Les attaques informatiques ne ressemblent plus à des exploits isolés, déclenchés au hasard par opportunisme. Elles suivent aujourd’hui des enchaînements structurés, s’appuient sur des techniques éprouvées, et exploitent la complexité croissante des systèmes d’information. Dans ce contexte, se contenter d’une liste de vulnérabilités ne suffit plus à comprendre son exposition réelle. C’est précisément pour répondre à ce besoin de lecture plus fine du risque que des cadres comme MITRE ATT&CK se sont imposés. Longtemps perçue comme un outil réservé aux équipes de détection, cette approche trouve pourtant un écho très concret dans les tests d’intrusion, en donnant du sens aux scénarios d’attaque simulés lors d’un MITRE ATT&CK.
Un test d’intrusion bien mené ne cherche pas seulement à identifier des failles, mais à comprendre comment un attaquant pourrait réellement compromettre un SI, comme le rappelle la logique même d’un test d’intrusion.
La matrice MITRE ATT&CK : de quoi parle-t-on vraiment ?
MITRE ATT&CK n’est ni une norme, ni une méthodologie de pentest. Il s’agit d’une base de connaissances structurée, documentant les modes opératoires réels des attaquants, observés lors d’incidents et de campagnes d’attaque à grande échelle.
La matrice repose sur une logique simple mais puissante : décrire une attaque non pas par ses outils, mais par ses TTP – Tactics, Techniques and Procedures. Chaque attaque est ainsi découpée en tactiques (objectifs de l’attaquant), déclinées en techniques et parfois en sous-techniques, indépendamment de la technologie ciblée. Mais contrairement à une vision centrée sur la faille, la matrice propose une lecture par phases d’attaque : accès initial, exécution, persistance, élévation de privilèges, mouvement latéral, exfiltration ou impact. Cette approche permet de raisonner en chaîne d’attaque, plutôt qu’en vulnérabilité isolée.
Le référentiel est public et maintenu par MITRE, accessible directement via le site officiel MITRE ATT&CK, et décliné selon différents environnements (Enterprise, Cloud, Mobile), reflétant la diversité des surfaces d’attaque actuelles.
Quel lien entre MITRE ATT&CK et les tests d’intrusion ?
Photo de Sergey Zolkin sur Unsplash
Le test d’intrusion vise à simuler une attaque réaliste, dans un cadre maîtrisé, afin d’évaluer la résistance d’un système d’information. C’est précisément sur ce point que MITRE ATT&CK devient pertinent : il fournit une grille de lecture cohérente pour structurer ces simulations.
Dans un pentest classique, une vulnérabilité peut être identifiée sans pour autant représenter un risque critique si elle reste non exploitable dans un scénario réel. À l’inverse, plusieurs failles mineures, correctement enchaînées, peuvent conduire à une compromission complète. MITRE ATT&CK permet alors de dépasser la logique du “catalogue de failles” pour raisonner en scénarios d’attaque, en s’appuyant sur des techniques réellement utilisées par les attaquants. Cette approche s’applique donc aussi bien à un test interne qu’externe, quel que soit le périmètre, comme le montre la diversité des différents types de pentests.
Comment MITRE ATT&CK est utilisée concrètement dans un pentest
Dans un test d’intrusion structuré, MITRE ATT&CK sert avant tout de référentiel de scénarisation. Plutôt que de chercher à “tout tester”, l’attaquant éthique va sélectionner des enchaînements plausibles, alignés avec la réalité du SI audité. Un scénario peut par exemple débuter par un accès initial via une application exposée, se poursuivre par une exploitation de mauvaise configuration, mener à une élévation de privilèges, puis à un mouvement latéral vers des ressources plus sensibles. Chaque étape correspond à des techniques documentées dans la matrice, ce qui permet de justifier les choix techniques et de rendre le scénario lisible.
Si on se demande pourquoi réaliser une test d’intrusion d’application web, cette approche est particulièrement pertinente dans ce cadre (notre article sur son but ici), où les surfaces exposées, les API et les dépendances applicatives offrent de multiples points d’entrée.
L’objectif n’est pas d’appliquer MITRE ATT&CK mécaniquement, mais de s’en servir comme socle de cohérence pour construire des attaques réalistes et contextualisées.
MITRE ATT&CK, un levier pour mieux piloter le vulnerability management
Photo de Luca Bravo sur Unsplash
Toutes les vulnérabilités ne présentent pas le même niveau de risque. Pourtant, dans de nombreuses organisations, elles sont encore traitées à plat, sans prise en compte de leur exploitabilité réelle. L’apport majeur de MITRE ATT&CK dans un pentest est de repositionner chaque faille dans une chaîne d’attaque. Une vulnérabilité devient critique non pas par son score, mais par le rôle qu’elle joue dans un scénario complet : point d’entrée, facilitateur de mouvement latéral, ou accélérateur de compromission.
Cette lecture permet d’alimenter un vulnerability management plus mature, orienté priorisation et impact métier. Elle est d’autant plus essentielle que la surface d’attaque des systèmes d’information ne cesse de s’étendre, notamment avec le cloud, les interconnexions et les usages applicatifs.
Ce que MITRE ATT&CK apporte… et ce qu’elle ne remplace pas
MITRE ATT&CK apporte une structure, un langage commun et une lecture réaliste des attaques. Elle facilite la compréhension des résultats d’un test d’intrusion, tant pour les équipes techniques que pour les décideurs. En revanche, elle ne remplace ni l’expertise humaine, ni l’analyse contextuelle du SI, ni les audits de configuration ou les tests ciblés. Un pentest pertinent repose toujours sur la complémentarité des approches : compréhension métier, analyse technique, simulation offensive et gouvernance de la sécurité.MITRE ATT&CK n’est donc pas une finalité, mais un accélérateur de maturité cybersécurité, au service d’une vision plus cohérente et plus exploitable du risque.
En résumé, adopter l’approche MITRE ATT&CK dans les tests d’intrusion, c’est changer de regard sur la sécurité informatique. On ne cherche plus seulement à savoir ce qui est vulnérable, mais comment un attaquant pourrait réellement exploiter le système d’information, étape par étape.
Pour les RSSI, DSI et dirigeants, cette lecture apporte une valeur essentielle : comprendre les risques réels, prioriser les actions, et inscrire le pentest dans une stratégie de cybersécurité durable, alignée avec les enjeux métier.
Romain LEFEVRE
Je m'appelle Romain et j'ai rejoint SkillX en octobre 2020 à la suite d'études en Cybersécurité. J'ai choisi SkillX pour ses valeurs de responsabilité, de confiance, d'innovation et de collaboration, mais aussi pour son approche d'entreprise libérée. Pour la Cybersécurité, j'ai une appétence pour les sujets de sensibilisation, de SOC et d'audit de sécurité. En dehors de la sphère professionnelle, je suis un passionné de sport avec comme principale activité le Water-Polo, mais je fais aussi de la natation, de la course à pied et du vélo. Je suis aussi un grand lecteur avec une préférence pour les sujets autour des sciences, de l'Intelligence Économique ou encore de la gestion des données personnelles.
