Méthodologie d'attaque + classification MITRE ATT&CK
Sans grille, chaque article sécurité te fait recommencer à zéro. Avec MITRE, tu dis « TA0006 Credential Access, T-01-05 couvre ça, on passe à autre chose. »
Chaque fois que tu lis un post-mortem de breach, un thread Twitter sur une CVE, ou un article sur une nouvelle vague de ransomware, tu te retrouves face au même problème : l'information est là, mais tu ne sais pas où la ranger dans ta tête. Est-ce que ça concerne ton infrastructure ? Est-ce que tu as déjà une couverture ? Est-ce que ça change quelque chose à ce que tu fais cette semaine ?
Sans cadre, chaque nouvelle information repart dans un tiroir mentalement étiqueté « à traiter plus tard ». Et « plus tard » n'arrive jamais, parce que la semaine d'après il y a un nouveau thread, une nouvelle CVE, un nouveau vendor qui te promet que son produit règle tout.
MITRE ATT&CK résout ce problème. Ce n'est pas un outil à installer ni une checklist à cocher. C'est une taxonomie — un système de classement des comportements d'attaque — qui te donne une grille mentale durable. Quand tu la connais, tu n'as plus à réinventer le cadre à chaque lecture. Tu places l'information, tu vérifies ta couverture, tu passes à la suite.
Cet article te donne cette grille. À la fin, tu connais les 14 tactiques, tu sais les utiliser pour qualifier une menace, et tu vois comment elles se mappent sur les 5 domaines Cyberviseur.
Pourquoi MITRE est devenu le standard
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissances publique maintenue par la MITRE Corporation, organisation américaine à but non lucratif financée initialement par DARPA. La matrice Enterprise a été publiée en 2015. En dix ans, elle est devenue le langage commun des équipes de sécurité défensive dans le monde entier.
Ce n'est pas un hasard. C'est le résultat de trois choix structurants dès l'origine :
Ancrage dans le réel. ATT&CK ne théorise pas. Il catalogue des comportements d'attaquants réels, observés dans des incidents réels, documentés avec des exemples, des groupes attribués, et des détections connues. Quand tu lis TA0006 Credential Access, tu ne lis pas une hypothèse académique — tu lis la consolidation de centaines d'incidents documentés.
Ouverture totale. La matrice est gratuite, en ligne sur attack.mitre.org, et sous licence ouverte. N'importe quel outil de sécurité peut s'y référencer, n'importe quel article peut la citer, n'importe quelle organisation peut construire dessus. C'est cette ouverture qui a créé l'effet réseau.
Adoption institutionnelle massive. Google, Microsoft, l'ANSSI, la NSA, l'OTAN, Mandiant, CrowdStrike — tous utilisent ATT&CK comme référence commune. Quand un rapport d'incident mentionne TA0004, tout le monde dans la pièce sait de quoi on parle. Ce langage partagé réduit le bruit et accélère la réponse.
Pour toi, en tant que vibe-coder ou saas-founder, l'enjeu est plus simple : quand tu lis un article sécurité et que tu vois un ID MITRE, tu sais exactement où ça s'inscrit dans le tableau d'ensemble. Tu peux qualifier la menace, vérifier si tu as une couverture, et décider si tu dois agir — ou non.
Les 3 niveaux de la classification MITRE
Avant d'entrer dans les tactiques, il faut comprendre comment ATT&CK est structuré. Il y a trois niveaux d'abstraction.
Niveau 1 — Les tactiques (le « pourquoi »)
Les tactiques représentent l'objectif de l'attaquant à un moment donné de son intrusion. Ce sont les 14 grandes catégories de la matrice Enterprise. Elles répondent à la question : « Pourquoi l'attaquant fait-il ce qu'il fait ? » Exemples : obtenir un accès, escalader ses droits, exfiltrer des données.
Les tactiques sont stables. Elles n'ont presque pas changé depuis 2015, parce que les objectifs fondamentaux des attaquants ne changent pas. Ce sont ces 14 tactiques que tu dois connaître par cœur.
Niveau 2 — Les techniques (le « comment »)
Chaque tactique contient des techniques — les méthodes concrètes qu'un attaquant peut utiliser pour accomplir l'objectif de la tactique. La tactique TA0001 Initial Access compte aujourd'hui plus d'une dizaine de techniques documentées : phishing (T1566), exploitation d'une application publique (T1190), supply chain compromise (T1195), etc.
Les techniques, elles, évoluent. De nouvelles apparaissent à chaque version majeure (environ tous les six mois) parce que les attaquants s'adaptent. Les IDs de tactiques sont stables, les techniques peuvent être ajoutées ou modifiées.
Niveau 3 — Les sous-techniques (les variantes)
Certaines techniques ont des sous-techniques qui précisent une variante spécifique. T1566 Phishing se divise en T1566.001 (phishing par pièce jointe), T1566.002 (phishing par lien), T1566.003 (spearphishing via service tiers).
Pour un créateur ou un développeur solo, tu n'as pas besoin de maîtriser ce niveau de détail. Les sous-techniques sont utiles pour les équipes de réponse à incident qui doivent documenter précisément ce qui s'est passé. Pour toi, le niveau tactique suffit à structurer ta pensée.
Les 14 tactiques Enterprise
Voici les 14 tactiques dans l'ordre logique d'une intrusion — de la collecte d'information initiale jusqu'à l'impact final. Je les regroupe par phase pour que la progression soit lisible.
Phase 1 — Pré-intrusion : l'attaquant prépare le terrain
TA0043 — Reconnaissance
L'attaquant collecte des informations sur toi avant de toucher à ton infrastructure. Il scrute tes sous-domaines exposés, tes adresses email publiées sur LinkedIn, tes job offers (qui révèlent ton stack technique), ton WHOIS, tes certificats TLS. Tout ce qui est public est une source. Les scanners automatisés font ce travail en continu, sans qu'un humain soit impliqué.
Ce que ça change pour toi : ton domaine, tes emails professionnels et tes headers HTTP sont des informations publiques qui alimentent cette phase. La réduire, c'est retirer de la surface, pas installer un pare-feu.
TA0042 — Resource Development
L'attaquant acquiert les ressources dont il a besoin : infrastructure de commande et contrôle, domaines sosies (typosquatting), certificats TLS valides pour paraître légitime, comptes sur des plateformes tierces, malware. Cette phase se passe entièrement chez l'attaquant — tu n'as aucune visibilité dessus. Son seul intérêt défensif : comprendre que l'attaque est préparée, professionnelle, et n'est pas lancée à l'aveugle.
Phase 2 — Intrusion : l'attaquant entre
TA0001 — Initial Access
L'attaquant trouve le chemin d'entrée. Les techniques les plus courantes dans ton contexte : phishing ciblé sur tes collaborateurs ou toi-même, exploitation d'une CVE sur une application publique (ton CMS, ton framework), credentials compromis réutilisés d'une autre breach. C'est le moment où ta surface d'attaque — combien de choses tu exposes, combien de comptes existent — est directement corrélée au risque.
TA0002 — Execution
Une fois entré, l'attaquant fait tourner du code. Ça peut être un script téléchargé, une commande passée via un interpréteur shell compromis, ou une charge utile embarquée dans un fichier. Dans ton contexte : code malveillant injecté via une dépendance NPM compromise (supply chain), commandes exécutées via une injection dans ton API, script déclenché par un webhook mal sécurisé.
Phase 3 — Persistence et escalade : l'attaquant s'installe
TA0003 — Persistence
L'attaquant s'assure qu'il peut revenir même si tu redémarres le serveur, changes un mot de passe ou fais une mise à jour. Il crée un compte backdoor, installe un service qui redémarre automatiquement, ou plante un webshell dans tes fichiers statiques. La persistence transforme un incident ponctuel en compromission durable. Un attaquant qui a la persistence a le temps pour lui.
TA0004 — Privilege Escalation
L'attaquant est entré avec des droits limités — un compte utilisateur standard, un accès à un seul service. Il cherche maintenant à devenir administrateur, root, ou à accéder à un compte avec des permissions plus larges. Exploitation d'une CVE locale, abus de configurations sudo permissives, vol du token de service d'un processus privilégié. Dans ton infra Coolify : un conteneur mal configuré qui peut écrire dans le volume Docker socket est une voie d'escalade directe vers root.
TA0005 — Defense Evasion
L'attaquant efface ses traces, désactive les logs, modifie les timestamps, obfusque son code, ou détourne les outils légitimes de ton système pour passer inaperçu. C'est la tactique qui transforme une détection possible en incident non détecté pendant des semaines. Dans ton contexte : si tu n'as pas de log centralisé hors du serveur compromis, l'attaquant peut simplement effacer les fichiers de log locaux.
Phase 4 — Opérations internes : l'attaquant exploite
TA0006 — Credential Access
L'attaquant vole des identifiants. Il dumpe les hashs de mots de passe, lit les variables d'environnement, extrait les tokens depuis la mémoire des processus, scrape les fichiers de configuration. Dans ton infra, le vecteur le plus direct : un fichier .env lisible sur le système de fichiers, un panel d'administration mal isolé, une clé API stockée en clair dans un log. Le toolkit T-01-05 du bundle B01 est entièrement centré sur la réduction de cette surface.
TA0007 — Discovery
L'attaquant cartographie l'environnement dans lequel il se trouve. Quels services tournent ? Quels autres systèmes sont accessibles depuis ce serveur ? Quels volumes sont montés ? Quels comptes utilisateurs existent ? Cette phase détermine ce qu'il va attaquer ensuite. Dans un contexte multi-conteneurs, un attaquant qui a compromis un conteneur frontal va aussitôt sonder le réseau interne Docker pour trouver la base de données.
TA0008 — Lateral Movement
Partant d'un premier point d'entrée, l'attaquant saute de système en système pour atteindre ses cibles à plus forte valeur. Dans ton stack : du VPS vers la base de données Supabase si les credentials sont partagés, du service mail vers le dashboard admin si le token est réutilisé, d'un repo GitHub compromis vers le pipeline CI/CD. C'est pour ça que l'isolation entre services — le principe Zero-Trust — n'est pas un luxe : c'est ce qui transforme un incident localisé en breach totale.
TA0009 — Collection
L'attaquant agrège les données qui l'intéressent avant de les sortir. Il cherche les fichiers de configuration, les backups, les bases de données clients, les logs qui contiennent des tokens. La collection précède toujours l'exfiltration — comprendre cette séquence te permet de savoir quels assets protéger en priorité.
TA0011 — Command and Control
L'attaquant maintient un canal de communication avec les systèmes qu'il a compromis. Il envoie des instructions, reçoit les résultats, et parfois installe des outils supplémentaires. Les techniques modernes utilisent des protocoles légitimes (HTTPS, DNS, Slack webhooks) pour se fondre dans le trafic normal. Dans ton contexte : si ton VPS initie des connexions sortantes vers des destinations inconnues sur le port 443, tu as probablement raté quelque chose.
Phase 5 — Sortie et impact
TA0010 — Exfiltration
Les données collectées quittent ton périmètre. L'attaquant compresse, chiffre et transfère. Les techniques incluent l'exfiltration via le canal C2, via des services cloud légitimes (Dropbox, Pastebin, Google Drive), ou via des connexions DNS. Dans ton contexte : ta liste clients, tes clés Stripe, tes tokens d'API de service tiers. Une exfiltration sans détection, c'est une violation RGPD dont tu ne seras informé que par ton prestataire de breach monitoring — ou par le journaliste qui a trouvé tes données sur un forum.
TA0040 — Impact
L'objectif final est atteint : données chiffrées par ransomware, système sabotés, données falsifiées, service rendu indisponible (déni de service). L'Impact est la tactique que les victimes voient en premier — et qui cache souvent six à douze semaines de présence discrète dans leur système. Dans le cas d'un ransomware : l'attaquant a fait Reconnaissance + Initial Access + Persistence + Credential Access + Lateral Movement avant de lancer le chiffrement. Tu n'as vu que la dernière étape.
Mapping : 14 tactiques MITRE × 5 domaines Cyberviseur
Ce tableau te montre comment chaque tactique s'inscrit dans les 5 domaines structurants du parcours Cyberviseur. Une croix indique un lien fort — le domaine fournit des réponses défensives directes à cette tactique.
| ID | Tactique | Secret | Auth | Zero-Trust | Secured-Run | Crisis |
|---|---|---|---|---|---|---|
| TA0043 | Reconnaissance | X | X | X | ||
| TA0042 | Resource Development | X | ||||
| TA0001 | Initial Access | X | X | X | ||
| TA0002 | Execution | X | X | |||
| TA0003 | Persistence | X | X | X | ||
| TA0004 | Privilege Escalation | X | X | X | ||
| TA0005 | Defense Evasion | X | X | |||
| TA0006 | Credential Access | X | X | X | ||
| TA0007 | Discovery | X | X | |||
| TA0008 | Lateral Movement | X | X | |||
| TA0009 | Collection | X | X | X | ||
| TA0011 | Command and Control | X | X | X | ||
| TA0010 | Exfiltration | X | X | X | ||
| TA0040 | Impact | X | X |
Ce que ce tableau te dit concrètement : aucun domaine ne couvre toutes les tactiques seul. Zero-Trust apparaît sur 9 tactiques sur 14 — c'est le domaine transversal le plus structurant. Crisis apparaît en queue de chaîne sur les tactiques où la détection et la réponse comptent plus que la prévention. Secured-Run est ton hygiene quotidienne — patches, audits, logs — et couvre l'ensemble de la kill chain.
Les toolkits T-01-01 à T-01-05 du bundle B01 Foundation adressent principalement les colonnes Zero-Trust, Secured-Run et Secret. Ils posent la fondation qui rend les phases suivantes du parcours Cyberviseur lisibles et complémentaires.
D3FEND — le miroir défensif de ATT&CK
MITRE a publié en 2021 un second framework : D3FEND, financé par la NSA. Là où ATT&CK catalogue ce que les attaquants font, D3FEND catalogue ce que les défenseurs peuvent faire en réponse. Chaque technique ATT&CK peut être mise en regard de contre-mesures D3FEND : isolation réseau, durcissement des credentials, détection de mouvement latéral, etc.
Pour l'instant, D3FEND est surtout utile aux équipes SOC et aux architectes sécurité. Si tu veux aller plus loin que les toolkits B01, c'est la prochaine lecture logique après avoir assimilé ATT&CK. L'adresse : d3fend.mitre.org.
L'erreur commune — et comment raisonner juste
La plupart des gens qui découvrent MITRE ATT&CK tombent dans le même piège : ils voient 14 tactiques et des centaines de techniques, et concluent qu'il faut « bloquer les 14 tactiques parfaitement ». Ce n'est ni possible ni l'objectif.
Aucune organisation ne couvre l'intégralité de la matrice ATT&CK. Google ne le fait pas. La NSA ne le fait pas. L'idée que ton VPS de 6 €/mois devrait couvrir 185 techniques est absurde — et surtout contre-productive, parce qu'elle te paralyse.
Le bon raisonnement est différent. Ton objectif, c'est d'élever le coût de chaque tactique au point où tu ne vaux pas le détour pour un attaquant opportuniste — qui est la menace réelle à ton échelle — et de te rendre détectable avant que l'attaquant atteigne l'Impact.
Concrètement :
- Tu n'empêches pas Reconnaissance (tout le monde peut scanner un domaine public). Tu réduis ce qu'on peut y trouver.
- Tu rends Initial Access difficile (MFA, surface réduite, patches). Tu ne le rends pas impossible.
- Tu t'assures que si quelqu'un est entré, il ne peut pas faire Lateral Movement facilement (isolation des services, Zero-Trust).
- Tu as des logs qui survivent à une compromission locale (SIEM ou log offsite minimal) pour détecter Defense Evasion.
- Tu as un plan de réponse testé pour Crisis, parce que si Impact arrive, la vitesse de réponse compte plus que la perfection préventive.
Lockheed Martin avait formalisé cette logique sous le nom de Cyber Kill Chain en 2011 : l'attaquant doit réussir chaque étape de la chaîne pour atteindre son objectif. Toi, tu n'as besoin de le stopper qu'à une étape. MITRE ATT&CK te donne la granularité pour savoir sur quelle(s) étape(s) investir en priorité selon ton modèle de menace — que tu as construit dans P-01-02 — Construis ta matrice de risque.
Ce que tu peux faire dès demain
Pas besoin d'une semaine de formation pour commencer à utiliser ATT&CK. Voici trois habitudes concrètes :
Garde ATT&CK Navigator ouvert en permanence. L'adresse est mitre-attack.github.io/attack-navigator/. Quand tu lis un article sur une attaque ou une CVE, identifie quelle(s) tactique(s) elle adresse. Marque-la dans le Navigator. Tu construis progressivement une carte visuelle de ta couverture.
Qualifie chaque alerte avec un ID tactique. Si tu reçois une alerte sur une tentative de connexion échouée sur ton VPS, ce n'est pas juste « du bruit ». C'est TA0001 Initial Access, probablement par brute force de credentials. Est-ce que tu as du fail2ban actif ? Est-ce que le port SSH est exposé ? Ce cadrage rend chaque alerte actionnable.
Utilise les IDs pour prioriser tes toolkits. T-01-05 (gestion des secrets avec Infisical) ferme principalement TA0006 Credential Access. T-01-01 (VPS hardened) ferme TA0001, TA0002, TA0003. Quand tu choisis quel toolkit installer en premier, tu choisis quelle tactique MITRE tu veux fermer en priorité selon ton modèle de risque. Ce n'est plus une intuition — c'est un choix argumenté.
En résumé
MITRE ATT&CK, c'est la grille mentale que tout défenseur devrait avoir avant de lire la moindre CVE ou le moindre post-mortem. Ses 14 tactiques couvrent l'intégralité du cycle d'une intrusion, du scan initial jusqu'à l'impact final. Une fois que tu les connais, chaque information sécurité trouve sa place dans le tableau — et tu sais immédiatement si c'est pertinent pour ton contexte ou non.
Ce que tu retiens de cet article :
- Les 14 tactiques sont l'objectif de l'attaquant à chaque étape (le « pourquoi »). Les techniques sont le « comment ». Les sous-techniques sont les variantes.
- L'ordre logique : Reconnaissance → Resource Development → Initial Access → Execution → Persistence → Privilege Escalation → Defense Evasion → Credential Access → Discovery → Lateral Movement → Collection → Command and Control → Exfiltration → Impact.
- Chaque tactique se mappe sur un ou plusieurs domaines Cyberviseur. Zero-Trust est le domaine le plus transversal (9 tactiques sur 14).
- L'objectif n'est pas de « bloquer les 14 tactiques ». C'est d'élever le coût à chaque étape et d'être détectable avant Impact.
- ATT&CK Navigator est ton outil de travail. Ouvre-le quand tu lis un article sécurité.
La suite logique : P-01-05 — Mindset Zero-Trust étatique → — comment penser le Zero-Trust à l'échelle d'un créateur solo.
Passer à l'action : Bundle B01 Foundation — 97 € — 5 toolkits (T-01-01 à T-01-05) qui couvrent les tactiques MITRE les plus critiques à ton stade. Chaque toolkit indique explicitement quelles tactiques il ferme.
Voir les couvertures MITRE de chaque toolkit : T-01-02 DNS+TLS ferme TA0001 et TA0005 sur la couche réseau. T-01-04 GitHub+Coolify couvre TA0001/TA0003/TA0005/TA0006/TA0008 sur la chaîne CI/CD. T-01-05 Secrets Infisical ferme TA0006/TA0008/TA0009/TA0010 sur les secrets et la latéralisation.
Cet article fait partie des modules payants de la phase 01 du parcours Cyberviseur. Si tu veux être informé·e quand les prochains modules sortent, inscris-toi à la newsletter — un email tous les 15 jours, jamais de spam, désinscription en un clic.