L’acronyme TTP désigne l’ensemble des Tactiques, Techniques et Procédures utilisées par des acteurs malveillants pour planifier, exécuter et affiner leurs attaques. TTP désigne donc le mode opératoire des cybercriminels, c’est-à-dire l’ensemble des méthodes et démarches utilisées pour mener leurs attaques.
Ces composantes fournissent un cadre d’analyse permettant aux experts de comprendre la démarche des cyberattaquants, d’anticiper leurs actions et de mettre en œuvre des défenses adaptées
📌 Définition des composants TTP
- Tactiques : elles représentent l’objectif global de l’attaquant, comme le vol de données sensibles ou la perturbation d’un système
- Techniques : ce sont les méthodes spécifiques employées pour atteindre l’objectif tactique, telles que l’utilisation de malwares ou l’exploitation de vulnérabilités
- Procédures : elles désignent la séquence d’actions concrètes mises en œuvre pour exécuter une technique, détaillant les étapes précises de l’attaque
👉 Exemples de TTP courants
Hameçonnage (Phishing)
– Tactique: obtenir des informations confidentielles
– Technique: envoi d’e-mails trompeurs
– Procédure: création d’un faux site web, rédaction d’un e-mail convaincant, envoi massif aux victimes potentielles
Attaque par déni de service (DDoS)
– Tactique : perturber le fonctionnement d’un système
– Technique : inonder un serveur avec du trafic
– Procédure : utilisation d’un réseau de bots (botnet), synchronisation de l’attaque, ciblage des points faibles de l’infrastructure
Exploitation de vulnérabilités
– Tactique : prendre le contrôle d’un système
– Technique : utilisation de failles logicielles connues
– Procédure : scan des systèmes pour détecter les vulnérabilités, développement d’un exploit, exécution du code malveillant
Mouvement latéral
– Tactique : étendre l’accès au sein d’un réseau compromis
– Technique : manipulation de jetons d’accès
– Procédure : compromission d’un compte utilisateur, utilisation d’outils comme Mimikatz pour extraire les identifiants, pivot vers d’autres systèmes
La compréhension des TTP est cruciale pour les professionnels de la cybersécurité, car elle permet de développer des défenses plus efficaces, d’améliorer la détection des intrusions et de mettre en place des contremesures ciblées contre les cybermenaces.
