Depuis plusieurs années, la cybersécurité d’entreprise est travaillée par une tension de fond. Les systèmes d’information se sont étendus vers le cloud, l’identité fédérée et les usages distants, tandis que les grilles de lecture de la sécurité restent encore largement héritées d’un monde centré sur le poste et le périmètre. Les évaluations ATT&CK Enterprise 2025 de MITRE prennent précisément place à ce point de bascule.
À mesure que les infrastructures deviennent distribuées, la nature des attaques se transforme. Les intrusions reposent de moins en moins sur des exploits visibles ou des maliciels identifiables, et de plus en plus sur l’exploitation méthodique de mécanismes légitimes : authentification fédérée, outils d’administration, automatisation, délégation de droits. Dans ce paysage, la question centrale n’est plus seulement de bloquer, mais d’interpréter. C’est ce déplacement progressif que MITRE documente avec cette nouvelle édition de ses évaluations ATT&CK Enterprise.
Avant de plonger dans les conclusions de l’évaluation, il convient de poser d’emblée le cadre : ces évaluations ne jugent pas la qualité intrinsèque des solutions de cybersécurité utilisées et ne produisent aucun classement. Leur ambition consiste à observer, de manière transparente et reproductible, la manière dont des dispositifs de défense réagissent face à des techniques adverses réalistes. Elles collectent les informations pour proposer une lecture de la maturité opérationnelle des défenses, et non un verdict sur la qualité ou l’efficacité des solutions utilisées.
Des scénarios conçus pour refléter la réalité opérationnelle
L’édition 2025 marque une inflexion méthodologique notable. MITRE introduit pour la première fois des scénarios d’attaque explicitement centrés sur le cloud et sur l’identité, en s’appuyant sur des groupes adverses bien documentés. Le scénario Scattered Spider reproduit des chaînes d’attaque fondées sur l’hameçonnage ciblé, l’abus de sessions SSO, le contournement de l’authentification multifacteur et l’utilisation détournée d’outils légitimes.
Le scénario Mustang Panda, associé à des logiques d’espionnage étatique, explore quant à lui des attaques furtives et persistantes, caractérisées par une reconnaissance approfondie et une progression lente. Dans les deux cas, l’attaquant ne cherche pas à rompre brutalement les défenses, mais à exploiter le fonctionnement normal des systèmes. Le cloud apparaît alors non plus comme un simple support technique, mais comme un espace stratégique d’opérations.
Quand la défense repose sur la capacité à relier les signaux
Les résultats des évaluations déplacent nettement le débat. La détection d’un événement isolé ne suffit plus. Ce qui fait la différence tient à la capacité à reconstituer une séquence cohérente à partir de signaux faibles et dispersés. Les attaques observées combinent courriels, identités, consoles cloud, outils d’administration et postes de travail, sans rupture évidente entre usage légitime et activité malveillante.
Les écarts constatés ne traduisent pas une supériorité fonctionnelle d’un dispositif sur un autre, mais reflètent la nature de la télémétrie disponible et la manière dont elle est contextualisée. La visibilité sur les journaux d’authentification, les changements de configuration, les accès inhabituels ou les comportements persistants devient déterminante. La défense se joue moins sur la détection brute que sur la compréhension des enchaînements.
L’identité, pivot discret mais décisif des attaques modernes
Un enseignement structurant de cette édition concerne le rôle central de l’identité. L’utilisation de cookies SSO compromis, l’ajout de méthodes MFA secondaires ou la création de fournisseurs d’identité alternatifs illustrent des détournements qui demeurent longtemps indiscernables d’une activité normale.
Ces techniques mettent en lumière une fragilité structurelle des environnements cloud. Les mécanismes conçus pour fluidifier les accès et automatiser les usages deviennent, une fois détournés, des accélérateurs d’attaque. Les évaluations montrent que l’efficacité défensive repose sur la capacité à identifier une dérive comportementale dans le temps, plutôt que sur la présence d’un indicateur technique explicite.
La reconnaissance, un angle mort désormais mis en évidence
L’intégration explicite de la tactique de reconnaissance constitue l’un des apports majeurs des ATT&CK Enterprise Evaluations 2025. MITRE met en lumière une réalité souvent sous-estimée : cette phase reste faiblement exploitée par les dispositifs de défense, alors même qu’elle conditionne l’ensemble de la chaîne d’attaque.
L’énumération des annuaires, des rôles IAM, des services cloud exposés ou des partages internes apparaît rarement comme un signal critique. Pourtant, les résultats montrent que cette exploration méthodique fournit des indicateurs précoces précieux. Cette faiblesse ne renvoie pas à un déficit technologique, mais à une maturité encore incomplète des stratégies de surveillance, trop souvent focalisées sur l’exécution finale.
Des enseignements qui dépassent la question des outils
MITRE rappelle explicitement que ces évaluations ne disent pas quelles solutions adopter. Elles invitent plutôt les entreprises, les administrations et les fournisseurs de services à interroger leurs choix d’architecture de sécurité, leur organisation opérationnelle et leur capacité à exploiter les signaux disponibles.
Les résultats montrent que l’efficacité défensive dépend étroitement de la cohérence entre les outils déployés, les processus et les équipes. Une solution ne protège pas par elle-même. Elle conditionne la qualité de l’observation, la lisibilité des comportements et la capacité des analystes à interpréter des situations complexes.
Une photographie de la cybersécurité cloud contemporaine
Les évaluations ATT&CK Enterprise 2025 livrent une photographie réaliste de la cybersécurité actuelle. Les attaques deviennent plus discrètes, plus longues et plus étroitement imbriquées dans les usages normaux. Les environnements cloud et hybrides complexifient la supervision, tandis que la ligne de défense se déplace vers l’analyse, la corrélation et l’anticipation.
En filigrane, MITRE pose une question stratégique qui dépasse largement le cadre de ces évaluations : comment organiser la détection, l’interprétation et la réponse dans des systèmes distribués où l’attaque se confond de plus en plus avec le fonctionnement normal. C’est sur ce terrain, bien plus que dans une logique de comparaison de solutions, que ces travaux prennent toute leur portée.
