Dans le domaine de la cybersécurité, la notion de TTPs, pour Tactiques, Techniques et Procédures, est fréquemment utilisée lors d'un incident de sécurité afin de décrire comment un groupe d'attaquants est parvenu à compromettre une organisation. Elle permet d'analyser une intrusion de manière structurée et de comprendre le mode opératoire employé à chaque étape de l'attaque.
Cependant, cette notion ne se limite pas à l'analyse post-incident. Elle est également centrale dans la conduite d'opérations offensives, notamment lors de missions red team. Dans ce contexte, l'objectif est similaire à celui d'un rapport d'incident : cartographier l'attaque de bout en bout afin de faciliter la lecture pour les équipes défensives et d'identifier précisément où mettre en place des mécanismes de détection, de prévention ou de remédiation. Chez AlgoSecure, nous nous appuyons sur cette notion dans les deux approches, post-incident et offensive.
L'approche par les TTPs permet ainsi de traduire une simulation d'attaque en enseignements opérationnels concrets pour les équipes de sécurité.
Que sont les TTPs ?
Les TTPs offrent un cadre structurant pour comprendre une attaque selon une logique simple : l'objectif poursuivi, la méthode employée et la manière concrète dont elle est mise en œuvre. Autrement dit, ils répondent successivement aux questions : Pourquoi ? Quoi ? Comment ?
Une tactique correspond à l'objectif poursuivi par un attaquant à une étape donnée de son opération. Il s'agit du "pourquoi" dans la chaîne d'attaque, c'est-à-dire de l'intention stratégique. Par exemple, un attaquant peut chercher à obtenir un accès initial, à exécuter du code, à maintenir une persistance dans le système, à élever ses privilèges ou encore à effectuer un mouvement latéral.
Si un individu malveillant contacte une cible dans le but de compromettre son poste de travail, la tactique à ce stade est l'accès initial. Les tactiques sont relativement stables : quels que soient les outils ou les contextes, un attaquant devra toujours franchir certaines étapes fondamentales pour atteindre son objectif final.
La technique désigne la méthode utilisée pour atteindre cette tactique. Elle correspond au "quoi", c'est-à-dire au mode opératoire observable. Dans le cas d'un accès initial, la technique peut être du phishing, l'exploitation d'un service exposé sur Internet ou encore l'utilisation d'identifiants compromis.
Reprenons l'exemple précédent : si l'attaquant envoie un message contenant une pièce jointe malveillante afin d'inciter la victime à l'ouvrir, la technique employée est le phishing. Les techniques constituent un niveau d'analyse plus opérationnel que les tactiques et servent souvent de base aux règles de détection mises en place dans les centres opérationnels de sécurité.
La procédure correspond à la mise en œuvre concrète et contextualisée d'une technique dans un environnement spécifique. Elle représente le "comment". Elle inclut les outils utilisés, les scripts déployés, les paramètres choisis, les mécanismes d'évasion ainsi que les adaptations réalisées en fonction de la cible ou des contraintes techniques.
Dans notre exemple, la procédure pourrait consister à envoyer un message LinkedIn en se faisant passer pour un recruteur, contenant un lien vers un fichier hébergé sur un service légitime de transfert. L'archive téléchargée pourrait contenir un document PDF faisant office de leurre pour exécuter un programme intermédiaire chargé d'établir une communication chiffrée avec une infrastructure de commande et contrôle. Cette séquence précise d'actions, adaptée au contexte et à la cible, constitue la procédure. Contrairement aux tactiques, les procédures évoluent fréquemment afin de contourner les mécanismes de détection ou de s'adapter aux nouvelles technologies.
Comprendre les TTPs permet ainsi d'aller au-delà d'une approche basée uniquement sur les indicateurs techniques tels que les adresses IP, les noms de domaine ou les empreintes de fichiers, qui sont facilement modifiables. Si les indicateurs et les procédures changent rapidement, nous constatons que les techniques évoluent plus lentement et les tactiques demeurent globalement constantes. C'est pourquoi les stratégies de défense modernes privilégient une approche comportementale, centrée sur l'identification des techniques et des enchaînements d'actions plutôt que sur des artefacts isolés.
TTPs et le framework MITRE ATT&CK
Tout cela peut être formalisé autour du framework MITRE ATT&CK, aujourd'hui largement utilisé par les équipes de threat intelligence, les SOC et les équipes red team. La matrice ATT&CK propose une cartographie normalisée des comportements adverses observés dans le monde réel.
Concrètement, la matrice se lit de gauche à droite : chaque colonne correspond à une tactique. Par exemple Initial Access, Execution, Persistence, Privilege Escalation ou encore Command and Control. À l'intérieur de chaque colonne figurent les techniques permettant d'atteindre cet objectif. Puis chaque technique va regrouper une ou plusieurs procédures pour réaliser l'attaque. Cette structuration offre un langage commun permettant d'analyser une attaque, de concevoir un scénario red team ou d'évaluer la couverture de détection d'une organisation.
Utilisation du framework pour cartographier un cas réel
Si l'on reprend l'exemple évoqué précédemment — un message LinkedIn usurpant l'identité d'une personne légitime, contenant un lien vers une archive piégée exécutant une charge utile qui établit une communication chiffrée avec une infrastructure distante — il est possible de le cartographier directement dans la matrice ATT&CK.
La phase de contact initial via un message frauduleux correspond à la tactique Initial Access. La technique associée peut être rapprochée du Phishing (T1566), et plus précisément du sous-type Spearphishing via Service (T1566.003) car ici l'attaque repose sur un lien malveillant envoyé à une cible spécifique via un réseau social.
L'exécution du fichier malveillant téléchargé relève ensuite de la tactique Execution, pouvant être associée à la technique User Execution (T1204), puisque l'attaque repose sur l'action de la victime ouvrant le fichier.
Ensuite, l'établissement d'une communication chiffrée avec un serveur distant entre dans la tactique Command and Control, souvent associée à des techniques telles que Application Layer Protocol (T1071), lorsque le trafic entre l'implant et le serveur C2 passe par des protocoles standards comme HTTPS afin de se fondre dans le trafic légitime.
Enfin, une étape supplémentaire peut être ajoutée avec l'utilisation de la tactique Persistence pour garder un accès sur le poste compromis. Ainsi, le programme malveillant peut installer un mécanisme lui permettant de se relancer automatiquement au démarrage du système, avec par exemple une technique comme Registry Run Keys / Startup Folder (T1547.001) dans un environnement Windows.
Cette cartographie permet de transformer un scénario narratif en une séquence structurée et normalisée de techniques ATT&CK.
Dans le cadre d'une mission red team, ce travail est particulièrement précieux : il ne s'agit pas uniquement de démontrer que l'attaque a fonctionné, mais surtout d'identifier précisément quelles techniques ont été utilisées, à quelles étapes, et face à quels contrôles de sécurité. En structurant l'exercice autour des Tactiques, Techniques et Procédures, la simulation d'attaque devient un véritable outil d'amélioration continue pour la défense.
Les TTPs constituent ainsi un langage commun entre équipes offensives et défensives. C'est d'ailleurs cette rigueur méthodologique alliée à une approche fondée sur la menace qui est au cœur de certaines exigences réglementaires actuelles (nous en parlons dans notre article sur la réalisation de TLPT dans le cadre du règlement DORA).
Conclusion
À l'issue d'une mission red team, cette approche trouve tout son sens lors d'une phase de purple team, durant laquelle les équipes offensives et défensives collaborent pour rejouer certaines techniques, analyser les journaux, affiner les règles de détection et mettre en place des mécanismes de prévention adaptés. L'objectif n'est plus de tester, mais d'optimiser concrètement les capacités de détection et de réponse, en s'appuyant sur les techniques réellement exercées pendant la mission.
Il convient toutefois de nuancer l'usage des TTPs et de la matrice MITRE ATT&CK. Bien qu'extrêmement riche et largement adoptée, elle ne peut pas couvrir 100 % des cas d'usage rencontrés lors d'une attaque réelle. Certaines procédures spécifiques, combinaisons inédites de techniques ou usages détournés d'outils légitimes peuvent ne pas correspondre parfaitement à une entrée existante dans la matrice. De plus, cette matrice décrit des comportements observés, mais ne reflète pas nécessairement toutes les variations possibles de la mise en œuvre d'une attaque. Elle doit donc être utilisée comme un cadre structurant et un langage commun, non comme une grille rigide ou exhaustive. L'expertise humaine, l'analyse contextuelle et l'adaptation aux spécificités de l'environnement restent essentielles.
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alessio, Alexandre, Amine, Anas, Arnaud, Benjamin, Damien, Enzo, Eugénie, Fabien, Françoise, Gilles, Henri, Hicham, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Lucas, Ludovic, Lyse, Matt, Nancy, Natacha, Nicolas, Pierre, PierreG, Quentin, QuentinR, Sébastien, Tristan, Yann, Yannick, et bonne visite !