CAPEC et CWE sont deux bases complémentaires maintenues par MITRE, mais elles n’ont pas le même objectif. CWE décrit des faiblesses techniques dans le code ou la conception (ex. : absence de validation d’entrée), tandis que CAPEC décrit des méthodes d’attaque exploitant ces faiblesses (ex. : injection SQL).
En d'autres termes, CWE se concentre sur la cause, tandis que CAPEC se concentre sur l'action de l'attaquant. Les deux peuvent être reliés : un modèle CAPEC précise souvent quelles CWE il cible, ce qui permet de faire le lien entre la vulnérabilité théorique, l’exploitation pratique, et les CVE associées.
Les professionnels de la cybersécurité sont les principaux utilisateurs des CAPEC : analystes SOC, experts en tests d’intrusion, architectes sécurité, développeurs, formateurs ou équipes de threat intelligence. Ils s’en servent pour comprendre les tactiques adverses, préparer des scénarios de tests, et renforcer les défenses.
Par exemple, un pentester peut utiliser un CAPEC pour structurer une attaque simulée selon un scénario réaliste. Un développeur peut y trouver des indications sur les erreurs de conception à éviter. Un RSSI peut les intégrer dans des analyses de risques pour mieux illustrer les conséquences potentielles d’une faiblesse technique.