PR3TACK : combler le fossé anticipatif de la cybersécurité

Classification : TLP:CLEAR
Base documentaire : publication FIRST.org (Vishal Thakur, Atlassian) et sources publiques associées
Public visé : responsables CERT, CSIRT, SOC, CTI, Detection Engineering, recherche en cybersécurité

Note de la méthode. Les faits relatifs au framework proviennent du document de référence FIRST et des sources listées en fin d’article, avec appel de citation (N°). Les éléments opérationnels (phases d’adoption, indicateurs, intégrations outillage, recommandations par type d’organisation) ne figurent pas dans la source : ils sont présentés comme pistes indicatives d’analyste, et signalés comme tels.


Résumé exécutif

Les cadres défensifs de référence, MITRE ATT&CK et MITRE D3FEND, reposent sur des activités adverses observées. Ils laissent une lacune : l’anticipation des techniques plausibles mais non encore constatées. PR3TACK, pour Preemptive Tactics & Countermeasures Knowledgebase, se propose de combler ce fossé anticipatif en cataloguant systématiquement des tactiques, techniques et procédures techniquement plausibles mais pas encore confirmées empiriquement, et en les associant à des contre-mesures préventives (N°1).

Présenté à FIRSTCON26 par Vishal Thakur et Atlassian, le framework vise à permettre aux défenseurs d’endurcir leurs environnements avant l’exploitation, plutôt que de réagir après coup (N°1, N°3). Cet article décrit sa justification, sa structure, ses tactiques inédites, ses exemples concrets, sa valeur stratégique, ses limites, et propose des pistes d’adoption pour les équipes.


1. Contexte et justification opérationnelle

1.1 L’asymétrie défensive fondamentale

La cybersécurité est marquée par un déséquilibre structurel : l’adversaire n’a besoin que d’une seule réussite pour atteindre son objectif, quand le défenseur doit anticiper un ensemble de menaces presque illimité. Ce déséquilibre est aggravé par la nature réactive de la plupart des cadres défensifs. Les défenseurs apprennent d’une compromission, codifient les comportements adverses, puis tentent d’en empêcher la récurrence. Il en résulte une latence persistante entre l’innovation adverse et l’adaptation défensive, latence que les adversaires exploitent (N°1).

1.2 La limite des cadres rétrospectifs

MITRE ATT&CK a systématisé la connaissance défensive en cataloguant les tactiques observées et en offrant un référentiel commun pour la détection, la réponse à incident et les exercices red team. Sa conception rétrospective est aussi sa limite : il ne décrit que ce qui a déjà été fait. Les techniques émergentes ou plausibles mais non observées restent absentes jusqu’à confirmation empirique.

1.3 Le positionnement de PR3TACK

PR3TACK part du principe que les défenseurs doivent non seulement documenter le passé mais aussi anticiper le futur. Inspiré de méthodologies prospectives issues des études stratégiques, de l’ingénierie de résilience et du design spéculatif, il systématise un domaine jusqu’ici informel et fragmenté : le catalogue des techniques adverses plausibles mais non encore observées. La distinction tient en une phrase : ATT&CK décrit ce qui s’est produit, PR3TACK ce qui pourrait se produire ensuite (N°1).


2. Principes conceptuels

2.1 De la défense réactive à la défense préemptive

Le paradigme dominant reste réactif : compromission, analyse, mitigation. Utile pour coder la réalité empirique, il laisse le défenseur en retard. PR3TACK ajoute une dimension tournée vers l’avant : plutôt que d’attendre la confirmation, il codifie le possible adjacent, c’est-à-dire les vecteurs d’attaque susceptibles d’émerger compte tenu des possibilités techniques actuelles (N°1).

2.2 Plausibilité, pas spéculation

PR3TACK n’est pas un recueil de science-fiction. Il repose sur une plausibilité démontrable, ancrée dans la preuve de concept, les tendances d’innovation adverse et les propriétés techniques des systèmes modernes. Une soumission doit satisfaire l’un de trois seuils.

PrioritéCritèreDescription
HauteDémonstration PoCTechnique démontrée par une implémentation en preuve de concept
MoyenneRaisonnement techniqueTechnique hypothétique appuyée par un raisonnement technique, en attente de validation
BasseRecherche académiqueTechnique issue de la recherche académique ou d’une investigation en cours

Cette hiérarchie garde le framework spéculatif dans son orientation mais ancré dans un raisonnement défendable (N°1).

2.3 Complémentarité avec les cadres existants

PR3TACK complète ATT&CK et D3FEND sans les remplacer. Les trois dessinent une épistémologie de défense en couches, empirique, réactive puis anticipative :

  • MITRE ATT&CK : ce qui est connu pour avoir été fait.
  • MITRE D3FEND : mesures défensives contre les techniques documentées.
  • PR3TACK : contre-mesures préemptives contre des menaces non encore réalisées.

3. Architecture du framework

3.1 Organisation par tactiques

PR3TACK organise sa base autour d’un ensemble de tactiques, dont certaines recoupent les taxonomies existantes et d’autres lui sont propres.

TactiqueDescription
ExecutionMécanismes provoquant l’exécution de code ou d’effets sur un système cible
PersistenceMaintien d’un point d’appui à travers redémarrages, mises à jour et sessions
Privilege EscalationObtention d’une autorité accrue (user vers admin, userland vers kernel)
Defense EvasionÉvitement de la détection ou entrave à la surveillance et à la réponse
Command & ControlCanaux d’instruction vers les assets compromis et de retour de données
DiscoveryExploration et cartographie de l’environnement cible
CollectionCapture et agrégation de données en vue d’un usage ultérieur
ExfiltrationSortie des données vers un emplacement contrôlé par l’attaquant
Lateral MovementDéplacement de l’hôte initial vers d’autres systèmes ou unités
Pre-PositioningActions de long terme façonnant l’attaquabilité future
Resilience ErosionDégradation de la capacité de l’organisation à récupérer
Governance SubversionManipulation des politiques, standards, achats ou processus juridiques
Cognitive ManipulationAltération de la perception et du jugement des analystes
Operational Tempo ManipulationChoix du moment des opérations pour maximiser la perturbation
AI/ML SubversionCiblage des pipelines d’apprentissage automatique
Sociotechnical PressureRecours aux écosystèmes social, médiatique et partenarial
Digital Exhaust ManipulationArmement des traces dont dépendent les défenseurs

3.2 Tactiques propres à PR3TACK

Cinq catégories constituent l’apport analytique le plus original du framework.

Pre-Positioning. Activités préparatoires de long terme : sleeper commits dans des projets open source, semis d’identifiants défensifs, domaines look-alike enregistrés pour activation ultérieure. Défenses préventives : audits proactifs des contributions OSS, surveillance de domaines.

Resilience Erosion. Dégradation ciblée de la capacité de récupération : corruption de sauvegardes, épuisement des processus de patch management, fatigue cognitive des analystes. Défenses préventives : tests réguliers de restauration, rotation et isolation des sauvegardes.

Governance Subversion. Manipulation des processus de politique, d’achats ou de normalisation : influence sur les organes de normalisation, comptes fournisseurs de confiance établis frauduleusement, clauses instables insérées dans des contrats. Défenses préventives : vérification stricte des fournisseurs, clauses de sécurité contractuelles, audits d’achats.

Cognitive Manipulation. Ciblage de la perception des défenseurs : inondation d’alertes habituatrices, journaux et interactions adverses conçus pour biaiser la décision. Défenses préventives : seuils d’alerte dynamiques, vérification croisée humaine, formation à l’évaluation.

Digital Exhaust Manipulation. Armement des traces exploitées par les défenseurs : pollution de la télémétrie, contamination des bases d’IOC, corruption de métadonnées publiques. Défenses préventives : validation multi-source, confiance progressive des IOC, audit régulier des sources.

S’y ajoutent l’Operational Tempo Manipulation, l’AI/ML Subversion et la Sociotechnical Pressure, qui étendent l’analyse au-delà de l’exécution de code, vers la gouvernance, la cognition et le sociotechnique (N°1).

3.3 La Seed Matrix

La matrice initiale répartit les tactiques en dix-sept catégories, appelées à s’enrichir par la contribution communautaire. Chaque tactique se subdivise en techniques décrites, évaluées en faisabilité et mappées à des défenses préventives.

TechniqueFaisabilitéDéfense préemptive
Execution via Peripheral Firmware Stagers : firmware de périphérique anodin utilisé pour préparer une charge à la connexionMoyenneVérification de firmware, attestation de périphérique, allowlisting des fournisseurs
Governance Subversion via Procurement Account Establishment : identités fournisseurs de confiance comme points d’appui durablesMoyenneVérification fournisseur stricte, clauses contractuelles, audits d’achats

4. Le Navigator PR3TACK

4.1 Interface interactive

Le Navigator permet d’explorer la Seed Matrix sous forme de grille par tactique. Contrairement à ATT&CK, qui catalogue des techniques confirmées, PR3TACK se concentre sur la couche du plausible non observé. Le Navigator offre la recherche et le filtrage transversal par tactique, technique, plateforme et statut, l’ouverture de chaque technique pour consulter idées de détection, mitigations et tags, et le chargement de fichiers JSON pour étendre ou remplacer la matrice avec des contributions communautaires (N°1).

4.2 Cas d’usage par profil

ProfilUsage typique
Analyste SOCRepérage de lacunes de détection avant exploitation réelle
Detection EngineerOrientation du développement de règles pour techniques émergentes
Red TeamerConception de scénarios proactifs au-delà d’ATT&CK
CISO / responsable techniqueAlignement des investissements sur les risques futurs plausibles
ChercheurTest d’hypothèses sur l’innovation adverse

4.3 Intégration au flux existant (piste indicative)

Le framework se prête à un mapping vers l’outillage de détection et de réponse. Les intégrations suivantes ne sont pas décrites par la source et constituent des pistes d’analyste : règles SIEM fondées sur des patterns comportementaux anticipatifs, signatures comportementales EDR, playbooks SOAR préventifs déclenchés sur indicateurs faibles, enrichissement CTI orienté menaces plausibles.


5. Valeur stratégique

5.1 Bénéfices organisationnels

Pour une organisation, PR3TACK offre un moyen structuré d’identifier des angles morts non encore exploités. Posture proactive par correction anticipée, réduction de la fenêtre d’exposition, orientation des exercices red et purple team, et extension de la résilience à la capacité de récupération et non au seul compromis technique (N°1).

5.2 Implications sectorielles

À l’échelle du secteur, le framework établit un vocabulaire commun pour parler des menaces émergentes. Les éditeurs peuvent l’utiliser pour orienter leurs produits, les chercheurs pour tester des hypothèses, les régulateurs comme référence pour une réglementation tournée vers l’avant, les assureurs pour affiner l’évaluation du risque.

5.3 Contribution académique

PR3TACK formalise une catégorie souvent négligée, l’inconnu plausible, et propose un pont entre recherche empirique en sécurité et études prospectives.


6. Exemples et techniques

6.1 Atom Table abuse (AtomBombing)

Décrit par enSilo en 2016, l’AtomBombing exploite les atom tables de Windows, accessibles à tous les processus, et les Asynchronous Procedure Calls pour injecter du code dans un processus légitime sans recourir aux API d’injection habituelles. Il n’exploite pas une vulnérabilité corrigeable : il repose sur la conception même de ces mécanismes, ce qui le rend difficile à détecter et impossible à patcher au sens strict (N°5). Précision factuelle : la technique relève de l’injection de processus et de l’évasion, et non de la persistance. Elle est d’ailleurs souvent rattachée à la tactique d’injection de processus des taxonomies existantes ; l’apport de PR3TACK tient à la systématisation de son anticipation. Défense préemptive : surveillance des usages anormaux des atom tables, contrôle des processus systèmes.

6.2 Le kill-all-VMs de Revix

Revix est la variante Linux et ESXi du ransomware REvil apparue en 2021. Précision factuelle : le binaire ne détruit pas les machines virtuelles, il les arrête de force. Avant de chiffrer les fichiers VMDK, il utilise esxcli pour lister les VM en cours d’exécution et les terminer par leur world-id, de sorte que les disques ne soient plus verrouillés par ESXi, ce qui permet de chiffrer de nombreux serveurs virtualisés d’une seule commande (N°6). Cette variante a fait l’objet d’une analyse détaillée de Vishal Thakur, jusqu’au comportement d’arrêt des VM et aux fautes de frappe utiles à la détection (N°7). Défense préemptive : protection immuable des hyperviseurs, segmentation réseau des VM, sauvegardes hors ligne.

6.3 Peripheral Firmware Staging

Chargement d’une charge via le firmware d’un périphérique. Statut : plausible, priorité moyenne. Défense préemptive : attestation matérielle, vérification cryptographique du firmware.

6.4 AI Training Data Poisoning

Corruption des jeux de données d’entraînement pour influencer des modèles de détection. Statut : plausible, priorité moyenne. Défense préemptive : validation des datasets, détection d’anomalies, modèles de vérification en parallèle.

6.5 Méthodologie d’évaluation

CritèreÉvaluation
Faisabilité techniqueLe code fonctionne-t-il ? PoC requis pour la priorité haute
Complexité requiseExpertise nécessaire (basse, moyenne, haute)
Couverture environnementalePortée des systèmes affectés
Probabilité d’adoption adverseMotivation et capacité des adversaires
Impact potentielConséquences métier et sécurité
Maturité de détectionCapacité de détection actuelle

7. Adoption et mise en oeuvre (pistes indicatives)

Cette section ne provient pas de la source : elle propose une démarche d’adoption. À adapter au contexte de chaque équipe.

7.1 Démarche par phases

  • Phase 1, évaluation initiale. Audit des cadres existants, cartographie de la couverture, identification des zones blanches probables, alignement avec la direction.
  • Phase 2, intégration. Sélection de trois à cinq tactiques prioritaires selon l’environnement, développement de règles de détection préemptives, exercice red team centré sur ces techniques, formation des analystes.
  • Phase 3, optimisation continue. Boucle de retour avec les contributeurs, mise à jour des règles selon l’efficacité mesurée, extension à d’autres tactiques, publication éventuelle des retours.

7.2 Intégration au stack (indicatif)

ComposantPiste d’intégration
SIEMRègles sur patterns comportementaux anticipatifs
EDRSignatures comportementales pour techniques plausibles
SOARPlaybooks préventifs sur indicateurs faibles
CTIEnrichissement orienté menaces plausibles
Vulnerability ManagementPriorisation selon exploitabilité future estimée

7.3 Indicateurs de suivi (à définir par l’équipe)

Les valeurs cibles ne sont pas prescrites par le framework. Exemples d’indicateurs que l’on peut se fixer : part des tactiques PR3TACK couvertes par des règles, délai de création d’une détection après identification d’une technique émergente, taux de faux positifs des nouvelles règles, fréquence des exercices red team fondés sur PR3TACK, nombre de contributions soumises à la communauté.


8. Communauté et gouvernance

PR3TACK est lancé comme projet collaboratif ouvert aux praticiens, universitaires et organisations. Le processus de soumission requiert les coordonnées du contributeur, la description de la technique, l’évaluation de faisabilité, l’impact estimé et les défenses préventives suggérées, avec documentation de support encouragée (code PoC, recherche). Les contributions peuvent être publiques ou anonymes. Une équipe Core valide les soumissions pour en assurer qualité et cohérence, et les classe selon la matrice de priorité (N°1).

Contacts : adhésion au projet, join@pr3tack.org ; soumission de technique, ttp@pr3tack.org. Le framework a été lancé à FIRSTCON26 et se rattache au Cyber Threat Intelligence SIG de FIRST (N°1, N°3).


9. Limites et considérations

L’auteur du framework le formule clairement : PR3TACK n’est pas une boule de cristal et ne prédira pas toutes les innovations. Sa valeur tient à la culture de défense anticipative qu’il installe, pas à une prétention prédictive (N°1).

Ce que PR3TACK n’est pas : un substitut à ATT&CK pour la détection historique, un catalogue exhaustif (la matrice évolue), ni une garantie (la plausibilité n’est pas la certitude).

Défis et atténuations : le risque de spécialisation excessive appelle un cadre générique largement applicable ; le risque de surdéfense appelle une priorisation sur l’impact réel estimé ; le risque de fatigue d’alerte appelle des seuils adaptatifs et l’agrégation de techniques proches ; le coût de maintenance appelle de l’automatisation et une priorisation communautaire. S’ajoute une tension propre à ce type de démarche : documenter ouvertement des idées offensives suppose un équilibre entre partage défensif et diffusion de tradecraft, que la curation vise à encadrer.

Bonnes pratiques : utiliser PR3TACK en complément d’ATT&CK et non en remplacement, prioriser selon l’exposition réelle de l’environnement, valider périodiquement la pertinence des techniques retenues, tracer les décisions d’adoption, partager les retours avec la communauté.


10. Comparaison ATT&CK, D3FEND, PR3TACK

DimensionMITRE ATT&CKMITRE D3FENDPR3TACK
Origine des donnéesActivités adverses observéesMesures défensives documentéesTechniques plausibles non observées
Orientation temporelleRétrospectivePrésenteProspective
Objectif principalDocumenter les TTP connusStructurer la défense techniqueAnticiper l’innovation adverse
Niveau de certitudeÉlevé, factuelÉlevé, techniqueVariable, plausibilité
Usage primaireDétection, réponse, threat huntingDurcissement, mitigationRed team proactive, feuille de route
CommunautéMITRE et partenairesMITRE et partenairesFIRST et communauté contributive
AccèsPublicPublicPublic, lancé à FIRSTCON26

Remarque : les fréquences de mise à jour et les conditions de licence varient et évoluent ; se référer aux sites officiels des trois cadres plutôt qu’à une caractérisation figée (N°8).


11. Recommandations par type d’organisation (pistes indicatives)

Grande entreprise, structure mature. Intégration complète au stack, veille dédiée, investissement dans l’automatisation de la détection, collaboration active avec la communauté.

PME, ressources limitées. Sélection de trois à cinq tactiques les plus pertinentes, intégration légère au SIEM existant, formation ciblée des analystes principaux, veille passive dans un premier temps.

Éditeur de sécurité. Alignement produit avec les techniques du framework, recherche de techniques nouvelles pour se différencier, retour vers la communauté.

Recherche et enseignement. Sujet de recherche, contribution de techniques nouvelles, intégration aux cursus, collaboration interdisciplinaire avec l’IA et les sciences humaines.


12. Perspectives (prospectif)

Ces éléments sont prospectifs et ne préjugent pas des choix du projet. Extensions techniques envisageables : intégration directe aux plateformes de detection engineering, API d’enrichissement, estimation par apprentissage de la probabilité d’adoption adverse. Secteurs a priori intéressés : finance, santé, énergie et environnements OT/ICS, gouvernement et défense. À long terme, un tel cadre pourrait servir de référence pour des démarches réglementaires de sécurité proactive ou alimenter des standards d’anticipation de la menace.


13. Ressources et liens

RessourceURL
Site PR3TACKhttps://pr3tack.org/
Publication FIRSThttps://www.first.org/blog/
Contacts projetjoin@pr3tack.org, ttp@pr3tack.org
MITRE ATT&CKhttps://attack.mitre.org/
MITRE D3FENDhttps://d3fend.mitre.org/
FIRST EPSShttps://www.first.org/epss/
FIRST CTI SIGhttps://www.first.org/global/sigs/cti/

14. Conclusion

PR3TACK propose un déplacement du curseur, de la réaction pure vers une anticipation structurée. Il ne remplace ni ATT&CK ni D3FEND : il ajoute une couche prospective à une défense jusqu’ici empirique et réactive. Son utilité dépendra de deux disciplines : la rigueur de plausibilité, pour ne pas noyer les équipes sous des scénarios spéculatifs, et la capacité de chaque organisation à mapper les techniques retenues à son propre environnement. Formaliser le et ensuite, plutôt que le seul déjà vu, comble un manque réel des cadres actuels.


Sources

  • N°1. FIRST Blog, PR3TACK: The Preemptive Tactics & Countermeasures Knowledgebase, Vishal Thakur, 8 juillet 2026 : https://www.first.org/blog/
  • N°2. FIRST, programme FIRSTCON26, notice biographique de Vishal Thakur : https://www.first.org/conference/2026/program
  • N°3. FIRST, communiqué de clôture de FIRSTCON26 : https://www.first.org/newsroom/releases/20260619
  • N°4. PR3TACK, site du projet : https://pr3tack.org/
  • N°5. FortiGuard Labs (enSilo), AtomBombing: A Brand New Code Injection Technique for Windows : https://www.fortinet.com/blog/threat-research/atombombing-brand-new-code-injection-technique-for-windows
  • N°6. BleepingComputer, REvil ransomware’s new Linux encryptor targets ESXi virtual machines : https://www.bleepingcomputer.com/news/security/revil-ransomwares-new-linux-encryptor-targets-esxi-virtual-machines/
  • N°7. Vishal Thakur / Ankura, Revix Linux Ransomware : https://ankura.com/insights/revix-linux-ransomware
  • N°8. MITRE ATT&CK (https://attack.mitre.org/) et MITRE D3FEND (https://d3fend.mitre.org/)

Classification finale : TLP:CLEAR, partage libre autorisé.