FAQ

CAPEC signifie Common Attack Pattern Enumeration and Classification. C’est une base de connaissances structurée développée par MITRE qui répertorie et décrit les modèles d’attaques connus utilisés contre les systèmes informatiques. Contrairement à des incidents ponctuels, les CAPEC décrivent des stratégies réutilisables par les attaquants pour exploiter des failles.

Chaque modèle CAPEC est une représentation abstraite d’un comportement malveillant : il explique comment une attaque est menée, quel type de faiblesse elle vise, et dans quel objectif. L’objectif de CAPEC est d’aider les professionnels de la sécurité à mieux comprendre, détecter et anticiper les tactiques utilisées par les attaquants.

Les modèles d’attaque CAPEC servent à documenter les tactiques et techniques utilisées par les attaquants pour exploiter des systèmes. En les étudiant, les analystes de sécurité, développeurs et architectes peuvent comprendre les objectifs d’une attaque, ses étapes typiques, et les vulnérabilités exploitées. Cela permet d’anticiper les menaces et de concevoir des contre-mesures plus efficaces.

Ils sont également utiles pour la formation, l’analyse de risques, la simulation d’attaques (red teaming), ou encore la mise en place de contrôles de sécurité défensifs. En reliant les CAPEC aux CWE et aux CVE, on peut établir une chaîne complète allant de la faiblesse à l’exploitation concrète, ce qui enrichit les démarches de threat modeling ou de sécurité by design.

Les professionnels de la cybersécurité sont les principaux utilisateurs des CAPEC : analystes SOC, experts en tests d’intrusion, architectes sécurité, développeurs, formateurs ou équipes de threat intelligence. Ils s’en servent pour comprendre les tactiques adverses, préparer des scénarios de tests, et renforcer les défenses.

Par exemple, un pentester peut utiliser un CAPEC pour structurer une attaque simulée selon un scénario réaliste. Un développeur peut y trouver des indications sur les erreurs de conception à éviter. Un RSSI peut les intégrer dans des analyses de risques pour mieux illustrer les conséquences potentielles d’une faiblesse technique.

CAPEC et CWE sont deux bases complémentaires maintenues par MITRE, mais elles n’ont pas le même objectif. CWE décrit des faiblesses techniques dans le code ou la conception (ex. : absence de validation d’entrée), tandis que CAPEC décrit des méthodes d’attaque exploitant ces faiblesses (ex. : injection SQL).

En d'autres termes, CWE se concentre sur la cause, tandis que CAPEC se concentre sur l'action de l'attaquant. Les deux peuvent être reliés : un modèle CAPEC précise souvent quelles CWE il cible, ce qui permet de faire le lien entre la vulnérabilité théorique, l’exploitation pratique, et les CVE associées.

CAPEC fournit une structure détaillée pour reproduire des scénarios d’attaque réalistes, ce qui en fait une ressource précieuse pour les simulations. Chaque modèle décrit les prérequis, les étapes d’exécution, les cibles, les vecteurs d’attaque, ainsi que les objectifs potentiels de l’attaquant. Cela permet aux équipes de sécurité de concevoir des exercices de red teaming ou de threat modeling bien cadrés.

Par exemple, un testeur peut choisir un modèle CAPEC d’attaque par bruteforce sur un service réseau et l’utiliser comme base pour évaluer la robustesse d’une application. Cette approche rend les tests plus cohérents et facilite la documentation des résultats et des recommandations.

La source officielle de la base CAPEC est le site web de MITRE. Ce portail permet d’explorer tous les modèles classés par type d’attaque, par complexité, par cible, ou encore par niveau de sophistication. Chaque fiche est accompagnée de définitions précises, d’exemples, et de liens vers d’autres ressources utiles (CWE, ATT&CK, etc.).