Now You See Me

"The closer you look, the less you see." — Plus on regarde la matrice, moins on voit la menace.

En juin 2025, CardinalOps a publié son cinquième rapport annuel sur l'état des SIEM d'entreprise. L'échantillon est le plus large jamais mesuré : 2,5 millions de sources de logs, 13 000 règles de détection, des centaines de SIEM en production. Le chiffre central : les SIEM d'entreprise couvrent 21% des techniques MITRE ATT&CK¹.

En 2023, c'était 24%. En 2024, 19%. Cinq ans de mesure, le taux oscille entre 19% et 24% sans progression.

CardinalOps mesure aussi que les organisations ingèrent les données nécessaires pour couvrir 90% des techniques. Le problème n'est pas le manque de données. Les données sont là. Les règles de détection fonctionnelles, elles, ne suivent pas. Et 13% des règles existantes sont cassées, incapables de se déclencher à cause de sources mal configurées ou de champs manquants¹.

Cinq ans, des milliards investis, et un SIEM moyen détecte un cinquième de ce que le cadre de référence mondial définit comme le champ de la menace. Le taux plafonne, indépendamment de la maturité des équipes ou des budgets investis.

Les avions qui reviennent

En 1943, le statisticien Abraham Wald examine les impacts de balles sur les bombardiers qui rentrent de mission au-dessus de l'Allemagne. L'armée américaine veut blinder les zones les plus touchées. Wald recommande l'inverse : blindez les zones sans impacts. Les avions criblés dans ces zones ne sont pas revenus les montrer.

MITRE ATT&CK fonctionne comme le relevé de l'armée avant l'intervention de Wald. Il documente les impacts visibles, les techniques observées, rapportées, cataloguées par les organisations qui ont survécu à l'attaque ou l'ont détectée. MITRE l'admet ouvertement, sur sa propre page "ATT&CK Sightings." Plusieurs biais explicitement documentés² :

Le novelty bias : les techniques nouvelles ou spectaculaires sont rapportées, les techniques routinières répétées des milliers de fois ne le sont pas. Le visibility bias : un incident responder qui combat un incendie en cours ne voit pas la même chose que celui qui tamise les cendres après.

Le producer bias : quelques organisations publient beaucoup plus que les autres, et leur clientèle n'est pas représentative du monde réel. Le victim bias : certaines victimes sont plus susceptibles de rapporter, ou d'être l'objet de rapports.

MITRE conclut que ces biais signifient qu'utiliser la matrice comme données brutes pour comprendre la prévalence des techniques "might give deceiving answers." Leur formulation, pas la mienne.

Traduction : la matrice cartographie les avions qui reviennent. Les techniques qui y figurent sont celles que quelqu'un a vues, parce que l'organisation a survécu pour les rapporter, ou parce qu'un éditeur de solutions de sécurité avait un capteur au bon endroit.

Les attaques jamais détectées, les implants étatiques dormants depuis des années, les compromissions de supply chain silencieuses : par construction, la matrice ne les contient pas.

En 2024, Malwarebytes a documenté cinq extensions Chrome restées dormantes pendant sept ans, avec statut "Featured" et "Verified" dans les stores. À l'activation, 4,3 millions d'appareils compromis²⁶. Pendant la phase dormante, aucun comportement malveillant à observer, aucune technique à cataloguer. L'avion n'était pas revenu parce qu'il n'avait pas encore décollé.

Ce que les données montrent

La distribution réelle des techniques ATT&CK confirme ce biais de survivabilité. Le Cyentia Institute a analysé la prévalence des techniques à travers plusieurs sources indépendantes³. Résultats : un tiers des techniques ATT&CK n'a jamais été rapporté par aucune source. 23% seulement sont rapportées par cinq sources ou plus. Pour les sous-techniques, 85% n'ont jamais été rapportées par aucune source. 1% apparaît dans cinq sources ou plus.

Une étude de co-occurrence sur Emergent Mind précise la concentration⁴ : 19 techniques sur 594 (3,2%) représentent 37% des occurrences documentées. T1059 (Command and Scripting Interpreter) apparaît dans 62% des incidents analysés. Distribution en loi de puissance : quelques nœuds captent presque tout, l'immense majorité ne capte presque rien.

Picus Labs (Red Report 2025) confirme sur son propre dataset de plus d'un million d'échantillons : 93% des actions malveillantes utilisent les dix mêmes techniques⁵.

Le cadre donne l'illusion d'une couverture exhaustive (216 techniques, 475 sous-techniques) mais l'activité réelle se concentre dans une fraction infime. L'essentiel de la matrice est un inventaire historique : des techniques observées une fois, documentées, rarement ou jamais revues. La matrice est vaste. La menace active est concentrée. L'effort défensif se disperse quand l'attaque se concentre.

La rareté dans ATT&CK ne signifie pas rareté dans la réalité. Elle signifie rareté dans la détection et le signalement. Les techniques les plus dangereuses, firmware tampering, supply chain compromise, implants dormants, sont rares dans les statistiques parce qu'elles sont chirurgicales et que leur rareté reflète l'absence de capteurs, pas l'absence d'attaques. Les techniques les plus "prévalentes" sont aussi les plus grossières.

Le problème de la granularité

T1059, la technique la plus prévalente (62% de support dans les études de co-occurrence, 26% des échantillons Picus), s'intitule "Command and Scripting Interpreter." Elle couvre treize sous-techniques. Dire qu'un attaquant "utilise T1059" revient à dire qu'il utilise un langage de script ou une ligne de commande. C'est presque tautologique. T1055 (Process Injection), deuxième du classement (31%), pose le même problème : MITRE admet que l'usage légitime des API est "common and difficult to distinguish from malicious behavior"⁶.

Comparez avec T1542.001 : modification du firmware UEFI/BIOS. Chirurgicale, rare, opérationnellement significative quand elle apparaît. La distance d'abstraction entre "l'attaquant utilise un interpréteur de commandes" et "l'attaquant modifie le firmware UEFI" est abyssale. Mais les deux comptent comme une technique.

MITRE reconnaît le problème. Le document "Design and Philosophy" d'ATT&CK décrit l'objectif des sous-techniques : "make the abstraction level of techniques similar across the knowledge base"⁷. L'aveu implicite : le niveau d'abstraction n'était pas uniforme. Il ne l'est toujours pas.

La conséquence est mécanique. Quand Picus annonce que 93% des actions utilisent le Top 10, et que le Top 10 inclut des catégories fourre-tout comme T1059 et T1055, le chiffre est gonflé par la granularité hétérogène. Quand un nœud capture 62% de tout, sa co-occurrence avec n'importe quoi d'autre est mécaniquement élevée. La prévalence mesurée est un artefact de la largeur de la définition, pas un indicateur de dangerosité.

Les extensions dormantes mentionnées plus haut, une fois activées, utilisent T1059 (scripts), T1071 (HTTPS standard), T1547 (persistance au démarrage) : les mêmes catégories fourre-tout que n'importe quel script d'administration légitime.

Les données montrent un cadre dont la résolution est inversement proportionnelle à la dangerosité : les comportements les plus communs (les moins individuellement dangereux) sont finement cartographiés, les plus rares (potentiellement les plus dévastateurs) sont absents, noyés dans des catégories fourre-tout, ou documentés une fois comme curiosité forensique.

Du dictionnaire au dysfonctionnement

En pratique, ATT&CK sert quatre fonctions. La première tient. Les trois suivantes s'effondrent.

Le vocabulaire qui fonctionne

Quand un SOC à Paris et un CERT à Berlin disent "T1055," ils désignent la même chose. Avant ATT&CK, un red teamer parlait de "keylogger," un blue teamer voyait "suspicious input capture." La standardisation a une valeur réelle. ATT&CK a remplacé le Cyber Kill Chain de Lockheed Martin, qui était linéaire et simpliste. C'est un progrès indéniable. Mais c'est un dictionnaire, pas un système défensif. Le problème commence quand l'industrie traite le dictionnaire comme si c'était le système.

Le mirage de la heatmap

Les organisations plaquent leurs règles SIEM/EDR sur la matrice pour identifier les "trous." Le résultat : une heatmap colorée montrée au CISO et au conseil d'administration pour dire "nous couvrons X% de la matrice." Le résultat réel est celui de l'ouverture de cet article : 21%, cinq ans de plateau, 13% de règles cassées. Les données sont là. La transformation en détections fonctionnelles, elle, bute sur un plafond.

Quand l'observable n'existe pas

En mai 2025, le MITRE Center for Threat-Informed Defense a lancé le projet "Ambiguous Techniques"⁸. La définition officielle : une technique ambiguë est "an ATT&CK technique whose observable characteristics are insufficient to determine intent." Traduction : des techniques dans leur propre cadre dont les observables ne permettent pas de distinguer le légitime du malveillant.

Les cas concrets abondent. T1016 (System Network Configuration Discovery) : ipconfig ou ifconfig, exécuté par chaque administrateur réseau, chaque script de provisionnement, chaque malware de reconnaissance. Observable identique. T1082 (System Information Discovery) : systeminfo ou uname -a, même problème.

T1078 (Valid Accounts) : l'attaquant utilise des credentials volés. L'authentification est, par définition, identique à celle d'un utilisateur légitime. L'observable est un login réussi. T1071 (Application Layer Protocol) : le C2 utilise HTTPS, DNS ou un autre protocole applicatif standard. Le trafic est indiscernable du trafic normal.

Jordan Camba (SnapAttack/Cisco) résume : "Most techniques within Recon and Resource Development tactics are fundamentally un-detectable through internal logs and telemetry."⁹

Certains malwares poussent la logique plus loin. LummaC2 analyse les mouvements de souris pour détecter un environnement sandbox et, le cas échéant, choisit l'inaction²⁷. Au-delà de l'ambiguïté que MITRE reconnaît dans ses propres techniques, l'observable lui-même disparaît.

Le constat va au-delà de la reconnaissance. 84% des brèches à haute sévérité exploitent des outils système légitimes (Vectra 2024)¹⁰. PowerShell apparaît dans 71% des cas de Living Off The Land. Le projet LOLBAS documente plus de 200 binaires Windows détournables¹¹.

Volt Typhoon a maintenu un accès non détecté aux infrastructures critiques américaines pendant plus de cinq ans, en utilisant exclusivement des outils natifs¹². Les observables eux-mêmes n'existent pas : le problème est en amont du réglage des règles.

La fabrique à bruit

Au bout de cette chaîne : 960 alertes quotidiennes en moyenne par organisation (AI SOC Market Landscape 2025)¹³. Jusqu'à 90% de faux positifs dans certains environnements (Cyber Sierra)¹⁴. 62% des alertes ignorées¹⁴. 25% du temps analyste gaspillé sur les faux positifs (Ponemon)¹⁵. 74% des brèches avaient généré des alertes qui ont été ignorées (Verizon DBIR 2024)¹⁶.

La détection fonctionne mécaniquement. Elle génère des alertes. Elle ne protège pas.

Le coût humain est documenté. 70% des analystes SOC ayant cinq ans d'expérience ou moins quittent le poste dans les trois ans (SANS 2025)¹⁷. 85% décrivent le travail en SOC comme "douloureux" ou "très douloureux" (Ponemon)¹⁵. Coût moyen d'un SOC d'entreprise : 5,3 millions de dollars par an, en hausse de 20% sur un an¹⁵. Durée moyenne de poste d'un analyste SOC : moins de deux ans.

Anton Chuvakin, ancien analyste Gartner et actuel responsable au CISO office de Google Cloud, le résume : l'alert fatigue est documentée depuis 2002. L'industrie a tenté le SIEM, puis l'EDR (qui a recréé le même problème), puis le XDR (qui a recréé le SIEM), et promet maintenant que l'IA va résoudre le problème. La même promesse que l'UEBA en 2014¹⁸.

Le cas Target (2013) résume douze ans de non-progrès : les outils ont fonctionné exactement comme prévu. Le flot d'alertes a conduit les analystes à ignorer celles qui comptaient¹⁹.

Ces dysfonctionnements s'empilent, et les données documentent chaque couche. Mais elles le font avant de considérer que les adversaires optimisent activement le mimétisme : 79% des intrusions sont malware-free (CrowdStrike 2025)²⁰, 80% du Top 10 ATT&CK est orienté furtivité (Red Report 2025)⁵. Avant de considérer l'accélération par IA. Les données empiriques seules suffisent à poser la question suivante.

Le test de suppression

En avril 2025, le contrat DHS/CISA pour le programme CVE de MITRE a failli expirer²¹. Plus de 28 millions de dollars de contrats MITRE annulés, 442 employés licenciés²². Sauvetage in extremis par un financement incrémental CISA, pour onze mois.

ATT&CK dépend du même robinet fédéral. Posons la question que personne ne pose : si ce financement s'arrête, qu'est-ce qui change dans la posture défensive mondiale ?

Pas le vocabulaire. Les identifiants T1059, T1055, T1078 sont intégrés dans chaque SIEM, chaque EDR, chaque rapport de threat intelligence, chaque formation SANS. La taxonomie est auto-porteuse : elle survivrait à MITRE comme le modèle OSI survit sans que personne ne consulte les documents ISO originaux.

Pas la capacité de détection, qui plafonne à 21%. Pas le signal opérationnel, noyé dans 90% de faux positifs. Pas les analystes, qui partent déjà.

Ce qui disparaît : la heatmap colorée présentée au CISO et au board pour affirmer "nous couvrons X% de la matrice." Le rituel de conformité. Le droit de dire "aligné ATT&CK" dans les audits NIS2. La mise à jour des techniques nouvelles, la seule fonction qui nécessite MITRE en continu.

L'argument est réversible. Si la suppression ne dégrade pas la posture défensive réelle, alors la présence ne l'améliorait pas. Les données CardinalOps, Verizon DBIR, SANS et Ponemon convergent : la posture défensive réelle est catastrophique avec le cadre, et il serait difficile de faire pire sans.

Le cadrage géostratégique est plus inquiétant que le scénario de suppression. Les États-Unis ne coupent pas les outils défensifs par négligence. Ils réallouent. L'investissement fédéral pivote vers les capacités offensives : IA appliquée à la découverte de vulnérabilités, arsenaux cyber du DoD, stockage de zero-days documenté par les articles précédents de cette série²⁵.

Les outils défensifs que Washington a fournis au monde, CVE, NVD, ATT&CK, deviennent une variable d'ajustement budgétaire. L'Europe a construit sa grammaire défensive sur un cadre dont le pays d'origine se désintéresse — par réallocation de priorités vers l'attaque.

La dépendance européenne

MITRE Corporation est un FFRDC — Federally Funded Research and Development Center. Créé en 1958, spin-off du MIT Lincoln Laboratory (recherche radar militaire). Il opère six FFRDCs pour le gouvernement américain, dont le National Security Engineering Center pour le DoD et le National Cybersecurity FFRDC depuis 2014²³. Le contrat NIST de cinq milliards de dollars a été renouvelé en octobre 2024 jusqu'en 2029²⁴.

ATT&CK est présenté comme un standard mondial, "available to any person or organization for use at no charge." Mais sa gouvernance, son financement, ses priorités de développement et ses biais d'observation sont ancrés dans l'appareil sécuritaire américain. La crise d'avril 2025 l'a démontré : quand Washington réarbitre ses budgets, c'est le monde entier qui vacille²¹.

En février 2026, MITRE a formalisé cette dépendance en créant l'ATT&CK Advisory Council, un organe consultatif chargé de guider la stratégie long terme, la roadmap et les standards de qualité du programme²⁸. La composition est révélatrice : CISA, CrowdStrike, Recorded Future, Tidal Cyber, Purdue/CERIAS. L'intégralité de l'écosystème sécuritaire américain. Ni l'ANSSI, ni l'ENISA, ni aucun CERT européen ne figure parmi les membres. Le timing n'est pas anodin : après la crise budgétaire de 2025, le conseil formalise une gouvernance communautaire qui réduit la dépendance au seul financement fédéral. L'initiative sécurise l'institution. Elle ne modifie pas la composition du pouvoir : les organisations qui dépendent le plus du cadre n'ont aucun siège à la table où se décident ses orientations.

L'Europe a structuré sa défense cyber (NIS2, CERTs nationaux, SOC certifiés, exigences ENISA) sur ce cadre américain. La dépendance ne porte pas seulement sur le catalogue des vulnérabilités (CVE/NVD, documentée dans les articles précédents de cette série²⁵). Elle porte sur la grammaire même avec laquelle l'Europe pense sa défense.

Un cadre qui ne détecte pas ce qu'il prétend détecter, qui pourrait disparaître au prochain arbitrage budgétaire de Washington, et dont la suppression ne changerait rien à la réalité opérationnelle.

Ce que je ne sais pas

Je ne sais pas si la mise à jour continue d'ATT&CK, l'ajout de techniques nouvelles et la documentation de groupes émergents, est indispensable ou marginale. La taxonomie existante couvre la majorité de l'activité mesurée (93% dans le Top 10 Picus). Le delta annuel des nouvelles techniques pourrait être absorbé par d'autres sources : rapports vendor, threat intelligence communautaire. Mais je n'ai pas de données sur la vitesse à laquelle le cadre deviendrait obsolète sans mise à jour.

Je ne sais pas non plus si le plafond des 21% (CardinalOps) est un artefact de mesure ou une constante. Si cinq ans de données montrent la même oscillation entre 19% et 24%, l'hypothèse d'une limite intrinsèque au modèle detect-and-respond appliqué à ATT&CK mérite d'être posée. Mais je n'ai pas de preuve formelle que ce plafond est indépassable. Seulement cinq ans de mesure qui ne montrent aucune progression.

Je ne sais pas si MITRE a conscience de l'écart entre l'usage réel du cadre (scorecard de conformité, marketing vendor) et son intention initiale (base de connaissances du tradecraft adversaire). Le projet "Ambiguous Techniques" de mai 2025 suggère une lucidité croissante⁸. L'issue reste incertaine.

Je ne sais pas si la réallocation budgétaire américaine vers l'offensif menace directement ATT&CK ou seulement les programmes CVE/CWE. La crise d'avril 2025 a touché le programme CVE. Les contrats qui financent ATT&CK passent par d'autres canaux, mais tous transitent par le budget fédéral américain. La création de l'Advisory Council en février 2026 suggère que MITRE prend cette hypothèse suffisamment au sérieux pour formaliser un mécanisme de résilience institutionnelle²⁸. Mais un conseil consultatif ne génère pas de revenus, et la question du financement opérationnel reste entière.

La question qui suit

La question que cet article pose est simple : si ATT&CK, l'expression la plus aboutie du modèle detect-and-respond, produit les résultats documentés (21% de couverture, 90% de faux positifs, 62% d'alertes ignorées, 74% de brèches avec alertes ignorées, 70% de turnover analystes), le problème est-il dans le cadre ou dans le modèle ?

MITRE a une réponse à cette question. Elle s'appelle D3FEND — Detection, Denial, and Disruption Framework Empowering Network Defense. Le cadre miroir : pour chaque technique offensive ATT&CK, une contre-mesure défensive. L'hypothèse de symétrie parfaite entre attaque et défense.

Le prochain article examinera cette hypothèse.

Treizième article d'une série sur les failles de construction de la cybersécurité occidentale :

• Article 1 : La vulnérabilité de la gestion des vulnérabilités
• Article 2 : La dépendance européenne aux standards américains
• Article 3 : Les États, architectes cachés du marché noir des vulnérabilités
• Article 4 : L'IA ou l'effondrement du modèle défensif occidental
• Article 5 : Desert Power — survivre sans l'Empire
• Article 6 : I Am Altering the Deal
• Article 7 : Le dernier canal
• Article 8 : Lord of Cyber War
• Article 9 : Les faucons du numérique
• Article 10 : They Live... we sleep
• Article 11 : Soylent Green
• Article 12 : Ghost in the Binary

¹ CardinalOps, "5th Annual Report on the State of SIEM Detection Risk" (juin 2025) — 2,5 millions de sources, 13 000 règles, couverture 21%, 13% de règles cassées, 90%+ de couverture potentielle avec les données ingérées https://cardinalops.com/wp-content/uploads/2025/06/25-CardinalOps-2025-State-of-SIEM-Report.pdf

² MITRE ATT&CK Sightings — documentation des cinq biais (novelty, visibility, producer, victim, availability) https://attack.mitre.org/resources/sightings/

³ Cyentia Institute, "Multi-Source Analysis of Top MITRE ATT&CK Techniques" — 1/3 des techniques jamais rapportées, 85% des sous-techniques jamais rapportées https://www.cyentia.com/multi-source-analysis-of-top-mitre-attck-techniques/

⁴ Rahman, M.R. & Williams, L.A., "Investigating co-occurrences of MITRE ATT&CK Techniques" (2022) — 19/594 techniques = 37% des occurrences, T1059 à 0.62 de support https://arxiv.org/abs/2211.06495

⁵ Picus Labs, "Red Report 2025" — plus d'1 million d'échantillons malware, 14 millions d'actions malveillantes, 93% dans le Top 10, T1055 à 31% https://www.picussecurity.com/resource/the-top-ten-mitre-attck-techniques

⁶ MITRE ATT&CK, documentation T1055 (Process Injection) — guidance de détection https://attack.mitre.org/techniques/T1055/

⁷ MITRE ATT&CK, "Design and Philosophy" — objectif des sous-techniques https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf

⁸ MITRE Center for Threat-Informed Defense, "Ambiguous Techniques" (mai 2025) — techniques dont les caractéristiques observables sont insuffisantes pour déterminer l'intention https://ctid.mitre.org/projects/ambiguous-techniques/

⁹ Jordan Camba (SnapAttack/Cisco), cité dans la documentation du projet Ambiguous Techniques https://ctid.mitre.org/projects/ambiguous-techniques/

¹⁰ Vectra AI (2024) — 84% des brèches à haute sévérité exploitent des outils système légitimes https://www.vectra.ai/topics/living-off-the-land

¹¹ LOLBAS Project — Living Off The Land Binaries, Scripts and Libraries, 200+ binaires Windows documentés https://lolbas-project.github.io/

¹² CISA Advisory AA24-038A — Volt Typhoon, 5+ ans d'accès non détecté aux infrastructures critiques via outils natifs https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a

¹³ Software Analyst Cyber Research (SACR), "AI SOC Market Landscape 2025" — 282 organisations, 960 alertes quotidiennes moyennes par organisation https://softwareanalyst.substack.com/p/sacr-ai-soc-market-landscape-for

¹⁴ Cyber Sierra — jusqu'à 90% de faux positifs, 62% d'alertes ignorées https://cybersierra.co/blog/alert-fatigue-in-soc/

¹⁵ Ponemon Institute, "Second Annual Study on the Economics of Security Operations Centers" (2021, sponsorisé par FireEye) — 25% du temps analyste sur faux positifs, 85% décrivent le travail SOC comme "douloureux" ou "très douloureux", coût moyen SOC 5,3M$/an (+20% en un an) https://www.businesswire.com/news/home/20210112005211/en/NEW-PONEMON-RESEARCH-Growing-Security-Operation-Center-Challenges-Increasing-Complexity-and-Rising-Costs-Drive-Investments-in-XDR-and-Security-Automation

¹⁶ Verizon, "Data Breach Investigations Report 2024" — 74% des brèches avaient généré des alertes ignorées https://www.verizon.com/business/resources/reports/dbir.html

¹⁷ SANS Institute, "2025 SOC Survey" (Christopher Crowley, juillet 2025) — tenure médiane 3-5 ans, 62% des organisations ne font pas assez pour retenir le personnel https://www.sans.org/white-papers/sans-2025-soc-survey

¹⁸ Chuvakin, A. (ex-Gartner, Google Cloud CISO office) — historique de l'alert fatigue depuis 2002, cycle SIEM → EDR → XDR → AI https://medium.com/anton-on-security/antons-alert-fatigue-the-study-0ac0e6f5621c

¹⁹ Target Corporation breach (2013) — alertes FireEye fonctionnelles, ignorées par le SOC https://www.commerce.senate.gov/services/files/24d3c229-4f2f-405d-b8db-a3a67f183883

²⁰ CrowdStrike, "Global Threat Report 2025" — 79% des intrusions malware-free https://www.crowdstrike.com/en-us/global-threat-report/

²¹ Voir article 1 de cette série ; Nextgov/FCW (avril 2025) — contrat DHS/CISA pour le programme CVE arrivé à expiration le 16 avril 2025, sauvé in extremis par financement incrémental CISA pour 11 mois https://www.nextgov.com/cybersecurity/2025/04/mitre-warns-cve-program-will-lose-us-government-funding/404585/

²² Virginia Business (avril 2025) — annulation de plus de 28 millions de dollars de contrats MITRE, 442 licenciements https://www.scworld.com/news/mitre-support-expires-for-pillar-of-cybersecurity-industry-cve-program

²³ MITRE Corporation — opère 6 FFRDCs pour le gouvernement américain, dont le National Security Engineering Center (DoD) et le Homeland Security Systems Engineering and Development Institute https://www.mitre.org/our-impact/rd-centers

²⁴ NIST, contrat National Cybersecurity FFRDC — 5 milliards de dollars, renouvelé octobre 2024 jusqu'en 2029 https://www.mitre.org/news-insights/news-release/nist-renews-five-year-contract-mitre-operate-national-cybersecurity

²⁵ Voir articles 1, 2, 5, 7 et 12 de cette série — documentation de la dépendance européenne aux infrastructures CVE/NVD/KEV américaines

²⁶ Malwarebytes Labs (2024) — "Sleeper extensions: five Chrome extensions dormant for seven years activated as spyware" — 4,3 millions d'appareils compromis, statut "Featured"/"Verified", extensions étendues ensuite à Firefox https://www.malwarebytes.com/blog/news/2024/sleeper-extensions

²⁷ Outpost24 / KrakenLabs, "Analyzing LummaC2 stealer's novel Anti-Sandbox technique" (2023) — analyse des mouvements de souris par trigonométrie pour détection de sandbox, inaction comme technique d'évasion ; confirmé par Picus Labs, Red Report 2026 (février 2026) comme finding majeur https://outpost24.com/blog/lummac2-anti-sandbox-technique-trigonometry-human-detection/

²⁸ MITRE, "MITRE Announces Formation of the ATT&CK Advisory Council" (25 février 2026) — organe consultatif stratégique réunissant CISA, CrowdStrike, Recorded Future, Tidal Cyber, Purdue/CERIAS. Lancé simultanément avec ATT&CK v18 (Kubernetes, CI/CD, cloud databases, 3 nouveaux Asset types ICS). Aucun représentant européen parmi les membres https://www.mitre.org/news-insights/news-release/mitre-forms-attack-advisory-council-strengthens-long-term-stewardship