Accueil
Accueil
Envoyer à un ami
Version imprimable
Partager
Votre livre introduit le framework H-ATT&CK, que vous présentez comme une transposition humaine du MITRE ATT&CK. Pour commencer cet entretien, pouvez-vous expliquer ce qu'est H-ATT&CK, ce qui vous a conduit à le créer, et en quoi ce référentiel change la manière d'analyser et de contrer les attaques de social engineering ?
Le point de départ est un constat d'absence. MITRE ATT&CK (1*) a révolutionné la cybersécurité en donnant aux équipes un langage commun et structuré pour décrire les comportements des attaquants informatiques. Chaque tactique représente un objectif de l'adversaire, chaque technique un moyen d'y parvenir. C'est d'une rigueur remarquable. Mais du côté humain — celui de l'ingénierie sociale — il n'existait rien d'équivalent. Pas de taxonomie commune, pas de référentiel partagé, pas de langage opérationnel unifié. C'était une lacune injustifiable, alors même que 74 % des violations de données impliquent un élément humain selon le rapport Verizon DBIR 2023.
H-ATT&CK — pour *Human Adversarial Tactics, Techniques & Common Knowledge* — comble cet écart en appliquant la même rigueur structurelle au domaine humain. L'analogie n'est pas métaphorique, elle est architecturale. Là où MITRE ATT&CK a ses CVE (2*) pour cataloguer les failles logicielles, H-ATT&CK introduit les HVE — *Human Vulnerabilities and Exploits* — qui cataloguent les biais cognitifs et besoins psychologiques exploitables. Là où l'on parle d'*Indicator of Compromise* en cyber, H-ATT&CK parle d'*Indicator of HUMINT Operation* — des signaux comportementaux qui indiquent qu'une opération de manipulation est en cours.
Le framework décompose une attaque de social engineering en 13 tactiques séquentielles, de la phase de renseignement sur la cible (TA-H001 — Target Intelligence) jusqu'à la production de l'effet final (TA-H013 — Influence & Impact), en passant par la construction de la couverture, l'ingénierie du rapport, l'exploitation psychologique, le mouvement latéral dans le réseau social de la cible. Chaque tactique est documentée avec ses techniques, ses indicateurs de détection et ses contre-mesures. C'est exactement la même logique que MITRE ATT&CK, appliquée à l'humain.
Ce que cela change concrètement pour les équipes de sécurité : elles peuvent désormais traiter une attaque de social engineering avec la même rigueur méthodologique qu'une attaque informatique. Cartographier un incident, identifier à quelle phase l'attaque se situe, définir des contre-mesures proportionnées, et intégrer la menace humaine dans les processus de *threat intelligence* existants. C'est une élévation du niveau de sérieux accordé à ce vecteur.
H-ATT&CK — pour *Human Adversarial Tactics, Techniques & Common Knowledge* — comble cet écart en appliquant la même rigueur structurelle au domaine humain. L'analogie n'est pas métaphorique, elle est architecturale. Là où MITRE ATT&CK a ses CVE (2*) pour cataloguer les failles logicielles, H-ATT&CK introduit les HVE — *Human Vulnerabilities and Exploits* — qui cataloguent les biais cognitifs et besoins psychologiques exploitables. Là où l'on parle d'*Indicator of Compromise* en cyber, H-ATT&CK parle d'*Indicator of HUMINT Operation* — des signaux comportementaux qui indiquent qu'une opération de manipulation est en cours.
Le framework décompose une attaque de social engineering en 13 tactiques séquentielles, de la phase de renseignement sur la cible (TA-H001 — Target Intelligence) jusqu'à la production de l'effet final (TA-H013 — Influence & Impact), en passant par la construction de la couverture, l'ingénierie du rapport, l'exploitation psychologique, le mouvement latéral dans le réseau social de la cible. Chaque tactique est documentée avec ses techniques, ses indicateurs de détection et ses contre-mesures. C'est exactement la même logique que MITRE ATT&CK, appliquée à l'humain.
Ce que cela change concrètement pour les équipes de sécurité : elles peuvent désormais traiter une attaque de social engineering avec la même rigueur méthodologique qu'une attaque informatique. Cartographier un incident, identifier à quelle phase l'attaque se situe, définir des contre-mesures proportionnées, et intégrer la menace humaine dans les processus de *threat intelligence* existants. C'est une élévation du niveau de sérieux accordé à ce vecteur.
(1*) Le framework MITRE ATT&CK (MITRE ATT&CK) est une base de connaissances universellement accessible et continuellement mise à jour servant à modéliser, détecter, anticiper et lutter contre les menaces de cybersécurité basées sur les comportements adverses connus des cybercriminels.
(2*) Le CVE définit les vulnérabilités comme une erreur dans le code logiciel, ce qui permet à un attaquant d’obtenir un accès direct non autorisé aux systèmes et réseaux informatiques et de propager des logiciels malveillants. Cela permet généralement aux assaillants de se faire passer pour des administrateurs système ou des super-utilisateurs avec des privilèges d’accès complets aux ressources de l’entreprise.
Vous expliquez que 74 % des violations de données proviennent aujourd'hui du social engineering, alors même que cette menace reste « la moins structurée et la plus sous-estimée ». Pourquoi les organisations continuent-elles de sous-investir dans la dimension humaine de la cybersécurité, malgré ces chiffres alarmants ?
Je cite dans le livre une étude de Check Point et Dimensional Research qui illustre ce paradoxe mieux que n'importe quel discours : 40 % des entreprises interrogées déclarent avoir intégré le social engineering dans leur politique de sécurité, mais seulement 26 % ont réellement mis en place un programme de sensibilisation du personnel. Reconnaître le risque et agir pour le réduire sont deux choses entièrement différentes. Et ce fossé est structurel, pas conjoncturel.
Il y a plusieurs raisons à cela. La première est cognitive : une cyberattaque technique laisse des traces — logs, alertes, indicateurs de compromission. Une attaque humaine laisse peu de preuves tangibles, surtout quand elle réussit. Ce qui n'est pas mesurable est facilement sous-évalué dans les arbitrages budgétaires.
La deuxième raison est culturelle : la cybersécurité s'est construite autour d'une logique d'ingénierie. Les RSSI sont formés pour penser en systèmes, en vulnérabilités techniques, en configurations. L'humain est perçu comme une variable incontrôlable plutôt que comme une surface d'attaque gérable.
La troisième raison — et c'est sans doute la plus importante — c'est l'absence de référentiel. Quand vous défendez l'investissement dans un SIEM ou un EDR, vous pouvez vous appuyer sur des métriques, des benchmarks, des matrices de couverture. Pour la défense humaine, jusqu'à présent, il n'existait pas d'équivalent.
C'est précisément pour combler ce manque que H-ATT&CK intègre un modèle de maturité à cinq niveaux, du N1 — aucune mesure en place — au N5 — programme continu intégré au *threat intelligence*. La majorité des organisations se situent entre N1 et N2. Le passage de N2 à N3 est le plus impactant : deux heures de formation annuelle pour les populations à risque et des procédures écrites pour les demandes urgentes suffisent à franchir ce seuil. Ce n'est pas une question de budget, c'est une question de priorité.
Il y a plusieurs raisons à cela. La première est cognitive : une cyberattaque technique laisse des traces — logs, alertes, indicateurs de compromission. Une attaque humaine laisse peu de preuves tangibles, surtout quand elle réussit. Ce qui n'est pas mesurable est facilement sous-évalué dans les arbitrages budgétaires.
La deuxième raison est culturelle : la cybersécurité s'est construite autour d'une logique d'ingénierie. Les RSSI sont formés pour penser en systèmes, en vulnérabilités techniques, en configurations. L'humain est perçu comme une variable incontrôlable plutôt que comme une surface d'attaque gérable.
La troisième raison — et c'est sans doute la plus importante — c'est l'absence de référentiel. Quand vous défendez l'investissement dans un SIEM ou un EDR, vous pouvez vous appuyer sur des métriques, des benchmarks, des matrices de couverture. Pour la défense humaine, jusqu'à présent, il n'existait pas d'équivalent.
C'est précisément pour combler ce manque que H-ATT&CK intègre un modèle de maturité à cinq niveaux, du N1 — aucune mesure en place — au N5 — programme continu intégré au *threat intelligence*. La majorité des organisations se situent entre N1 et N2. Le passage de N2 à N3 est le plus impactant : deux heures de formation annuelle pour les populations à risque et des procédures écrites pour les demandes urgentes suffisent à franchir ce seuil. Ce n'est pas une question de budget, c'est une question de priorité.
Votre ouvrage détaille 13 tactiques utilisées par les ingénieurs sociaux, allant de la reconnaissance passive aux attaques par deepfake ou clonage vocal IA. Selon vous, quelles sont les tactiques émergentes les plus préoccupantes, notamment avec l'essor de l'IA générative ?
Trois techniques méritent une attention particulière et sont documentées dans le chapitre 5 du livre.
La première, c'est le clonage vocal en temps réel — que je référence sous l'identifiant TH-2006. Les solutions disponibles aujourd'hui atteignent une qualité suffisante pour tromper la majorité des cibles lors d'un appel téléphonique. Le FBI a publié un advisory en 2024 spécifiquement sur ce vecteur. Le problème fondamental, c'est que la voix a longtemps été considérée comme un facteur d'authentification naturel, informel mais réel. « C'est bien lui, je reconnais sa voix. » Ce réflexe est désormais exploitable. Et il l'est à partir de quelques secondes d'enregistrement — une intervention en conférence, une vidéo LinkedIn, un enregistrement de réunion Zoom. Les dirigeants d'entreprise, dont les prises de parole publiques sont régulièrement archivées en ligne, sont les cibles idéales.
La deuxième technique préoccupante, c'est le deepfake vidéo en temps réel — TH-3006. La démonstration la plus documentée reste la fraude de 25 millions de dollars à Hong Kong en février 2024 : un employé financier a effectué quinze virements après une visioconférence où tous les participants — son directeur financier, plusieurs collègues — étaient des avatars générés par IA. Ce cas invalide définitivement la pratique de vérification consistant à « passer en vidéo » face à une demande suspecte. C'était la contre-mesure standard. Elle ne fonctionne plus.
La troisième, et c'est peut-être la moins visible mais la plus insidieuse, c'est l'élicitation automatisée par grands modèles de langage — TH-6005. Les LLM permettent désormais de conduire des opérations de *rapport engineering* à grande échelle : maintenir des dizaines ou des centaines de conversations simultanées, 24 heures sur 24, avec une cohérence parfaite et sans jamais accuser de fatigue. Ce volume et cette cohérence constituent paradoxalement un IoH (Indicators of HUMINT Operation) détectable : une disponibilité 24h/24, une absence totale d'incohérence stylistique ou de fatigue communicationnelle peuvent signaler une interaction avec un système automatisé. Mais il faut être formé à le reconnaître.
Ce que ces trois techniques ont en commun, c'est qu'elles transforment des opérations qui nécessitaient autrefois des semaines de préparation et des ressources humaines significatives en attaques qui peuvent être montées en quelques heures par un acteur disposant d'un budget modeste. C'est l'industrialisation de la manipulation.
La première, c'est le clonage vocal en temps réel — que je référence sous l'identifiant TH-2006. Les solutions disponibles aujourd'hui atteignent une qualité suffisante pour tromper la majorité des cibles lors d'un appel téléphonique. Le FBI a publié un advisory en 2024 spécifiquement sur ce vecteur. Le problème fondamental, c'est que la voix a longtemps été considérée comme un facteur d'authentification naturel, informel mais réel. « C'est bien lui, je reconnais sa voix. » Ce réflexe est désormais exploitable. Et il l'est à partir de quelques secondes d'enregistrement — une intervention en conférence, une vidéo LinkedIn, un enregistrement de réunion Zoom. Les dirigeants d'entreprise, dont les prises de parole publiques sont régulièrement archivées en ligne, sont les cibles idéales.
La deuxième technique préoccupante, c'est le deepfake vidéo en temps réel — TH-3006. La démonstration la plus documentée reste la fraude de 25 millions de dollars à Hong Kong en février 2024 : un employé financier a effectué quinze virements après une visioconférence où tous les participants — son directeur financier, plusieurs collègues — étaient des avatars générés par IA. Ce cas invalide définitivement la pratique de vérification consistant à « passer en vidéo » face à une demande suspecte. C'était la contre-mesure standard. Elle ne fonctionne plus.
La troisième, et c'est peut-être la moins visible mais la plus insidieuse, c'est l'élicitation automatisée par grands modèles de langage — TH-6005. Les LLM permettent désormais de conduire des opérations de *rapport engineering* à grande échelle : maintenir des dizaines ou des centaines de conversations simultanées, 24 heures sur 24, avec une cohérence parfaite et sans jamais accuser de fatigue. Ce volume et cette cohérence constituent paradoxalement un IoH (Indicators of HUMINT Operation) détectable : une disponibilité 24h/24, une absence totale d'incohérence stylistique ou de fatigue communicationnelle peuvent signaler une interaction avec un système automatisé. Mais il faut être formé à le reconnaître.
Ce que ces trois techniques ont en commun, c'est qu'elles transforment des opérations qui nécessitaient autrefois des semaines de préparation et des ressources humaines significatives en attaques qui peuvent être montées en quelques heures par un acteur disposant d'un budget modeste. C'est l'industrialisation de la manipulation.
Vous insistez sur la nécessité de détecter une attaque grâce à la règle des 3 IoH (Indicators of HUMINT Operation). Pouvez-vous expliquer comment cette approche permet d'identifier une manipulation en cours avant qu'il ne soit trop tard, et comment les entreprises peuvent l'intégrer dans leurs processus internes ?
Il faut d'abord comprendre ce qu'est un IoH. Par analogie avec les *Indicators of Compromise* en cybersécurité — ces signaux techniques qui indiquent qu'un système a probablement été compromis — les IoH sont des signaux comportementaux qui indiquent qu'une personne ou une organisation est potentiellement ciblée par une opération d'ingénierie sociale. Des exemples concrets : un contact non sollicité avec une demande d'information inhabituelle, un profil récemment créé sans historique cohérent, une demande de basculement vers un canal de communication privé, une urgence artificielle non justifiée par le contexte, des tentatives répétées de contact après un refus.
Le principe fondamental de la règle des 3 IoH est le suivant : aucun IoH isolé ne constitue une preuve d'opération malveillante. Un contact non sollicité sur LinkedIn peut être parfaitement légitime. Une demande urgente peut être justifiée. C'est la convergence de plusieurs IoH distincts, appartenant à des tactiques différentes, qui constitue un signal opérationnellement significatif. La règle : si trois IoH distincts sont observés sur un même contact dans une fenêtre de 90 jours, une procédure de vérification approfondie est recommandée.
Pourquoi trois et pourquoi des tactiques différentes ? Parce qu'un attaquant sophistiqué peut paraître normal sur un seul axe. Ce qu'il ne peut pas faire, c'est paraître normal simultanément sur l'axe de l'identité, sur l'axe des demandes et sur l'axe du comportement relationnel. La triangulation est le mécanisme de détection.
Pour l'intégration en entreprise, il y a deux niveaux. Le premier est individuel : former les collaborateurs à documenter et signaler les IoH, sans attendre d'être sûrs. La culture du signalement est l'indicateur de maturité le plus important — plus que le taux de clic sur un phishing simulé. Le second est organisationnel : créer un canal de signalement simple, bienveillant, sans risque de jugement négatif pour celui qui signale. Un employé qui signale un faux positif doit être remercié, pas moqué. Sans cette culture, les IoH restent dans la tête des collaborateurs et n'alimentent jamais la détection collective.
Le principe fondamental de la règle des 3 IoH est le suivant : aucun IoH isolé ne constitue une preuve d'opération malveillante. Un contact non sollicité sur LinkedIn peut être parfaitement légitime. Une demande urgente peut être justifiée. C'est la convergence de plusieurs IoH distincts, appartenant à des tactiques différentes, qui constitue un signal opérationnellement significatif. La règle : si trois IoH distincts sont observés sur un même contact dans une fenêtre de 90 jours, une procédure de vérification approfondie est recommandée.
Pourquoi trois et pourquoi des tactiques différentes ? Parce qu'un attaquant sophistiqué peut paraître normal sur un seul axe. Ce qu'il ne peut pas faire, c'est paraître normal simultanément sur l'axe de l'identité, sur l'axe des demandes et sur l'axe du comportement relationnel. La triangulation est le mécanisme de détection.
Pour l'intégration en entreprise, il y a deux niveaux. Le premier est individuel : former les collaborateurs à documenter et signaler les IoH, sans attendre d'être sûrs. La culture du signalement est l'indicateur de maturité le plus important — plus que le taux de clic sur un phishing simulé. Le second est organisationnel : créer un canal de signalement simple, bienveillant, sans risque de jugement négatif pour celui qui signale. Un employé qui signale un faux positif doit être remercié, pas moqué. Sans cette culture, les IoH restent dans la tête des collaborateurs et n'alimentent jamais la détection collective.
Un mot plus personnel pour terminer — une conviction, une recommandation, ou peut-être un prochain rendez-vous pour vos lecteurs ?
Ce que je veux que les lecteurs retiennent du livre, c'est une idée simple : la sécurité humaine et la sécurité technique ne sont pas en compétition, elles sont synergétiques. On oppose souvent le facteur humain — présenté comme le maillon faible — aux solutions techniques présentées comme les vrais remparts. C'est une erreur de cadrage qui coûte cher. Un attaquant suffisamment motivé contournera les contrôles techniques en ciblant les humains. Et un employé parfaitement sensibilisé, sans outils techniques adaptés, restera exposé à des attaques automatisées à grande échelle.
Ma recommandation pour toute organisation qui lit cet entretien : évaluez honnêtement votre niveau de maturité sur les cinq niveaux décrits dans le livre. La majorité des entreprises sont à N1 ou N2 — elles savent que le risque existe mais n'ont pas traduit cette connaissance en actions concrètes. Atteindre N3 — une formation annuelle des populations à risque et des procédures écrites pour les demandes urgentes — ne demande pas de budget exceptionnel. C'est une décision, pas un investissement.
Une conviction que je défends depuis longtemps : le meilleur outil de détection reste le collaborateur formé et en confiance. L'employé qui signale un appel suspect, qui pose une question de vérification, qui refuse de se laisser presser par une urgence artificielle — cet employé vaut plus pour la sécurité de son organisation que n'importe quel système de détection automatisé. Former cet employé, lui donner les bons réflexes et les bons outils conceptuels, c'est ce que H-ATT&CK cherche à permettre.
Enfin, pour un rendez-vous, il est très probable que je publie bientôt un manuel d'OSINT orienté vers l'opérationnel.
Ma recommandation pour toute organisation qui lit cet entretien : évaluez honnêtement votre niveau de maturité sur les cinq niveaux décrits dans le livre. La majorité des entreprises sont à N1 ou N2 — elles savent que le risque existe mais n'ont pas traduit cette connaissance en actions concrètes. Atteindre N3 — une formation annuelle des populations à risque et des procédures écrites pour les demandes urgentes — ne demande pas de budget exceptionnel. C'est une décision, pas un investissement.
Une conviction que je défends depuis longtemps : le meilleur outil de détection reste le collaborateur formé et en confiance. L'employé qui signale un appel suspect, qui pose une question de vérification, qui refuse de se laisser presser par une urgence artificielle — cet employé vaut plus pour la sécurité de son organisation que n'importe quel système de détection automatisé. Former cet employé, lui donner les bons réflexes et les bons outils conceptuels, c'est ce que H-ATT&CK cherche à permettre.
Enfin, pour un rendez-vous, il est très probable que je publie bientôt un manuel d'OSINT orienté vers l'opérationnel.
Merci Aurélien d'avoir accepté de répondre à nos questions. Votre livre déjà disponible et rendez-vous est prix pour une prochaine publication d'u manuel OSINT. Donc à très bientôt. Jacqueline Sala
Le livre
"Lutter contre le Social Engineering"
Le social engineering représente aujourd’hui 74 % des violations de données, tout en restant la menace la moins structurée de la cybersécurité. Tandis que les organisations investissent massivement dans des solutions techniques, l’attaquant le plus redoutable n’a souvent besoin que d’un téléphone et d’un récit convaincant. H‑ATT&CK apporte une réponse en appliquant la rigueur de MITRE ATT&CK au facteur humain, avec treize tactiques, des techniques définies, des IoH pour repérer une opération et des contre‑mesures adaptées. L’ouvrage explique les principes de persuasion, les tactiques d’ingénierie sociale, la détection précoce, la mise en place de tests réalistes et la création d’une culture de sécurité résiliente. Il s’adresse autant au grand public qu’aux professionnels, car la prochaine attaque viendra plus sûrement d’un message ou d’un appel que d’un exploit logiciel.
A propos de l'auteur
Aurélien T. Analyste en renseignement de sécurité, spécialisé dans l’enquête en sources ouvertes (OSINT), il développe une approche rigoureuse fondée sur la vérification croisée et l’analyse critique de l’information. Fort d’une expérience acquise à la fois dans des environnements stratégiques et des services régaliens à forte sensibilité, il s’intéresse aux dynamiques de conflictualité, aux stratégies d’influence et aux enjeux sécuritaires contemporains.
Attaché à une méthodologie exigeante, il accorde une attention particulière à la contextualisation des données et à leur mise en cohérence, afin d’en proposer une lecture claire, à destination des décideurs comme du grand public.
Gardez le contact
#OSINT #pentest #redteam #socialengineering #cybersécurité #drones #manipulation #HUMINT #terrorisme #intelligenceartificielle #EBIOS #ISO27001