Cybersécurité : MITRE ATT&CK, un outil (trop ?) exigeant
En 2013, la société à but non lucratif Mitre crée MITRE ATT&CK. Cette base de données contient l'ensemble des techniques d'attaque connues. Elles sont détaillées brique par brique, avec la tactique pour s'infiltrer, les systèmes qu'elles visent en priorité… Régulièrement mise à jour, MITRE a vu sa treizième version sortir en avril dernier.
Comment fonctionne MITRE ?
Pour mieux comprendre comment les entreprises peuvent utiliser MITRE pour se protéger, nous avons interrogé Sebastien Wojcicki, head of operations & securiy expertise chez le prestataire cyber Advens, dont les équipes sont utilisatrices de la base de données. "Le SOC a besoin de justifier auprès des dirigeants que ses défenses marchent. Pour ce faire, ils vont mettre l'ensemble des capacités de détection des systèmes déployés au sein de la compagnie dans un tableau. Puis on va mettre ces capacités face aux informations contenues dans MITRE, et on va pouvoir voir quelles capacités de défense sont efficaces contre des attaquants spécifiques." Mais il n'y pas que les entreprises de cybersécurité qui utilisent MITRE, de grands groupes ne s'en privent pas non plus, comme nous l'explique Aurélien Jolly, RSSI au sein d'ADP, que nous avons rencontré via le CLUSIF. "Nous avons recours au MITRE sur au moins trois de nos activités RSSI. La première est le BUILD (construction d'infrastructures et de réseaux, ndlr), pour lequel nous utilisons le référentiel dans nos analyses de risques, et pour chaque scénario de cyberattaque, nous y accolons des tactiques identifiées par MITRE en y ajoutant les mitigations associées. La deuxième utilisation tient au pan des détections et des réponses, de sorte qu'en fonction de la tactique identifié via MITRE, nous pouvons alors savoir à quel stade de l'attaque nous sommes : le début, le milieu ou la fin. Enfin, le troisième cas d'utilisation concerne les audits de sécurité et l'entrainement de notre Red team, puisque grâce à des simulations d'attaque, nous pouvons éprouver notre bon niveau de défense. MITRE permet aussi de classifier le niveau de gravité des incidents cyber via une analyse fine pour estimer quelle typologie de cybercriminels est à l'origine de l'attaque et comment la contrer."
Un référentiel populaire mais encore imparfait
MITRE a l'avantage d'être un référentiel commun au sein de la cybersécurité et ce à un niveau mondial. L'inconvénient de ne pas l'utiliser est qu'on risque de pas pouvoir interagir avec d'autres membres de la communauté cyber, par exemple pour un audit. Il faut ajouter que MITRE est disponible pour tous, sans paywall ou abonnement. Un mode de fonctionnement open source très populaire au sein de la communauté IT. Le seul concurrent sérieux de MITRE est le NIST, une initiative de l'Etat fédéral américain, dont la première version est sortie en avril 2018. Il est utilisé au Etats-Unis mais a du mal à prendre de l'ampleur en Europe. Le NIST et le MITRE peuvent être utilisés ensemble mais cela demande un travail important pour les équipes SI.
Néanmoins, MITRE n'est pas exempt de défauts. Pour commencer, son utilisation requiert un haut niveau de technicité, comme nous le rappelle Sebastien Wojcicki : "l'attaque matrice, qui est utilisée par MITRE, est un référentiel très complexe et pas tout le temps précis". Et il faut faire attention à ne pas utiliser une version du référentiel qui ne serait pas à jour. Aurélien Jolly ajoute : "Certaines techniques sont facilement accessibles pour des personnes ayant des bases en informatique, mais d'autres sont plus difficiles à appréhender. MITRE s'adresse à plusieurs catégories de personnes, les pentesters, les équipes Red et Blue chargées de faire des entrainements d'attaque et les RSSI. Mais dans le cas d'une entreprise de type ETI et sans une spécialisation cyber, le risques est d'être un peu perdu face à la technicité de l'outil ".