
Classification : TLP:CLEAR
Base documentaire : publication FIRST.org (Vishal Thakur, Atlassian) et sources publiques associées
Public visé : responsables CERT, CSIRT, SOC, CTI, Detection Engineering, recherche en cybersécurité
Note de la méthode. Les faits relatifs au framework proviennent du document de référence FIRST et des sources listées en fin d’article, avec appel de citation (N°). Les éléments opérationnels (phases d’adoption, indicateurs, intégrations outillage, recommandations par type d’organisation) ne figurent pas dans la source : ils sont présentés comme pistes indicatives d’analyste, et signalés comme tels.
Résumé exécutif
Les cadres défensifs de référence, MITRE ATT&CK et MITRE D3FEND, reposent sur des activités adverses observées. Ils laissent une lacune : l’anticipation des techniques plausibles mais non encore constatées. PR3TACK, pour Preemptive Tactics & Countermeasures Knowledgebase, se propose de combler ce fossé anticipatif en cataloguant systématiquement des tactiques, techniques et procédures techniquement plausibles mais pas encore confirmées empiriquement, et en les associant à des contre-mesures préventives (N°1).
Présenté à FIRSTCON26 par Vishal Thakur et Atlassian, le framework vise à permettre aux défenseurs d’endurcir leurs environnements avant l’exploitation, plutôt que de réagir après coup (N°1, N°3). Cet article décrit sa justification, sa structure, ses tactiques inédites, ses exemples concrets, sa valeur stratégique, ses limites, et propose des pistes d’adoption pour les équipes.
1. Contexte et justification opérationnelle
1.1 L’asymétrie défensive fondamentale
La cybersécurité est marquée par un déséquilibre structurel : l’adversaire n’a besoin que d’une seule réussite pour atteindre son objectif, quand le défenseur doit anticiper un ensemble de menaces presque illimité. Ce déséquilibre est aggravé par la nature réactive de la plupart des cadres défensifs. Les défenseurs apprennent d’une compromission, codifient les comportements adverses, puis tentent d’en empêcher la récurrence. Il en résulte une latence persistante entre l’innovation adverse et l’adaptation défensive, latence que les adversaires exploitent (N°1).
1.2 La limite des cadres rétrospectifs
MITRE ATT&CK a systématisé la connaissance défensive en cataloguant les tactiques observées et en offrant un référentiel commun pour la détection, la réponse à incident et les exercices red team. Sa conception rétrospective est aussi sa limite : il ne décrit que ce qui a déjà été fait. Les techniques émergentes ou plausibles mais non observées restent absentes jusqu’à confirmation empirique.
1.3 Le positionnement de PR3TACK
PR3TACK part du principe que les défenseurs doivent non seulement documenter le passé mais aussi anticiper le futur. Inspiré de méthodologies prospectives issues des études stratégiques, de l’ingénierie de résilience et du design spéculatif, il systématise un domaine jusqu’ici informel et fragmenté : le catalogue des techniques adverses plausibles mais non encore observées. La distinction tient en une phrase : ATT&CK décrit ce qui s’est produit, PR3TACK ce qui pourrait se produire ensuite (N°1).
2. Principes conceptuels
2.1 De la défense réactive à la défense préemptive
Le paradigme dominant reste réactif : compromission, analyse, mitigation. Utile pour coder la réalité empirique, il laisse le défenseur en retard. PR3TACK ajoute une dimension tournée vers l’avant : plutôt que d’attendre la confirmation, il codifie le possible adjacent, c’est-à-dire les vecteurs d’attaque susceptibles d’émerger compte tenu des possibilités techniques actuelles (N°1).
2.2 Plausibilité, pas spéculation
PR3TACK n’est pas un recueil de science-fiction. Il repose sur une plausibilité démontrable, ancrée dans la preuve de concept, les tendances d’innovation adverse et les propriétés techniques des systèmes modernes. Une soumission doit satisfaire l’un de trois seuils.
| Priorité | Critère | Description |
|---|---|---|
| Haute | Démonstration PoC | Technique démontrée par une implémentation en preuve de concept |
| Moyenne | Raisonnement technique | Technique hypothétique appuyée par un raisonnement technique, en attente de validation |
| Basse | Recherche académique | Technique issue de la recherche académique ou d’une investigation en cours |
Cette hiérarchie garde le framework spéculatif dans son orientation mais ancré dans un raisonnement défendable (N°1).
2.3 Complémentarité avec les cadres existants
PR3TACK complète ATT&CK et D3FEND sans les remplacer. Les trois dessinent une épistémologie de défense en couches, empirique, réactive puis anticipative :
- MITRE ATT&CK : ce qui est connu pour avoir été fait.
- MITRE D3FEND : mesures défensives contre les techniques documentées.
- PR3TACK : contre-mesures préemptives contre des menaces non encore réalisées.
3. Architecture du framework
3.1 Organisation par tactiques
PR3TACK organise sa base autour d’un ensemble de tactiques, dont certaines recoupent les taxonomies existantes et d’autres lui sont propres.
| Tactique | Description |
|---|---|
| Execution | Mécanismes provoquant l’exécution de code ou d’effets sur un système cible |
| Persistence | Maintien d’un point d’appui à travers redémarrages, mises à jour et sessions |
| Privilege Escalation | Obtention d’une autorité accrue (user vers admin, userland vers kernel) |
| Defense Evasion | Évitement de la détection ou entrave à la surveillance et à la réponse |
| Command & Control | Canaux d’instruction vers les assets compromis et de retour de données |
| Discovery | Exploration et cartographie de l’environnement cible |
| Collection | Capture et agrégation de données en vue d’un usage ultérieur |
| Exfiltration | Sortie des données vers un emplacement contrôlé par l’attaquant |
| Lateral Movement | Déplacement de l’hôte initial vers d’autres systèmes ou unités |
| Pre-Positioning | Actions de long terme façonnant l’attaquabilité future |
| Resilience Erosion | Dégradation de la capacité de l’organisation à récupérer |
| Governance Subversion | Manipulation des politiques, standards, achats ou processus juridiques |
| Cognitive Manipulation | Altération de la perception et du jugement des analystes |
| Operational Tempo Manipulation | Choix du moment des opérations pour maximiser la perturbation |
| AI/ML Subversion | Ciblage des pipelines d’apprentissage automatique |
| Sociotechnical Pressure | Recours aux écosystèmes social, médiatique et partenarial |
| Digital Exhaust Manipulation | Armement des traces dont dépendent les défenseurs |
3.2 Tactiques propres à PR3TACK
Cinq catégories constituent l’apport analytique le plus original du framework.
Pre-Positioning. Activités préparatoires de long terme : sleeper commits dans des projets open source, semis d’identifiants défensifs, domaines look-alike enregistrés pour activation ultérieure. Défenses préventives : audits proactifs des contributions OSS, surveillance de domaines.
Resilience Erosion. Dégradation ciblée de la capacité de récupération : corruption de sauvegardes, épuisement des processus de patch management, fatigue cognitive des analystes. Défenses préventives : tests réguliers de restauration, rotation et isolation des sauvegardes.
Governance Subversion. Manipulation des processus de politique, d’achats ou de normalisation : influence sur les organes de normalisation, comptes fournisseurs de confiance établis frauduleusement, clauses instables insérées dans des contrats. Défenses préventives : vérification stricte des fournisseurs, clauses de sécurité contractuelles, audits d’achats.
Cognitive Manipulation. Ciblage de la perception des défenseurs : inondation d’alertes habituatrices, journaux et interactions adverses conçus pour biaiser la décision. Défenses préventives : seuils d’alerte dynamiques, vérification croisée humaine, formation à l’évaluation.
Digital Exhaust Manipulation. Armement des traces exploitées par les défenseurs : pollution de la télémétrie, contamination des bases d’IOC, corruption de métadonnées publiques. Défenses préventives : validation multi-source, confiance progressive des IOC, audit régulier des sources.
S’y ajoutent l’Operational Tempo Manipulation, l’AI/ML Subversion et la Sociotechnical Pressure, qui étendent l’analyse au-delà de l’exécution de code, vers la gouvernance, la cognition et le sociotechnique (N°1).
3.3 La Seed Matrix
La matrice initiale répartit les tactiques en dix-sept catégories, appelées à s’enrichir par la contribution communautaire. Chaque tactique se subdivise en techniques décrites, évaluées en faisabilité et mappées à des défenses préventives.
| Technique | Faisabilité | Défense préemptive |
|---|---|---|
| Execution via Peripheral Firmware Stagers : firmware de périphérique anodin utilisé pour préparer une charge à la connexion | Moyenne | Vérification de firmware, attestation de périphérique, allowlisting des fournisseurs |
| Governance Subversion via Procurement Account Establishment : identités fournisseurs de confiance comme points d’appui durables | Moyenne | Vérification fournisseur stricte, clauses contractuelles, audits d’achats |
4. Le Navigator PR3TACK
4.1 Interface interactive
Le Navigator permet d’explorer la Seed Matrix sous forme de grille par tactique. Contrairement à ATT&CK, qui catalogue des techniques confirmées, PR3TACK se concentre sur la couche du plausible non observé. Le Navigator offre la recherche et le filtrage transversal par tactique, technique, plateforme et statut, l’ouverture de chaque technique pour consulter idées de détection, mitigations et tags, et le chargement de fichiers JSON pour étendre ou remplacer la matrice avec des contributions communautaires (N°1).
4.2 Cas d’usage par profil
| Profil | Usage typique |
|---|---|
| Analyste SOC | Repérage de lacunes de détection avant exploitation réelle |
| Detection Engineer | Orientation du développement de règles pour techniques émergentes |
| Red Teamer | Conception de scénarios proactifs au-delà d’ATT&CK |
| CISO / responsable technique | Alignement des investissements sur les risques futurs plausibles |
| Chercheur | Test d’hypothèses sur l’innovation adverse |
4.3 Intégration au flux existant (piste indicative)
Le framework se prête à un mapping vers l’outillage de détection et de réponse. Les intégrations suivantes ne sont pas décrites par la source et constituent des pistes d’analyste : règles SIEM fondées sur des patterns comportementaux anticipatifs, signatures comportementales EDR, playbooks SOAR préventifs déclenchés sur indicateurs faibles, enrichissement CTI orienté menaces plausibles.
5. Valeur stratégique
5.1 Bénéfices organisationnels
Pour une organisation, PR3TACK offre un moyen structuré d’identifier des angles morts non encore exploités. Posture proactive par correction anticipée, réduction de la fenêtre d’exposition, orientation des exercices red et purple team, et extension de la résilience à la capacité de récupération et non au seul compromis technique (N°1).
5.2 Implications sectorielles
À l’échelle du secteur, le framework établit un vocabulaire commun pour parler des menaces émergentes. Les éditeurs peuvent l’utiliser pour orienter leurs produits, les chercheurs pour tester des hypothèses, les régulateurs comme référence pour une réglementation tournée vers l’avant, les assureurs pour affiner l’évaluation du risque.
5.3 Contribution académique
PR3TACK formalise une catégorie souvent négligée, l’inconnu plausible, et propose un pont entre recherche empirique en sécurité et études prospectives.
6. Exemples et techniques
6.1 Atom Table abuse (AtomBombing)
Décrit par enSilo en 2016, l’AtomBombing exploite les atom tables de Windows, accessibles à tous les processus, et les Asynchronous Procedure Calls pour injecter du code dans un processus légitime sans recourir aux API d’injection habituelles. Il n’exploite pas une vulnérabilité corrigeable : il repose sur la conception même de ces mécanismes, ce qui le rend difficile à détecter et impossible à patcher au sens strict (N°5). Précision factuelle : la technique relève de l’injection de processus et de l’évasion, et non de la persistance. Elle est d’ailleurs souvent rattachée à la tactique d’injection de processus des taxonomies existantes ; l’apport de PR3TACK tient à la systématisation de son anticipation. Défense préemptive : surveillance des usages anormaux des atom tables, contrôle des processus systèmes.
6.2 Le kill-all-VMs de Revix
Revix est la variante Linux et ESXi du ransomware REvil apparue en 2021. Précision factuelle : le binaire ne détruit pas les machines virtuelles, il les arrête de force. Avant de chiffrer les fichiers VMDK, il utilise esxcli pour lister les VM en cours d’exécution et les terminer par leur world-id, de sorte que les disques ne soient plus verrouillés par ESXi, ce qui permet de chiffrer de nombreux serveurs virtualisés d’une seule commande (N°6). Cette variante a fait l’objet d’une analyse détaillée de Vishal Thakur, jusqu’au comportement d’arrêt des VM et aux fautes de frappe utiles à la détection (N°7). Défense préemptive : protection immuable des hyperviseurs, segmentation réseau des VM, sauvegardes hors ligne.
6.3 Peripheral Firmware Staging
Chargement d’une charge via le firmware d’un périphérique. Statut : plausible, priorité moyenne. Défense préemptive : attestation matérielle, vérification cryptographique du firmware.
6.4 AI Training Data Poisoning
Corruption des jeux de données d’entraînement pour influencer des modèles de détection. Statut : plausible, priorité moyenne. Défense préemptive : validation des datasets, détection d’anomalies, modèles de vérification en parallèle.
6.5 Méthodologie d’évaluation
| Critère | Évaluation |
|---|---|
| Faisabilité technique | Le code fonctionne-t-il ? PoC requis pour la priorité haute |
| Complexité requise | Expertise nécessaire (basse, moyenne, haute) |
| Couverture environnementale | Portée des systèmes affectés |
| Probabilité d’adoption adverse | Motivation et capacité des adversaires |
| Impact potentiel | Conséquences métier et sécurité |
| Maturité de détection | Capacité de détection actuelle |
7. Adoption et mise en oeuvre (pistes indicatives)
Cette section ne provient pas de la source : elle propose une démarche d’adoption. À adapter au contexte de chaque équipe.
7.1 Démarche par phases
- Phase 1, évaluation initiale. Audit des cadres existants, cartographie de la couverture, identification des zones blanches probables, alignement avec la direction.
- Phase 2, intégration. Sélection de trois à cinq tactiques prioritaires selon l’environnement, développement de règles de détection préemptives, exercice red team centré sur ces techniques, formation des analystes.
- Phase 3, optimisation continue. Boucle de retour avec les contributeurs, mise à jour des règles selon l’efficacité mesurée, extension à d’autres tactiques, publication éventuelle des retours.
7.2 Intégration au stack (indicatif)
| Composant | Piste d’intégration |
|---|---|
| SIEM | Règles sur patterns comportementaux anticipatifs |
| EDR | Signatures comportementales pour techniques plausibles |
| SOAR | Playbooks préventifs sur indicateurs faibles |
| CTI | Enrichissement orienté menaces plausibles |
| Vulnerability Management | Priorisation selon exploitabilité future estimée |
7.3 Indicateurs de suivi (à définir par l’équipe)
Les valeurs cibles ne sont pas prescrites par le framework. Exemples d’indicateurs que l’on peut se fixer : part des tactiques PR3TACK couvertes par des règles, délai de création d’une détection après identification d’une technique émergente, taux de faux positifs des nouvelles règles, fréquence des exercices red team fondés sur PR3TACK, nombre de contributions soumises à la communauté.
8. Communauté et gouvernance
PR3TACK est lancé comme projet collaboratif ouvert aux praticiens, universitaires et organisations. Le processus de soumission requiert les coordonnées du contributeur, la description de la technique, l’évaluation de faisabilité, l’impact estimé et les défenses préventives suggérées, avec documentation de support encouragée (code PoC, recherche). Les contributions peuvent être publiques ou anonymes. Une équipe Core valide les soumissions pour en assurer qualité et cohérence, et les classe selon la matrice de priorité (N°1).
Contacts : adhésion au projet, join@pr3tack.org ; soumission de technique, ttp@pr3tack.org. Le framework a été lancé à FIRSTCON26 et se rattache au Cyber Threat Intelligence SIG de FIRST (N°1, N°3).
9. Limites et considérations
L’auteur du framework le formule clairement : PR3TACK n’est pas une boule de cristal et ne prédira pas toutes les innovations. Sa valeur tient à la culture de défense anticipative qu’il installe, pas à une prétention prédictive (N°1).
Ce que PR3TACK n’est pas : un substitut à ATT&CK pour la détection historique, un catalogue exhaustif (la matrice évolue), ni une garantie (la plausibilité n’est pas la certitude).
Défis et atténuations : le risque de spécialisation excessive appelle un cadre générique largement applicable ; le risque de surdéfense appelle une priorisation sur l’impact réel estimé ; le risque de fatigue d’alerte appelle des seuils adaptatifs et l’agrégation de techniques proches ; le coût de maintenance appelle de l’automatisation et une priorisation communautaire. S’ajoute une tension propre à ce type de démarche : documenter ouvertement des idées offensives suppose un équilibre entre partage défensif et diffusion de tradecraft, que la curation vise à encadrer.
Bonnes pratiques : utiliser PR3TACK en complément d’ATT&CK et non en remplacement, prioriser selon l’exposition réelle de l’environnement, valider périodiquement la pertinence des techniques retenues, tracer les décisions d’adoption, partager les retours avec la communauté.
10. Comparaison ATT&CK, D3FEND, PR3TACK
| Dimension | MITRE ATT&CK | MITRE D3FEND | PR3TACK |
|---|---|---|---|
| Origine des données | Activités adverses observées | Mesures défensives documentées | Techniques plausibles non observées |
| Orientation temporelle | Rétrospective | Présente | Prospective |
| Objectif principal | Documenter les TTP connus | Structurer la défense technique | Anticiper l’innovation adverse |
| Niveau de certitude | Élevé, factuel | Élevé, technique | Variable, plausibilité |
| Usage primaire | Détection, réponse, threat hunting | Durcissement, mitigation | Red team proactive, feuille de route |
| Communauté | MITRE et partenaires | MITRE et partenaires | FIRST et communauté contributive |
| Accès | Public | Public | Public, lancé à FIRSTCON26 |
Remarque : les fréquences de mise à jour et les conditions de licence varient et évoluent ; se référer aux sites officiels des trois cadres plutôt qu’à une caractérisation figée (N°8).
11. Recommandations par type d’organisation (pistes indicatives)
Grande entreprise, structure mature. Intégration complète au stack, veille dédiée, investissement dans l’automatisation de la détection, collaboration active avec la communauté.
PME, ressources limitées. Sélection de trois à cinq tactiques les plus pertinentes, intégration légère au SIEM existant, formation ciblée des analystes principaux, veille passive dans un premier temps.
Éditeur de sécurité. Alignement produit avec les techniques du framework, recherche de techniques nouvelles pour se différencier, retour vers la communauté.
Recherche et enseignement. Sujet de recherche, contribution de techniques nouvelles, intégration aux cursus, collaboration interdisciplinaire avec l’IA et les sciences humaines.
12. Perspectives (prospectif)
Ces éléments sont prospectifs et ne préjugent pas des choix du projet. Extensions techniques envisageables : intégration directe aux plateformes de detection engineering, API d’enrichissement, estimation par apprentissage de la probabilité d’adoption adverse. Secteurs a priori intéressés : finance, santé, énergie et environnements OT/ICS, gouvernement et défense. À long terme, un tel cadre pourrait servir de référence pour des démarches réglementaires de sécurité proactive ou alimenter des standards d’anticipation de la menace.
13. Ressources et liens
| Ressource | URL |
|---|---|
| Site PR3TACK | https://pr3tack.org/ |
| Publication FIRST | https://www.first.org/blog/ |
| Contacts projet | join@pr3tack.org, ttp@pr3tack.org |
| MITRE ATT&CK | https://attack.mitre.org/ |
| MITRE D3FEND | https://d3fend.mitre.org/ |
| FIRST EPSS | https://www.first.org/epss/ |
| FIRST CTI SIG | https://www.first.org/global/sigs/cti/ |
14. Conclusion
PR3TACK propose un déplacement du curseur, de la réaction pure vers une anticipation structurée. Il ne remplace ni ATT&CK ni D3FEND : il ajoute une couche prospective à une défense jusqu’ici empirique et réactive. Son utilité dépendra de deux disciplines : la rigueur de plausibilité, pour ne pas noyer les équipes sous des scénarios spéculatifs, et la capacité de chaque organisation à mapper les techniques retenues à son propre environnement. Formaliser le et ensuite, plutôt que le seul déjà vu, comble un manque réel des cadres actuels.
Sources
- N°1. FIRST Blog, PR3TACK: The Preemptive Tactics & Countermeasures Knowledgebase, Vishal Thakur, 8 juillet 2026 : https://www.first.org/blog/
- N°2. FIRST, programme FIRSTCON26, notice biographique de Vishal Thakur : https://www.first.org/conference/2026/program
- N°3. FIRST, communiqué de clôture de FIRSTCON26 : https://www.first.org/newsroom/releases/20260619
- N°4. PR3TACK, site du projet : https://pr3tack.org/
- N°5. FortiGuard Labs (enSilo), AtomBombing: A Brand New Code Injection Technique for Windows : https://www.fortinet.com/blog/threat-research/atombombing-brand-new-code-injection-technique-for-windows
- N°6. BleepingComputer, REvil ransomware’s new Linux encryptor targets ESXi virtual machines : https://www.bleepingcomputer.com/news/security/revil-ransomwares-new-linux-encryptor-targets-esxi-virtual-machines/
- N°7. Vishal Thakur / Ankura, Revix Linux Ransomware : https://ankura.com/insights/revix-linux-ransomware
- N°8. MITRE ATT&CK (https://attack.mitre.org/) et MITRE D3FEND (https://d3fend.mitre.org/)
Classification finale : TLP:CLEAR, partage libre autorisé.



