Une kill chain (chaîne de frappe ou chaîne d’attaque en français) est un modèle conceptuel décrivant les étapes successives d’une cyberattaque, de la planification à la réalisation des objectifs malveillants.
Ce concept, emprunté au domaine militaire, a été adapté à la cybersécurité par Lockheed Martin en 2011. Cette approche permet aux défenseurs de comprendre, anticiper et interrompre les attaques en identifiant les points de rupture possibles à chaque phase.
🎯 Objectif
L’objectif principal de la kill chain est de :
- Comprendre les différentes phases d’une attaque : elle permet de visualiser et d’analyser les actions entreprises par un attaquant.
- Identifier les points de faiblesse : en comprenant les étapes, il est possible de détecter les vulnérabilités et de renforcer les défenses.
- Interrompre l’attaque : en détectant l’attaque à un stade précoce, il est possible de la stopper avant qu’elle ne cause des dommages importants.
Les 7 étapes de la cyber kill chain
- Reconnaissance : collecte d’informations sur la cible (réseaux, employés, vulnérabilités).
- Armement (Weaponization) : création d’un vecteur d’attaque (ex. malware lié à un document).
- Livraison (Delivery) : transmission du vecteur (e-mail, USB, site web compromis).
- Exploitation : déclenchement d’une vulnérabilité pour exécuter du code malveillant.
- Installation : implantation d’un accès persistant (ex. backdoor).
- Commande et contrôle (C2) : établissement d’une connexion avec le serveur de l’attaquant.
- Actions sur les objectifs : exfiltration de données, sabotage, ransomware, etc.
Évolutions et limites
- Le modèle MITRE ATT&CK complète la kill chain en détaillant les techniques utilisées par les attaquants
- Les attaques modernes (APT, ransomwares) peuvent contourner ou accélérer certaines étapes
- La kill chain reste un outil pédagogique et stratégique, mais nécessite d’être combinée à d’autres frameworks pour une défense complète
