MITRE ATT&CK catalogue les comportements adverses en 14 tactiques (ex: Initial Access, Persistence, Lateral Movement) déclinées en centaines de techniques documentées. Chaque technique est illustrée par des exemples concrets d'APT. Ce framework est utilisé pour améliorer la détection (règles SIEM), les tests d'intrusion (simulation d'APT) et évaluer la couverture de ses défenses.