Comment utilisez-vous MITRE ATT&CK pour une défense informée par la menace ?
Réponse courte
ATT&CK est une base de connaissances des tactiques (le pourquoi), techniques (le comment) et procédures adverses réelles. Vous l'utilisez pour cartographier vos détections existantes sur la matrice, repérer les lacunes de couverture et prioriser les techniques employées par les acteurs qui ciblent réellement votre secteur. Il offre un langage commun entre CTI, ingénierie de détection et réponse à incident, transformant « sommes-nous sécurisés ? » en une carte de couverture concrète et mesurable, fondée sur le comportement adverse réel.
MITRE ATT&CK est la lingua franca de la détection et du renseignement sur les menaces modernes. Les recruteurs interrogent dessus pour voir si vous savez faire passer un SOC de la course aux alertes isolées à une défense informée par la menace délibérée et mesurable.
Ce qu'est réellement ATT&CK
C'est une base de connaissances curée du comportement adverse observé, structurée ainsi :
- Tactiques — l'objectif de l'adversaire à une étape (le pourquoi) : Accès Initial, Persistance, Mouvement Latéral, Exfiltration, etc.
- Techniques (et sous-techniques) — comment il atteint cet objectif, par ex. T1059 Command and Scripting Interpreter.
- Procédures — les implémentations concrètes observées dans la nature, liées à des groupes de menace et logiciels nommés.
Parce qu'elle est bâtie à partir d'incidents réels, elle ancre la défense dans ce que les attaquants font réellement, et non dans la théorie.
L'utiliser pour la défense
- Cartographier les détections sur la matrice. Prenez vos règles SIEM/EDR existantes et placez chacune sur la technique qu'elle détecte. Le résultat est une heatmap de couverture (l'ATT&CK Navigator est conçu pour cela).
- Repérer les lacunes. Les cases vides sont des angles morts — des techniques que vous ne pouvez actuellement ni voir ni alerter.
- Prioriser avec le renseignement sur la menace. Vous ne pouvez pas tout couvrir ; laissez donc la CTI décider de l'ordre : quels groupes ciblent votre secteur, et quelles techniques privilégient-ils ? Comblez ces lacunes d'abord.
- Piloter le purple teaming et l'ingénierie de détection. Testez les techniques priorisées, écrivez ou ajustez des détections, puis re-testez pour confirmer la couverture.
- Parler un seul langage. CTI, ingénieurs de détection, réponse à incident et red teams référencent tous les mêmes identifiants de technique, de sorte que les passations ne perdent rien.
Pourquoi cela bat la course aux alertes
Le travail SOC alerte par alerte n'a aucun moyen de répondre à « que ne pouvons-nous pas voir ? ». ATT&CK reformule la question en couverture mesurable face au comportement adverse réel, de sorte que l'investissement est délibéré plutôt que réactif.
Ce que recherchent les recruteurs
Ils veulent la distinction tactique/technique/procédure, le flux cartographier-puis-repérer-les-lacunes-puis-prioriser, le renseignement sur la menace qui guide la priorisation, et ATT&CK comme langage partagé entre les fonctions — et non un produit que l'on achète.
Questions de suivi probables
- Quelle est la différence entre une tactique, une technique et une procédure ?
- Comment construiriez-vous une heatmap de couverture ATT&CK pour votre SOC ?
- Comment la cyber threat intelligence détermine-t-elle les techniques à prioriser ?