MITRE ATT&CK

TEHTRIS est conforme aux exigences des MITRE Engenuity ATT&CK Evaluations.


TEHTRIS a participé avec succès aux évaluations MITRE Engenuity ATT&CK Evaluations : Enterprise.

Le plan d’évaluation MITRE Engenuity ATT&CK se déroule sur 4 jours :

  • Jour 1 – Évaluation de la capacité à détecter et à classer les menaces pour le 1er scénario.
  • Jour 2 – Évaluation de la capacité à détecter et à classer les menaces dans le cadre du 2nd scénario.
  • Jour 3 – Évaluer tout ce qui n’a pas été fait les jours 1 et 2 et tester les changements de configuration.
  • Jour 4 – Évaluer les protections.

L’exercice cette année, consistait à simuler le modus operandi de l’acteur de menace Turla.

Qu’est-ce que MITRE Engenuity ATT&CK Evaluations : Enterprise ?

MITRE Engenuity ATT&CK Evaluations : Enterprise est un exercice international indépendant destiné aux fournisseurs de cybersécurité. L’objectif est de mettre en évidence leurs capacités de détection.

Ces évaluations s’appuient sur la vision objective de MITRE. Les fournisseurs de cybersécurité utilisent le programme ATT&CK Evaluations pour améliorer leurs offres et pour fournir des informations sur les capacités et les performances de leurs produits.

MITRE Engenuity ne classe pas les fournisseurs qui participent à ses évaluations. Ses évaluations ne sont pas des analyses concurrentielles, car il n’existe pas de solution unique pour les environnements de nos utilisateurs finaux.


  • Les points de passages stratégiques ont été détectés. Les clients sont protégés et les alertes TEHTRIS utilisent la taxonomie MITRE.
  • Pas d’alertes retardées : toutes les détections ont été faites en temps réel et sans action humaine.
  • Aucun changement de configuration : TEHTRIS a choisi d’effectuer ses détections avec des configurations établies avant le test pour être dans la réalité terrain.

Près de la moitié des participants ont été confrontés à des retards de détection. Ce qui a eu un impact direct et important sur le temps moyen de détection (MTTD) des équipes de défense.

TEHTRIS a quant à lui été capable de détecter automatiquement tous les points de passages stratégiques en temps réel.

TEHTRIS a choisi d’effectuer 100% de ses détections avec des configurations établies avant le test pour démontrer l’efficacité de la TEHTRIS XDR Platform.

En effet, à partir du 3e jour, les changements de configuration ont été autorisés par MITRE pendant les phases de test. Cela a permis à des éditeurs de logiciels d’afficher une meilleure détection au « jour 3 » et au fur et à mesure de la progression de l’attaque. Pourtant, au quotidien, les attaquants n’attendent pas les changements de configuration des équipes de cyberdéfense…

Pour votre information : sur les 30 participants, 23 ont décidé de modifier plusieurs fois la configuration de leur logiciel pour pouvoir détecter les alertes, en utilisant les informations des jours 1 et 2. Dans la réalité, les actions et le temps requis par des équipes en sous-effectif et sous pression ne permettent pas de tels changements de configuration. Les attaques fulgurantes actuelles nous obligent à avoir une solution de cyberdéfense avec la bonne configuration dès le départ. Seules des détections en temps réel et sans action humaine permettent cette réponse optimale.

Compte tenu des règles établies par MITRE Engenuity, TEHTRIS n’a utilisé qu’une partie de son arsenal défensif pour cette évaluation. Seuls les modules EDR et SIEM de la TEHTRIS XDR Platform ont été déployés dans l’environnement d’attaque simulé. La majeure partie de nos solutions et modules a été désactivée (CTI, Sandboxes, CYBERIA, EPP, NTA, Honeypots, SOAR).

MITRE Engenuity nous a interdit la neutralisation automatique et sans action humaine de Turla afin de permettre à l’attaque émulée de se poursuivre jusqu’à son exécution.

Malgré toutes ces limites imposées, TEHTRIS a réussi l’évaluation MITRE Engenuity. Les menaces ont été détectées aux points critiques dès leur exécution. Si la puissance de notre TEHTRIS XDR Platform avait été exploitée sans contraintes, alors les menaces auraient été neutralisées en temps réel et sans intervention humaine.