware (0x5658) est un classique de la détection VMware.

#4 Application Layer Protocol (T1071)

La technique T1071 Application Layer Protocol couvre l'utilisation de protocoles applicatifs standard pour les communications C2 (Command and Control). En 2026, la quasi-totalité des implants utilisent des protocoles légitimes pour se fondre dans le trafic réseau normal, rendant la détection par les approches basées sur les signatures particulièrement difficile. Cette technique est intimement liée à la conception des frameworks C2 modernes comme Mythic, Havoc et Sliver.

HTTPS C2 et communications chiffrées

HTTPS (T1071.001) est le protocole C2 dominant. Les implants communiquent via des requêtes HTTPS standard vers des serveurs C2 hébergés sur des infrastructures cloud légitimes (Azure, AWS, Cloudflare Workers). Le chiffrement TLS empêche l'inspection du contenu par les solutions réseau traditionnelles. Les techniques avancées incluent le domain fronting (utilisation de CDN comme frontal pour masquer le domaine C2 réel), le domain borrowing et l'utilisation de services légitimes comme canaux C2 (Slack, Discord, Telegram, Google Sheets).

DNS over HTTPS et protocoles émergents

DNS over HTTPS (DoH) est devenu un canal C2 prisé car il contourne les solutions de monitoring DNS traditionnelles. Les données C2 sont encapsulées dans des requêtes DNS chiffrées vers des résolveurs publics (Cloudflare 1.1.1.1, Google 8.8.8.8). De même, les protocoles WebSocket, gRPC et QUIC sont de plus en plus utilisés pour des communications C2 bidirectionnelles en temps réel, difficiles à distinguer du trafic applicatif légitime. Les techniques d'exfiltration furtive exploitent souvent ces mêmes canaux.

#5 Masquerading (T1036)

Le masquerading consiste à faire passer un fichier, un processus ou un service malveillant pour un élément légitime du système. La technique T1036 est un pilier de l'évasion défensive car elle exploite la confiance implicite que les analystes et les outils automatisés accordent aux noms et emplacements familiers. En 2026, cette technique est systématiquement combinée avec les approches Living-off-the-Land pour maximiser la furtivité.

Techniques de masquerading courantes

• Renommage de binaires (T1036.003) : un implant renommé en svchost.exe ou csrss.exe et placé dans un répertoire proche de C:\Windows\System32 (par exemple C:\Windows\Temp\). De nombreux analystes ne vérifient pas le chemin complet du processus.
• Usurpation de signature (T1036.001) : utilisation de certificats volés ou de techniques de timestomping pour modifier les métadonnées du fichier. Les binaires signés avec des certificats EV (Extended Validation) bénéficient d'une confiance accrue de la part des EDR et des solutions de whitelisting.
• Right-to-Left Override (T1036.002) : insertion du caractère Unicode RLO (U+202E) dans le nom de fichier pour inverser l'affichage. Un fichier nommé document[RLO]fdp.exe apparaît comme documentexe.pdf dans l'Explorateur Windows.
• Double extensions : rapport.pdf.exe avec les extensions connues masquées par défaut dans Windows. Technique ancienne mais toujours efficace en ingénierie sociale.
• Masquerading de processus système : exécution d'un malware sous le nom d'un processus système légitime, depuis un emplacement non standard. La connaissance des arbres de processus normaux (process tree) est essentielle pour détecter ces anomalies.

#6-#10 Les cinq techniques suivantes en synthèse

Les cinq techniques suivantes complètent notre top 10 des techniques ATT&CK les plus observées en 2026. Bien que traitées en synthèse, chacune mérite une attention particulière dans toute stratégie de détection et de défense.

#6 - Boot or Logon Autostart Execution (T1547)

La technique T1547 regroupe les mécanismes de persistance qui s'exécutent automatiquement au démarrage du système ou à la connexion utilisateur. Sur Windows, les vecteurs principaux incluent les clés Run/RunOnce du registre (HKCU\Software\Microsoft\Windows\CurrentVersion\Run), les services Windows, les tâches planifiées au logon, le dossier Startup, les DLL d'authentification (T1547.002), et les Winlogon Helper DLL (T1547.004). Sur Linux, les mécanismes incluent les scripts d'initialisation systemd, les crontabs @reboot, les fichiers .bashrc/.profile, et les modules PAM modifiés. Sur macOS, les LaunchDaemons et LaunchAgents sont les vecteurs privilégiés.

En 2026, les attaquants privilégient les mécanismes de persistance moins surveillés : les COM Object Hijacking (T1546.015), les changements dans les providers WMI (T1546.003), et les modifications de scheduled tasks existantes plutôt que la création de nouvelles. Le groupe APT Lazarus a été observé utilisant des persistances via des modifications de firmware UEFI sur des cibles de haute valeur.

#7 - Impair Defenses (T1562)

La technique T1562 couvre la désactivation ou la dégradation des outils de sécurité. C'est devenu un prérequis dans les chaînes d'attaque de ransomware : avant le déploiement du payload de chiffrement, les opérateurs désactivent systématiquement les EDR, les antivirus et les mécanismes de journalisation. Les méthodes les plus utilisées en 2026 sont abordées en profondeur dans notre article sur l'évasion EDR/XDR.

Les sous-techniques principales incluent : la désactivation de Windows Defender via PowerShell (Set-MpPreference -DisableRealtimeMonitoring $true), le BYOVD (Bring Your Own Vulnerable Driver) pour tuer les processus EDR depuis le kernel (pilotes vulnérables comme Dell dbutil, Zemana, Process Explorer), la suppression des logs via wevtutil cl, la modification de la configuration Sysmon, et la désactivation d'AMSI (Antimalware Scan Interface) en mémoire.

#8 - Remote Access Software (T1219)

L'utilisation de logiciels d'accès à distance légitimes comme vecteur d'attaque est en forte augmentation. T1219 couvre l'usage abusif d'outils comme AnyDesk, TeamViewer, ConnectWise ScreenConnect, Splashtop et RustDesk par les attaquants. Ces outils sont particulièrement dangereux car ils sont souvent déjà autorisés par les politiques de sécurité réseau et considérés comme des applications de confiance par les EDR.

En 2026, les groupes de ransomware (en particulier les affiliés de RansomHub et Play) déploient systématiquement des instances portables de ScreenConnect ou AnyDesk comme canal d'accès persistant alternatif à leurs implants C2 traditionnels. Les attaques via le support technique frauduleux (Tech Support Scam) utilisent également ces outils pour prendre le contrôle des postes de travail des victimes après un appel téléphonique d'ingénierie sociale.

#9 - Scheduled Task/Job (T1053)

T1053 couvre l'utilisation des planificateurs de tâches comme mécanisme de persistance, d'exécution et de mouvement latéral. Sur Windows, le Task Scheduler (schtasks.exe) permet de créer des tâches qui s'exécutent à des intervalles définis, au démarrage, ou en réponse à des événements. Sur Linux, cron, at et les timers systemd servent le même objectif.

En 2026, les attaquants utilisent des techniques d'évasion avancées pour les tâches planifiées : création de tâches avec des noms imitant des tâches système légitimes, utilisation de l'API COM pour créer des tâches sans passer par schtasks.exe (contournant ainsi les détections basées sur la ligne de commande), modification de tâches existantes plutôt que création de nouvelles, et utilisation de XML d'import pour des configurations complexes. Le mouvement latéral via les tâches planifiées distantes (schtasks /create /s <remote_host>) reste un classique des opérations de post-exploitation et pivoting.

#10 - Obfuscated Files or Information (T1027)

La technique T1027 couvre l'ensemble des méthodes d'obfuscation utilisées pour rendre les payloads malveillants difficiles à analyser, tant par les outils automatisés (antivirus, EDR, sandbox) que par les analystes humains. En 2026, l'obfuscation est omniprésente : chiffrement de payloads (AES, XOR multicouche), encodage (Base64, custom encoding), packing (UPX, Themida, VMProtect), utilisation de langages compilés avec métadonnées minimales (Go, Rust, Nim), et génération de code polymorphe assistée par IA.

Les sous-techniques notables incluent T1027.001 (Binary Padding) qui modifie la taille du binaire pour contourner les signatures basées sur la taille, T1027.002 (Software Packing) qui compresse et chiffre le code exécutable, T1027.004 (Compile After Delivery) où le code source est livré et compilé localement, et T1027.006 (HTML Smuggling) qui encapsule le payload dans du HTML/JavaScript pour contourner les filtres de proxy. Les techniques d'obfuscation de scripts PowerShell et JavaScript sont particulièrement répandues dans les chaînes d'attaque de phishing.

Threat Hunting avec ATT&CK : de la théorie à la pratique

Le threat hunting, ou chasse aux menaces, est une discipline proactive qui consiste à rechercher activement des indices de compromission dans l'environnement informatique, sans attendre les alertes automatisées. Le framework ATT&CK est le catalyseur qui transforme cette discipline d'un art intuitif en un processus méthodique et reproductible. Comprendre comment utiliser ATT&CK pour le threat hunting est une compétence essentielle pour toute équipe de sécurité mature, et constitue un pilier de la méthodologie Purple Team.

Méthodologie Hypothesis-Driven Hunting

Le hunting basé sur les hypothèses suit un processus structuré en cinq étapes :

1. Formulation de l'hypothèse : basée sur la threat intelligence, les techniques ATT&CK pertinentes pour le profil de menace de l'organisation, ou les gaps de détection identifiés. Exemple : "Un attaquant a pu établir une persistance via des tâches planifiées (T1053) sur nos serveurs Windows exposés".
2. Identification des données nécessaires : quels logs et quelle télémétrie sont requis pour valider ou infirmer l'hypothèse ? Pour T1053 : logs Security Event ID 4698/4702, Sysmon Event ID 1 pour schtasks.exe, logs Task Scheduler opérationnels.
3. Développement des requêtes analytiques : écriture des requêtes dans le langage du SIEM (KQL pour Sentinel, SPL pour Splunk, EQL pour Elastic). Les requêtes doivent être suffisamment larges pour capturer les variantes tout en minimisant les faux positifs.
4. Investigation et analyse : exécution des requêtes, triage des résultats, corrélation avec d'autres sources de données, et analyse contextuelle pour déterminer si les résultats représentent une activité malveillante ou légitime.
5. Conversion en détection automatisée : les requêtes de hunting validées sont transformées en règles de détection continues (alertes SIEM, règles Sigma, détections EDR custom) pour automatiser la détection future de la même technique.

ATT&CK Navigator : cartographier sa couverture

L'outil ATT&CK Navigator est un composant essentiel de toute opération de hunting. Il permet de créer des heat maps visuelles de la matrice ATT&CK, superposant plusieurs couches d'information :

• Couverture de détection : quelles techniques sont couvertes par des règles de détection existantes ? Avec quel niveau de confiance (haute, moyenne, basse) ?
• Profil de menace : quelles techniques sont utilisées par les groupes de menaces ciblant votre secteur d'activité ? Les données CTI de MITRE, de votre ISAC sectoriel, et de vos propres observations alimentent cette couche.
• Données disponibles : quelles sources de logs sont collectées et dans quels SIEM ? Cette couche révèle les angles morts de visibilité.
• Gap analysis : la superposition de ces couches révèle les techniques à haut risque (utilisées par les menaces pertinentes) et faiblement couvertes (peu ou pas de détection). C'est la base de la priorisation des efforts de hunting.

Mapping logs vers techniques ATT&CK

Le mapping entre les sources de logs et les techniques ATT&CK est un exercice fondamental. Voici les correspondances clés pour notre top 10 :

Technique	Sources de logs primaires	Event IDs clés
T1055 Process Injection	Sysmon, ETW, EDR	Sysmon 8, 10, 25
T1555 Credential Stores	Sysmon, Security, EDR	Sysmon 1, 11; Security 4663
T1497 Sandbox Evasion	Sandbox logs, EDR	API calls (WMI, Registry)
T1071 App Layer Proto	Proxy, DNS, Zeek/NIDS	HTTP logs, DNS queries
T1036 Masquerading	Sysmon, EDR, AppLocker	Sysmon 1 (hash mismatch)
T1547 Boot Autostart	Sysmon, Security	Sysmon 12/13, Security 7045
T1562 Impair Defenses	Security, Sysmon, EDR health	Security 7040, Sysmon 6
T1219 Remote Access	Sysmon, Proxy, DNS	Sysmon 1, 3 (network)
T1053 Scheduled Task	Security, Sysmon, Task Scheduler	Security 4698/4702
T1027 Obfuscated Files	AMSI, Sysmon, EDR	AMSI events, Sysmon 7/15

Création de playbooks de chasse

Un playbook de chasse est un document structuré qui guide le hunter à travers une investigation spécifique. Pour chaque technique ATT&CK ciblée, le playbook doit inclure :

• Contexte de la menace : quels groupes utilisent cette technique, dans quels scénarios, et avec quels outils.
• Prérequis en données : quelles sources de logs doivent être collectées et dans quel niveau de détail (verbosité).
• Requêtes de hunting : requêtes Sigma, KQL, SPL ou EQL prêtes à l'emploi, avec des variantes pour différents niveaux de spécificité.
• Procédure de triage : arbre de décision pour qualifier les résultats (vrai positif, faux positif, nécessite investigation approfondie).
• Actions de remédiation : procédures à suivre en cas de découverte d'une compromission avérée.
• Conversion en détection : comment transformer le hunting en règle automatisée pour le SIEM/EDR.

Intégration SIEM : Splunk, Elastic, Sentinel

L'intégration d'ATT&CK dans les principales plateformes SIEM a considérablement mûri en 2026. Splunk offre le Content Pack ATT&CK avec des recherches préconfigurées mappées sur les techniques. Elastic Security intègre nativement le mapping ATT&CK dans ses règles de détection et son module de threat intelligence. Microsoft Sentinel propose des workbooks ATT&CK et des hunting queries alignées sur le framework. Le format Sigma permet d'écrire des règles de détection portables, convertibles automatiquement vers la syntaxe de chaque SIEM via sigmac ou pySigma.

# Exemple de règle Sigma pour détecter T1055 - Process Injection via CreateRemoteThread
title: Suspicious CreateRemoteThread - Process Injection
id: 66d31e5f-52d6-40a4-9615-002d3789a119
status: stable
description: Detects CreateRemoteThread calls to processes not typically targeted
logsource:
    category: create_remote_thread
    product: windows
detection:
    selection:
        SourceImage|endswith:
            - '\powershell.exe'
            - '\cmd.exe'
            - '\rundll32.exe'
            - '\regsvr32.exe'
    filter:
        TargetImage|endswith:
            - '\svchost.exe'
    condition: selection and not filter
level: high
tags:
    - attack.defense_evasion
    - attack.t1055

Construire sa défense avec ATT&CK

ATT&CK n'est pas seulement un outil d'analyse rétrospective : c'est un framework stratégique pour construire et améliorer continuellement les capacités de défense d'une organisation. Voici les cinq piliers d'une stratégie défensive basée sur ATT&CK.

Gap Analysis : mesurer sa couverture

Le point de départ est l'évaluation honnête de la couverture de détection actuelle. Pour chaque technique du top 10 (et au-delà), posez-vous trois questions : avons-nous les données nécessaires ? (sources de logs, télémétrie EDR), avons-nous des règles de détection ? (alertes SIEM, détections EDR custom), et ces règles sont-elles validées ? (tests réguliers avec des simulations). Le résultat est un score de maturité de détection par technique, visualisable dans ATT&CK Navigator.

Priorisation par Threat Intelligence

Toutes les techniques ne méritent pas le même investissement. La priorisation doit être guidée par la threat intelligence spécifique au secteur et au profil de l'organisation. Une banque doit prioriser les techniques utilisées par FIN7 et Carbanak. Un fournisseur d'énergie doit se concentrer sur Sandworm et Lazarus. Un éditeur de logiciels doit surveiller les techniques de supply chain (T1195). Les données CTI de votre ISAC, les rapports de votre fournisseur de threat intelligence, et les fiches de groupes ATT&CK alimentent cette priorisation.

Exercices Purple Team

Les exercices Purple Team sont le mécanisme de validation par excellence. Ils consistent à simuler des techniques ATT&CK spécifiques (Red Team) tout en observant et améliorant les capacités de détection en temps réel (Blue Team). Le cycle Purple Team pour une technique donnée suit quatre phases : simulation de la technique avec des outils offensifs (Atomic Red Team, Caldera), observation des logs et alertes générés, identification des gaps de détection, et implémentation de nouvelles règles ou ajustement des existantes.

DETT&CT Framework

Le framework DETT&CT (DEtection & Threat Technique Coverage Tracking) développé par la communauté, formalise le processus de suivi de la couverture. Il permet de documenter les sources de données disponibles, de scorer la qualité de la visibilité sur chaque source (de 0 = aucune à 5 = complète), de mapper les détections existantes avec leur niveau de confiance, et de générer automatiquement des couches ATT&CK Navigator pour visualiser les gaps. Cet outil est devenu un standard de facto dans les SOC matures en 2026.

Simulation avec Atomic Red Team et Caldera

Atomic Red Team (projet Red Canary) fournit une bibliothèque de tests atomiques pour chaque technique ATT&CK, exécutables en une seule commande. Pour T1055.001 (DLL Injection), le test atomique injecte une DLL de test dans un processus cible et vérifie si la détection se déclenche. MITRE Caldera va plus loin en orchestrant des chaînes d'attaque complètes (opérations adversarial) simulant le comportement de groupes APT spécifiques. En 2026, Caldera 5.x intègre des plugins pour simuler plus de 400 techniques et sous-techniques avec un réalisme accru.

Conclusion

Le framework MITRE ATT&CK a transformé la manière dont les organisations abordent la cybersécurité défensive. En identifiant et en comprenant les dix techniques les plus utilisées par les attaquants en 2026, de l'injection de processus (T1055) à l'obfuscation de fichiers (T1027), les équipes de sécurité disposent d'une feuille de route claire pour prioriser leurs investissements en détection.

Les enseignements clés de cette analyse sont les suivants. Premièrement, la défense en profondeur reste indispensable : aucune couche de détection unique ne couvre l'ensemble des techniques. La combinaison de la surveillance réseau (JA3, NIDS), endpoint (Sysmon, EDR), mémoire (YARA, PE-sieve), identité (logs AD) et de la corrélation SIEM est nécessaire pour une couverture complète. Deuxièmement, le threat hunting proactif basé sur des hypothèses ATT&CK est le complément indispensable des détections automatisées. Troisièmement, la validation continue via des exercices Purple Team et des simulations Atomic Red Team/Caldera garantit que les détections fonctionnent réellement face aux techniques adverses actuelles.

La cybersécurité est une discipline dynamique : les techniques évoluent, de nouvelles sous-techniques apparaissent, et les outils défensifs doivent s'adapter continuellement. En ancrant votre stratégie défensive dans le framework ATT&CK, vous adoptez un langage commun qui facilite la communication entre équipes, la mesure de la maturité, et l'amélioration continue de votre posture de sécurité. L'objectif n'est pas de couvrir les 200+ techniques d'ATT&CK du jour au lendemain, mais de construire méthodiquement une couverture solide en commençant par les techniques les plus fréquemment observées, celles que cet article vous a présentées.