Données sécurité · CAPEC

Annuaire CAPEC — schémas d'attaque

Le CAPEC (Common Attack Pattern Enumeration and Classification) catalogue les schémas d'attaque : la manière dont un adversaire s'y prend pour exploiter une faiblesse. C'est le pendant offensif du CWE.

600+patterns d'attaque
3niveaux d'abstraction
↔ CWEmappés aux faiblesses

En bref

Si le CWE décrit la faiblesse, le CAPEC décrit l'attaque qui l'exploite. Lire dans ce sens permet d'anticiper : connaître le mode opératoire d'une attaque, c'est savoir quelle défense prioriser.

À quoi sert le CAPEC

Le CAPEC fournit un vocabulaire commun pour décrire comment une attaque fonctionne, indépendamment du produit visé. Pour une équipe défensive, c'est un outil de modélisation de menace : à chaque faiblesse correspondent des patterns d'attaque connus, donc des contre-mesures identifiables.

Exemples de patterns d'attaque

CAPECPatternExploite (CWE)
CAPEC-66Injection SQLCWE-89
CAPEC-63Cross-site scriptingCWE-79
CAPEC-1Contournement de contrôle d'accèsCWE-284
CAPEC-100Débordement de tamponCWE-120
CAPEC-242Injection de codeCWE-94

Les niveaux d'abstraction

Les CAPEC existent à plusieurs niveaux : Meta (stratégies générales), Standard (techniques), Detailed (mises en œuvre précises, souvent reliées à des CWE spécifiques). On part du général pour descendre vers le concret.

CAPEC ou MITRE ATT&CK ?

Le CAPEC décrit des patterns d'attaque au niveau applicatif/vulnérabilité ; ATT&CK décrit des tactiques et techniques d'adversaires au niveau opérationnel (post-intrusion). Les deux sont complémentaires : CAPEC pour le « comment ça s'exploite », ATT&CK pour le « comment l'attaquant opère ensuite ».

La chaîne CAPEC → CWE → CVE

Un pattern (CAPEC) exploite une faiblesse (CWE) qui se matérialise par une vulnérabilité (CVE). Cette chaîne relie l'offensif au défensif et structure toute la connaissance des vulnérabilités.

À retenir

  • Le CAPEC décrit comment une attaque exploite une faiblesse.
  • Chaque pattern se relie à une ou plusieurs CWE.
  • Trois niveaux d'abstraction : Meta, Standard, Detailed.
  • Complémentaire de MITRE ATT&CK (niveau opérationnel).

Questions fréquentes

Combien de patterns CAPEC existe-t-il ?

Plus de 600, couvrant la majorité des techniques d'exploitation au niveau applicatif et réseau.

Le CAPEC est-il utile à une équipe défensive ?

Oui : il sert à la modélisation de menace et à relier chaque faiblesse aux contre-mesures connues.

Veille CVE ciblée sur votre stack

Recevez seulement les CVE qui touchent vraiment votre parc.

Déclarez votre stack une fois. On vous prévient dès qu'une faille concerne un de vos produits, déjà priorisée par le KEV et l'EPSS, sur le canal que vous voulez. Quelques minutes pour démarrer.

Créer mon compte gratuit Voir les tarifs
  • Gratuit, sans carte bancaire
  • Conçu & hébergé en France 🇫🇷
  • Sans engagement

Continuer la lecture

Annuaire CWELes faiblesses que les attaques exploitent.Le catalogue CISA KEVLes vulnérabilités activement exploitées.Qu'est-ce qu'une CVE ?L'identifiant d'une vulnérabilité.Sources de donnéesLes flux agrégés par TechWatchAlert.