Tactiques, techniques et procédures

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Les tactiques, techniques et procédures (TTP) sont un concept essentiel dans l'étude du terrorisme et de la cybercriminalité^[1]. Le rôle des TTP est d'identifier les modèles de comportement individuels d'une activité ou d'une organisation particulière, et d'examiner et de catégoriser les tactiques et les armes utilisées.

TTP de la cybercriminalité[modifier | modifier le code]

D’après le NIST, les TTP décrivent le comportement d'un acteur cybercriminel. Les « tactiques » sont des descriptions générales de comportements, les « techniques » sont des descriptions détaillées de comportements dans le contexte de tactiques, et les « procédures » sont des descriptions très détaillées dans le contexte de techniques. Les TTP peuvent décrire la tendance d'un acteur à utiliser un malware spécifique, sa manière d’opérer, ses outils d'attaque, son mécanisme de livraison - par exemple avec hameçonnage ou une attaque de point d'eau - ou un exploit^[2].

Concepts clés[modifier | modifier le code]

Cyber kill-chain[modifier | modifier le code]

Article détaillé : Kill chain (sécurité informatique).

ATT&CK framework[modifier | modifier le code]

Article détaillé : MITRE ATT&CK.

OWASP[modifier | modifier le code]

Article détaillé : Open Web Application Security Project.

TTP du terrorisme[modifier | modifier le code]

L'approche actuelle de l'analyse du terrorisme implique un examen de l'utilisation par les terroristes individuels ou les organisations terroristes d'armes particulières, utilisées de manière spécifique et des différentes tactiques et stratégies exposées^[1]. De manière générale, un large éventail de TTP ont été montrés historiquement par les terroristes individuels et les organisations terroristes dans le monde^[3].

Concepts clés[modifier | modifier le code]

Évolution des TTP[modifier | modifier le code]

Historiquement, tous les terroristes du monde présentent une évolution de leurs TTP. Cela peut être dû aux circonstances changeantes, à la disponibilité des ressources, aux idéologies changeantes, ou « war-focus ».

Dans le cas des talibans, leurs tactiques consistent principalement en des attaques aux engins explosifs improvisés (EEI) de style guérilla et des embuscades à l'arme légère contre les forces et intérêts de sécurité internationaux et étatiques, tels que les postes de contrôle de la police et les convois de ravitaillement militaire. Cependant, plus récemment, les TTP des talibans se sont étendus pour inclure des attentats suicides à grande échelle, perpétrés par des kamikazes et d'autres attentats-suicides afin de saper l’autorité du gouvernement en place.

Modèle de la kill-chain[modifier | modifier le code]

Le modèle kill-chain est un outil conceptuel utilisé dans l'analyse et les études sur le terrorisme^[1]. Tous les TTP des terroristes ou des organisations terroristes font partie de la compréhension de la kill-chain terroriste, qui est le schéma d'activités transactionnelles, liées entre elles pour qu'un acte terroriste ait lieu. En gros, cela implique de décrire la « hiérarchie des tâches et des sous-tâches susceptibles d'être impliquées dans l'exécution » ou dans la réalisation d'un acte terroriste^[1]. Ceux-ci peuvent inclure l'arrangement et la séquence des activités qu'un terroriste ou une organisation terroriste utilise pour planifier, organiser, mobiliser, former, équiper et mettre en place des ressources et des agents. Ces activités constituent le modus operandi ou le « système d'attaque » des terroristes ou des organisations terroristes^[1]. Quatre ensembles d'étapes composent le modèle kill-chain complet :

Le premier ensemble d'activités sont les « étapes de préparation de l'attaque ». En termes d'analyse du terrorisme, les transactions individuelles, telles que l'acquisition de fonds, l'acquisition d'expertise, l'acquisition de matériel, de munitions ou de capacités, le recrutement de membres, la conduite d'une reconnaissance, la répétition d'une mission, la conduite d'un attentat, portent des signatures qui les identifient comme des actes terroristes ou criminels ou sont compatibles avec les opérations d'un individu, d'une cellule ou d'un groupe spécifique.
Le deuxième ensemble d'activités est appelé le « calendrier d'exécution ». Cela identifie la chronologie, le long de laquelle le terroriste ou les diverses activités des organisations terroristes menant à un processus d'attaque se déroulent dans le temps.
Le troisième ensemble d'activités est identifié comme « ciblage ». Un individu ou un groupe effectuerait une certaine forme de reconnaissance dédiée dans le but d'identifier les faiblesses du site ou de l'opération ; et avec cette information déterminer la meilleure méthode d'attaque.
Le quatrième ensemble d'activités est identifié comme les « étapes de planification ».. Celles-ci impliquent un certain type d'activité de planification intégrée dans la « chaîne de mise à mort » et font partie du processus d'organisation, de mobilisation, de formation, d'équipement, de mise en scène, de collecte de ressources et d'agents. Ceux-ci constituent le modus operandi ou le système d'attaque du terroriste ou de l'organisation terroriste.

La « séquence d'activités » du modèle kill-chain n'est pas linéaire, mais discontinue^[1]. Trois scénarios de modèle kill-chain supplémentaires peuvent être identifiés^[4] :

Un individu ou un groupe fait activement la promotion d'une idéologie terroriste/extrémiste sur Internet, dans des livres, des brochures, etc. Celle-ci est ensuite récupérée par un terroriste ou une organisation terroriste, qui agissent ensuite en conséquence.
Deux ou plusieurs séquences d'activités en chaîne de destruction parallèles (par divers individus/groupes) qui ne sont reliées qu'indirectement par des individus/groupes intermédiaires. Partageant des croyances similaires, mais aussi croisant des croyances/idéologies complémentaires. De nombreux intermédiaires de ce type peuvent opérer dans cet espace, passant des idées et des ressources, voire des recrues entre les différents terroristes, ou organisations, groupes et cellules terroristes.
Un terroriste ou une organisation terroriste recueille des idées, des connaissances, etc., et se lance à divers endroits selon le concept « standard » du modèle kill-chain.

Transfert de tactiques, techniques et procédures terroristes[modifier | modifier le code]

Les TTP terroristes sont souvent transmis entre les divers individus ou organisations. Ils apprennent souvent les uns des autres^[5]. Le degré auquel le transfert des TTP se produit dépend de leur succès relatif lorsqu'ils sont transférés à un conflit différent et à un environnement différent. Les similitudes dans les TTP entre divers terroristes ou organisations terroristes, à travers les conflits et les périodes suggèrent un transfert d'informations.

Connaissance explicite : Il s'agit des informations théoriques qui sont souvent stockées sur des copies papier, telles que des manuels, des manuels et sur des ordinateurs via des fichiers PDF et vidéo. Ceux-ci sont extrêmement faciles à obtenir, mais sans l'enseignement ou l'expérience appropriés, ces informations faciles d'accès ne sont généralement pas utilisées efficacement.
Connaissances tactiques : le plus souvent enseignées ou apprises par l'expérience et l'enseignement pratique. Cela nécessite l'organisation d'établissements de formation. Pour les terroristes ou les organisations terroristes, l'obtention de ces informations est plus difficile mais constitue un transfert de connaissances plus efficace.

Concepts tactiques clés liés aux TTP des terroristes[modifier | modifier le code]

Plusieurs concepts tactiques clés peuvent être liés aux TTP, qui sont généralement utilisés dans les opérations de terrorisme ou d'insurrection.

Tactiques d'interposition^[6]
Opérations d'imitation^[7]
Manœuvre de rhizome^[4]
Analyse tactique tridimensionnelle (3D)
Tactiques d'essaimage
Actions erratiques délibérées et attaques erratiques^[8]
Défense dynamique^[8]

Références[modifier | modifier le code]

↑ ^{a b c d e et f} Sullivan, J.P., Bauer, A. eds (2008). Terrorism Early Warning: 10 Years of Achievement in Fighting Terrorism and Crime. Los Angeles, CA: Los Angeles Sheriff’s Department.
↑ (en-US) CSRC Content Editor, « tactics, techniques, and procedures (TTP) - Glossary | CSRC », sur csrc.nist.gov (consulté le 13 juin 2023)
↑ Flaherty, C. (2012) Dangerous Minds: Attps://eccp.poste.dككك Monograph on the Relationship Between Beliefs –Behaviours – Tactics. Published by OODA LOOP (7 September 2012).URL: http://www.oodaloop.com/security/2012/09/07/dangerous-minds-the-relationship-between-beliefs-behaviors-and-tactics/
↑ ^{a et b} Flaherty, C. (2012) Dangerous Minds: A Monograph on the Relationship Between Beliefs –Behaviours – Tactics. Published by OODA LOOP (7 September 2012).URL: http://www.oodaloop.com/security/2012/09/07/dangerous-minds-the-relationship-between-beliefs-behaviors-and-tactics/
↑ Hedges, M. Karasik, T. Evolving Terrorist Tactics, Techniques, and Procedures (TTP) Migration Across South Asia, Caucasus, and the Middle East. INEGMA Special Report No. 7. URL: « Archived copy » [archive du 4 septembre 2012] (consulté le 20 février 2014)
↑ Flaherty, C. (2009) Interposing Tactics. Red Team Journal.com URL: https://redteamjournal.com/archive-blog/2009/12/04/interposing-tactics
↑ Flaherty, C.J. (December 2003) Mimicking Operations, Australian Army Journal. (1)2: 11-14. URL: http://www.army.gov.au/Our-future/LWSC/Our-publications/Australian-Army-Journal/Past-issues/~/media/Files/Our%20future/LWSC%20Publications/AAJ/2003Summer/02-InformationWarfareAndMi.pdf
↑ ^{a et b} Flaherty, C. (2009) 2D Verses 3D Tactical Supremacy in Urban Operations. Journal of Information Warfare. (8)2: 13-24.

[Sullivan2008-1] {a b c d e et f} Sullivan, J.P., Bauer, A. eds (2008). Terrorism Early Warning: 10 Years of Achievement in Fighting Terrorism and Crime. Los Angeles, CA: Los Angeles Sheriff’s Department.

[2] (en-US) CSRC Content Editor, « tactics, techniques, and procedures (TTP) - Glossary | CSRC », sur csrc.nist.gov (consulté le 13 juin 2023)

[3] Flaherty, C. (2012) Dangerous Minds: Attps://eccp.poste.dككك Monograph on the Relationship Between Beliefs –Behaviours – Tactics. Published by OODA LOOP (7 September 2012).URL: http://www.oodaloop.com/security/2012/09/07/dangerous-minds-the-relationship-between-beliefs-behaviors-and-tactics/

[oodaloop.com-4] {a et b} Flaherty, C. (2012) Dangerous Minds: A Monograph on the Relationship Between Beliefs –Behaviours – Tactics. Published by OODA LOOP (7 September 2012).URL: http://www.oodaloop.com/security/2012/09/07/dangerous-minds-the-relationship-between-beliefs-behaviors-and-tactics/

[5] Hedges, M. Karasik, T. Evolving Terrorist Tactics, Techniques, and Procedures (TTP) Migration Across South Asia, Caucasus, and the Middle East. INEGMA Special Report No. 7. URL: « Archived copy » [archive du 4 septembre 2012] (consulté le 20 février 2014)

[6] Flaherty, C. (2009) Interposing Tactics. Red Team Journal.com URL: https://redteamjournal.com/archive-blog/2009/12/04/interposing-tactics

[7] Flaherty, C.J. (December 2003) Mimicking Operations, Australian Army Journal. (1)2: 11-14. URL: http://www.army.gov.au/Our-future/LWSC/Our-publications/Australian-Army-Journal/Past-issues/~/media/Files/Our%20future/LWSC%20Publications/AAJ/2003Summer/02-InformationWarfareAndMi.pdf

[Flaherty,_C._2009-8] {a et b} Flaherty, C. (2009) 2D Verses 3D Tactical Supremacy in Urban Operations. Journal of Information Warfare. (8)2: 13-24.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]