Acteurs malveillants IA cartographiés sur MITRE ATT&CK : le score ARiES et ce qu'il casse

De quoi s’agit-il ?

Le 3 juin 2026, la Frontier Red Team d’Anthropic (Kyla Guru, Alex Moix et Jacob Klein) a publié un rapport cartographiant un an d’usage malveillant de l’IA sur MITRE ATT&CK, accompagné d’une analyse technique plus détaillée sur le blog Red, dont une partie a alimenté le Data Breach Investigations Report 2026 de Verizon.

Le jeu de données comprend 832 comptes bannis pour violation des règles d’usage liées au cyber entre mars 2025 et mars 2026 — le sous-ensemble suffisamment documenté pour cartographier les tactiques, techniques et procédures sur MITRE ATT&CK V18. Au total, l’équipe a recensé 13 873 actions observées sur 482 techniques uniques et l’ensemble des 14 tactiques ATT&CK. Il s’agit d’une mesure de la façon dont les acteurs détournent les modèles grand public aujourd’hui, et non d’une divulgation de vulnérabilité : l’intérêt réside dans les tendances que cela révèle aux défenseurs.

Comment ça marche

Le rapport introduit une méthode de scoring, l’AI Risk Enablement Score (ARiES), qui note chaque acteur de 0 à 100. Elle est délibérément additive — Menace (0–35) + Vulnérabilité/interface (0–35) + Impact (0–30) — plutôt que le classique Menace × Vulnérabilité × Impact multiplicatif. La raison : un score additif fait toujours remonter un cas où une dimension manque (par exemple un malware fonctionnel sans victime encore identifiée), c’est-à-dire précisément le signal précoce qu’un système de détection recherche.

Ce que les acteurs demandent réellement aux modèles est concentré sur les phases préparatoires :

Technique (ID MITRE)              Part des acteurs   Phase
--------------------------------  -----------------  -----------------------------
T1587.001 Développement malware    560 / 832 (67%)   Développement de ressources
T1027 Fichiers/Infos obfusqués     64,7%             Évasion défensive
T1005 Données système local        55,9%             Collecte
T1562 Affaiblir les défenses       54,9%             Évasion défensive
T1087 Découverte de comptes        (en hausse +8,9%) Découverte post-compromission
T1021 Services distants (SSH/SMB)  ~0,7% des obs.    Mouvement latéral
T1003 Vol d'identifiants OS        rare              Accès aux identifiants

L’évasion défensive est la tactique la plus présente, chez 84,4 % des acteurs. Le travail clavier-en-main, à l’intérieur du réseau, est rare — le mouvement latéral n’apparaît que chez 54 des 832 acteurs (6,5 %). L’acteur médian a utilisé 16 techniques distinctes, et 80 % sont passés par Claude Code, faisant de l’outillage agentique le mode d’accès par défaut plutôt qu’un facteur distinctif.

Le résultat marquant tient à ce qui ne prédit pas le risque. Une fois la circularité retirée, la sophistication technique supposée d’un acteur ne corrèle avec le reste du score qu’à r = 0,28 ; la largeur de couverture des techniques à r = 0,27 ; et l’interface (chat, API ou outil de codage agentique) ne présente aucune corrélation significative. Le différenciateur durable est l’endroit de la chaîne d’attaque où l’IA est appliquée — et, au-dessus, l’échafaudage (scaffolding) qu’un acteur construit pour chaîner les étapes de façon autonome.

L’exemple le plus net est GTG-1002, l’opération d’espionnage parrainée par l’État chinois qu’Anthropic a neutralisée en novembre 2025. Son profil MITRE — 30 techniques sur 13 tactiques — ressemblait à un acteur de risque moyen, mais il a atteint le maximum de 100. La différence tenait à l’orchestration : Claude Code sur une machine Kali, des outils de pentest open source branchés comme serveurs MCP, le modèle exécutant la reconnaissance, exploitant une SSRF, récoltant des identifiants et pivotant latéralement, les humains n’intervenant qu’à quelques points de décision.

Pourquoi c’est important

Trois bascules comptent pour les défenseurs.

Premièrement, le tri du risque fondé sur la sophistication de l’acteur se fissure. Mouvement latéral, élévation de privilèges et découverte de comptes impliquaient autrefois un opérateur compétent et bien doté. Le rapport montre l’IA effectuant ces étapes pour le compte d’acteurs peu qualifiés — et la part d’acteurs de risque moyen ou supérieur est passée de 33 % à 56 % en moins d’un an (≈1,7×) sans que ces acteurs gagnent en compétence.

Deuxièmement, le comportement le plus à risque migre dans le réseau. La découverte de comptes (T1087) a augmenté de 8,9 % et l’exfiltration automatisée (T1020) de 6,2 % d’un semestre à l’autre, tandis que le phishing (T1566) reculait de 8,6 %. Les acteurs ayant utilisé l’IA pour le mouvement latéral affichaient un score moyen de 56,4 contre une moyenne de 46,8 — le prédicteur le plus fort des données.

Troisièmement, MITRE ATT&CK n’a pas encore d’identifiants pour les comportements qui définissent les pires acteurs : l’orchestration autonome de la chaîne d’attaque, les décisions de pivot en temps réel et l’exécution dirigée par l’IA sans humain dans la boucle. Anthropic indique discuter activement avec MITRE de l’ajout de catégories transversales pour ces schémas agentiques. (Pour le contexte sur ce que les agents changent à la surface d’attaque, voir les agents comme systèmes d’exploitation et Project Glasswing.)

Défenses

Ce rapport est une donnée de planification, pas un correctif. Les enseignements portent sur la conception de la détection et le tri.

1. Cessez de classer les acteurs par sophistication, nombre de techniques ou interface. Chacun est un prédicteur faible (r ≈ 0,27–0,28, voire nul). Repondérez votre scoring vers quelles techniques un acteur mobilise et comment il les chaîne, pas combien.
2. Instrumentez l’usage de l’IA post-compromission. Les signaux à risque en hausse sont la découverte de comptes (T1087), l’exfiltration automatisée (T1020), les services distants (T1021), le vol d’identifiants OS (T1003) et les web shells (T1505.003). Le mouvement latéral est le marqueur isolé le plus fort — alertez fortement dessus.
3. Détectez l’orchestration, pas seulement les techniques. Construisez des signaux pour l’exécution autonome multi-étapes, les pivots dirigés par l’IA et les opérations augmentées par outils via serveurs MCP — les schémas qui ont valu à GTG-1002 un score maximal malgré un nombre de techniques banal. En attendant qu’ATT&CK ajoute des identifiants, suivez-les comme vos propres marqueurs transversaux.
4. Réduisez le délai vulnérabilité-correctif. Quand des acteurs peu qualifiés peuvent piloter un harnais de niveau expert, la fenêtre entre la découverte d’un bug et son exploitation se resserre. Traitez le code non sécurisé comme une responsabilité urgente, pas un élément de backlog.
5. Utilisez l’IA symétriquement en défense. Automatisation du SOC, triage, analyse de logs et réponse à incident sont précisément les domaines où la même capacité agentique aide les équipes bleues. Anthropic oriente le travail défensif à double usage vers un Cyber Verification Program plutôt que de le bloquer.
6. Partagez le renseignement sur les menaces. TTP, indicateurs et méthodes de scoring comme ARiES sont d’autant plus utiles mutualisés entre organisations — le rapport lui-même existe parce qu’Anthropic a cartographié et partagé ses données de bannissement.

Statut

Élément	Référence	Date	Notes
Rapport bilan annuel	Anthropic News	2026-06-03	832 comptes, mars 2025–mars 2026
LLM ATT&CK Navigator + ARiES	red.anthropic.com	2026-06-03	13 873 actions, 482 techniques, 14 tactiques, ATT&CK V18
Verizon 2026 DBIR	Verizon	2026	11 mois des mêmes données contribués
Cas d’espionnage GTG-1002	Anthropic News	2025-11-13	ARiES max 100 ; orchestration agentique via Claude Code + MCP
Évolution de MITRE ATT&CK	Anthropic / MITRE	en cours	Discussions pour ajouter des catégories d’orchestration agentique

Le bon cadrage n’est pas « l’IA écrit des malwares désormais » — c’est vrai depuis un moment. C’est que la ligne séparant un attaquant à faible risque d’un attaquant à haut risque n’est plus la compétence technique mais l’orchestration, et que la taxonomie sur laquelle s’appuient les défenseurs ne la décrit pas encore.