Le rôle des TTPs
dans l’environnement cyber

Que sont les TTPs ?
Dans le domaine de la cybersécurité, les TTPs (Tactiques, Techniques et Procédures) désignent les comportements et les stratégies utilisés par les attaquants pour mener des attaques.
- Les tactiques sont les étapes clés d’une attaque, telles que l’obtention d’un accès initial, l’établissement d’une persistance ou l’exfiltration de données. On les décrit généralement comme le « pourquoi » des actions d’un attaquant.
- Les techniques sont les méthodes spécifiques employées pour atteindre ces objectifs. Parmi celles-ci figurent le phishing, l’exploitation des vulnérabilités des logiciels ou l’utilisation de logiciels malveillants. Elles répondent à la question du « comment » une tactique est mise en œuvre.
- Les procédures décrivent précisément les actions que les attaquants entreprennent, étape par étape, pour mettre en œuvre les techniques. Elles varient en fonction des outils et des infrastructures.
Par exemple, un attaquant souhaitant se déplacer au sein du réseau de sa victime mettra en œuvre la tactique Lateral Movement. Il peut y arriver de plusieurs manières différentes : au travers de Spearphishing en interne, d’exploitation de vulnérabilités sur des services du réseau ou bien via le transfert d’outil d’un système compromis à un autre.
Ces différentes approches illustrent comment plusieurs techniques peuvent servir une même tactique.
Prenons une autre technique : Replication Through Removable Media qui implique l’utilisation de supports amovibles pour se déplacer. Lorsqu’on examine des exemples concrets de l’application de cette technique par des attaquants, on entre alors dans le domaine des procédures. Un exemple concret est l’utilisation par APT28 d’un outil utilisé pour infecter des périphériques USB et se répliquer lorsque que ce dernier était branché sur un autre appareil.
Ces TTPs sont connus pour leur classification dans la matrice MITRE ATT&CK. Cette dernière constitue une base de connaissances sur les tactiques et techniques des attaquants, basée sur des observations du monde réel. Dans un environnement où les attaques se complexifient, MITRE ATT&CK se distingue comme la première plateforme à nommer et formaliser ces méthodes. Bien que ce framework ne soit pas issu d’une agence nationale officielle, elle sert de référence mondiale.
Lorsqu’on parle des TTPs d’un attaquant, on parle presque d’un un marqueur unique de son approche offensive.
Pourquoi les TTPs sont-ils si efficaces pour repérer les attaquants ?
Les limites des IoCs
Les IoCs, ou Indicators of Compromise, sont un concept qui correspond aux indicateurs de compromission lors d’une attaque informatique : les traces de passage de l’attaquant. On parle communément de signatures de fichiers, d’adresses IP, de noms de domaine ou tout autres artefacts qui témoignent d’une intrusion.
Cependant, leur valeur opérationnelle est limitée en raison de leur facilité de remplacement. Par exemple, la signature d’un fichier devient caduque dès qu’un seul caractère est modifié. De même, les noms de domaines et adresses IP sont également facilement modifiables sans en altérer l’infrastructure sous-jacente. Autrement dit, d’une attaque à une autre par un même attaquant, les IoCs deviennent souvent flagués par les dispositifs de sécurité. Leur exploitation exigerait ainsi une mise à jour continue des bases de données, un processus chronophage.
Enfin, les IoCs n’indiquent que certains fragments d’une attaque et ne permettent pas de la comprendre dans sa globalité.
Pourquoi les TTPs utilisés par un attaquant ne varient peu ?
Bien que les attaquants puissent facilement modifier leurs outils, leur code ou leurs adresses IP, il leur est plus difficile de changer constamment leurs méthodes fondamentales de travail et d’infection. Pourquoi cela ?
- Des méthodes éprouvées et fiables
Lorsque les attaquants préparent leur attaque ou campagne d’attaques, ils travaillent généralement avec des méthodes déjà éprouvées et qu’ils trouvent stables. Selon les préférences et par expériences, ils s’orientent donc vers des méthodes qu’ils connaissent.
- Le cout élevé du développement de nouvelles TTPs
Également, le développement de TTPs pour une attaque est très coûteuse en ressources. Pour une tactique donnée, différentes techniques sont réalisables, lesquelles nécessitent chacune du développement.
Prenons le cas de la tactique Initial Access qui consiste à infiltrer un réseau en exploitant l’un des vecteurs suivants :
- > Exploitation d’une vulnérabilité d’une application ouverte publiquement
- > Mise en place de campagnes de phishing pour délivrer une charge utile
- > Utilisation d’identifiants d’utilisateurs légitimes
Pour chacune de ces techniques, une seule suffit à infecter un réseau, et sera donc privilégiée par un attaquant. Pour cause, développer une nouvelle technique à partir de zéro représente un investissement chronophage, monétaire et d’infrastructures conséquent. Dans le monde du cybercrime, où le temps et les ressources financières sont étroitement liés, les attaquants n’ont aucun intérêt à faire évoluer leurs méthodes existantes tant qu’elles restent efficaces, stables et exploitables, comme c’est souvent le cas avec une CVE non corrigée.
=> En conséquence, s’appuyer uniquement sur les IoCs n’est pas une solution optimale, car ils ne permettent pas d’identifier les nouvelles attaques dont les artefacts n’ont pas encore été détectés ou classifiés comme malveillants. En revanche, la surveillance des TTPs permet l’identification et la validation de comportements anormaux indépendamment des artefacts utilisés.
C’est le principe de la Pyramid of Pain :

Ce modèle illustre la « douleur » des attaquants selon leurs indicateurs qui sont détectés. Par exemple, lorsqu’une signature de fichier est identifiée comme malveillante, la contrainte reste minime : une simple recompilation permet de la modifier et de passer à nouveau inaperçu. À l’inverse, remplacer un outil dans une configuration existante s’avère bien plus complexe et coûteux en ressources.
D’un point de vue défensif, les analystes savent que l’utilisation de signatures de fichier, d’adresses IP ou noms de domaine n’est pas toujours suffisante pour détecter des comportements malveillants.
Comment l’analyse des TTPs peut-elle servir aux entreprises ?
Pour les analystes
Pendant une investigation, chaque technique MITRE permet aux analystes d’obtenir plusieurs informations.
- Objectif d’une alerte
Une alerte seule manque souvent de contexte pour en comprendre le sens. Même lorsqu’une technique d’attaque précise comme une Injection SQL est nommée, ce n’est pas toujours évident d’en comprendre les tenants et les aboutissants. Grâce à MITRE, l’analyste peut identifier l’objectif d’une attaque en s’appuyant sur les descriptions détaillées de chaque technique.
- Avancée de l’attaque
Les techniques permettent de situer précisément à quelle étape en est l’attaque. De manière pratique, si une alerte associée à la technique Data from Local System relevant de la tactique Collection est levée, l’analyste sait que l’attaquant est en phase de collecte de données. Cette information lui permet de déduire :
- > Dans le passé : l’attaquant a déjà infecté le réseau, localisé les bases de données et s’est déplacé.
- > Dans le futur : l’attaquant pourrait exfiltrer les données.
Dans ce cas, la technique apporte un éclairage essentiel à partir duquel des actions et des mécanismes de réponses peuvent et doivent être mis en place.
- Priorisation de l’alerte
Bien que les techniques MITRE mettent en lumière des comportements malveillants, leur criticité varie selon les cas. Certaines entreprises peuvent accorder plus d’importance à des alertes liées à l’exfiltration de données qu’à des interruptions d’activité, ou inversement, en fonction de leurs priorités métiers.
- Facilitation de l’investigation
Les techniques MITRE incluent des informations sur les outils et sur les comportements fréquemment associés à la technique. Ces données peuvent orienter l’analyste dans ses prochaines étapes d’investigation, notamment lorsque l’alerte initiale manque de détails.
- Aide à la prise de décision
En comprenant la technique utilisée, l’analyste peut plus facilement identifier les mesures de réponse appropriées. Celles-ci peuvent être temporaires comme l’isolation d’une machine ou bloquer un processus, ou définitives telle que la modification des configurations. De plus la majorité des techniques MITRE indique des Mitigations : des concepts de sécurité pour empêcher de manière pérenne l’exécution des techniques.
Après le déroulement d’une attaque, les étapes manquantes du scénario révèlent les axes de recherche à approfondir. Par exemple, si on connait le mode d’infection initial d’une machine (Initial Access) et que des actions malveillantes sont ensuite détectées sur une autre machine, il est fort probable que la tactique Lateral Movement – correspondant au déplacement latéral de l’attaquant sur le réseau pour accéder à d’autres ressources – fasse partie du déroulement de l’attaque. Guidé par cette logique, l’analyste peut ainsi orienter son investigation dans ce sens, guidé par les techniques décrites, leurs exemples et les outils utilisés. Cette approche méthodique permet d’approfondir l’analyse tout en ciblant les étapes critiques de l’intrusion.

Pour les entreprises
La remontée des TTPs n’est pas seulement éducative, elle joue également un rôle crucial dans la conformité. Les solutions utilisées par les entreprises permettent de mettre en lumière des indicateurs de performance de la menace quantifiable en réponse à des risques évalués.
De manière générale, le framework MITRE ATT&CK fournit un vocabulaire standardisé que les analystes et les équipes de cybersécurité peuvent utiliser pour échanger sur les menaces. MITRE étant une référence reconnue, l’utilisation de ce format permet notamment de produire des rapports d’incidents clairs et conformes aux standards, ce qui est particulièrement utile dans des environnements collaboratifs ou avec des partenaires externes.
GATEWATCHER x MITRE ATT&CK
Dans ce sens, Gatewatcher s’efforce de mettre à jour ses capacités de détection en intégrant le framework MITRE ATT&CK. Sa solution plateforme de détection NDR dispose d’un ensemble de moteurs de détection spécialisés, chacun conçu dans la détection d’une menace particulière. À chaque moteur est associée la technique MITRE la plus pertinente, permettant de contextualiser les alertes générées.
En addition de ces moteurs, la solution AIonIQ embarque l’IDS Suricata, accompagné de presque une centaine de milliers de règles de détection afin d’alerter sur des comportements réseau suspects ou malveillants. Grâce au travail de nos équipes, nous développons des méthodes pour attribuer à ces règles des techniques MITRE.
Grâce à cette approche, les analystes peuvent suivre, pour chaque alerte levée par un moteur, le scénario complet de l’attaque ayant eu lieu sur leur réseau. Cette visibilité élargie est un atout majeur dans la compréhension et la neutralisation des menaces.
La diversité des moteurs entraîne une couverte élargie de la détection de menaces, couvrant presque toutes les tactiques répertoriées dans la matrice MITRE ATT&CK. Ce niveau de protection est un avantage décisif : les cyberattaques, composées de multiples étapes successives, peuvent être détectées même si un attaquant utilise un outil ou une vulnérabilité encore inconnue. Les actions précédentes ou suivantes dans la chaîne d’attaque seront, quant à elles, interceptées.
C’est le principe du Swiss Cheese Model. D’un point de vue défensif, ce modèle illustre l’importance d’avoir plusieurs couches de protection indépendantes pour empêcher qu’une défaillance ne mène à un accident.

L’analyse d’IoCs, d’anomalies et des TTPs sont complémentaires
Les IoCs et les TTPs sont complémentaires, chaque approche apporte des perspectives différentes pour détecter et analyser les menaces.
- Les IoCs : une réponse rapide aux menaces identifiées
Les IoCs, comme les adresses IP malveillantes ou signatures de fichiers associés à des attaques, permettent de réagir rapidement à des activités déjà identifiées. Ils sont cependant souvent éphémères car les attaquants changent régulièrement ces indicateurs pour échapper aux détections.
- Les TTPs : une vision stratégique et durable
Les TTPs, quant à eux, décrivent les méthodes et les comportements des attaquants. Ces éléments sont plus durables et offrent une compréhension stratégique des menaces pour détecter des attaques qui ne sont pas encore associées à des IoCs connus.
- L’analyse d’anomalies : une détection proactive
L’analyse d’anomalies vient compléter ces deux approches en identifiant des écarts dans les comportements normaux du système ou des utilisateurs. Par exemple, une connexion à un horaire inhabituel ou un volume de données anormalement élevé peut indiquer une activité malveillante, même sans IoCs ou TTPs associés, renforçant la détection proactive.
Précision | Réactivité | Durabilité | Détection à l’aveugle | |
IoCs | ✅ | ✅ | ❌ | ❌ |
Anomalies | ❌ | ✅ | ✅ | ✅ |
TTPs | ✅ | ❌ | ✅ | ❌ |
Le tableau ci-dessus indique les caractéristiques de chacune des approches énoncées selon quatre critères :
> Précision : cette approche met-elle en évidence une menace tangible ?
> Réactivité : cette approche permet-elle une réponse la plus rapide possible ?
> Durabilité : cette approche est-elle viable dans le temps ou nécessite-t-elle des ajustements réguliers ?
> Détection : cette approche peut-elle alerter sans connaître la menace au préalable ?
Ainsi, ces trois méthodes sont complémentaires, elles possèdent chacune leurs forces et faiblesses et se couvrent mutuellement.
Auteur : Purple Team Gatewatcher