Admissions 
Brochure 
Contact 
Campus 
Définition Cyber Kill Chain
En octobre 1996, le général Ronald R. Fogleman, chef de l’état-major de l’US Air Force expose sa vision pour la défense aérienne en un slogan : find (trouver) and fix (réparer). Celle-ci soutient aujourd’hui la stratégie militaire américaine F2T2EA : find, fix, track (suivre), target (cibler), engage (engager) and assess (évaluer).
Lockheed Martin, entreprise d’armement américaine, a repris cette doctrine de défense pour définir un système de cybersécurité élaboré. Le principe repose sur la détection des actions de l’attaquant à chaque étape d’un modèle d’attaque prédéfinie : la cyber kill chain (chaîne de frappe cyber). C’est un véritable principe directeur pour organiser la sécurité d’un réseau informatique.
Qu’est-ce que la cyber kill chain ?
“Connais ton ennemi et connais-toi toi-même ; eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux.” – Sun Tzu, stratège militaire chinois, dans l’Art de la guerre.
L’exemple de Lockheed Martin, une entreprise stratégique exposée aux cybercriminels
L’entreprise Lockheed Martin travaille dans le domaine de la sécurité et de la défense : avions de combat et systèmes de défense à forte valeur ajoutée technologique. C’est une cible idéale pour les cybercriminels. La sécurité informatique de l’entreprise représente un enjeu stratégique : ses clients sont les armées de plusieurs pays.
Trouver des solutions pérennes aux cyberattaques devient une priorité pour les entreprises ou institutions dites stratégiques. En France, les organisations d’intérêt vital (OIV) sont particulièrement menacées. Pôle emploi, Ile-de-France Mobilités, Conseil départemental du Loiret ou encore l’hôpital de Corbeil-Essonnes ont été victimes de cyberattaques qui ont paralysé leur fonctionnement.
Modéliser les menaces pour améliorer la défense d’un réseau informatique
La sophistication des attaques évolue en particulier avec les advanced persistent threats (APT). Trouver des parades en réaction aux menaces ne suffit plus. Il s’agit d’avoir une stratégie globale de sécurité informatique. C’est pourquoi en 2015, Lockheed Martin dévoile son nouveau système de cybersécurité : la modélisation des actions des cybercriminels pour pouvoir détecter et intercepter les menaces.
L’entreprise américaine crée le modèle de la cyber kill chain: le déroulement en sept phases incontournables des cyberattaques. C’est un découpage chronologique qui permet un contrôle à chaque étape de tentatives d’intrusion ou d’exfiltration de données sensibles. La chaîne de frappe permet ainsi de visualiser ce qu’un attaquant doit réaliser pour atteindre ses objectifs.
Quelles sont les étapes de la cyber kill chain ?
Les sept étapes de la cyber kill chain de Lockheed constituent le socle d’un système de défense évolutif. Certaines entreprises complètent parfois cette chaîne par une étape supplémentaire.
Étape 1 : reconnaissance ou la collecte d’informations sur la cible
Comme en stratégie militaire, la phase de reconnaissance est capitale. Elle permet de collecter des informations sur la cible pour définir la tactique à employer. Les points de collecte sont désormais nombreux : vulnérabilité des utilisateurs internes, moteurs de recherche du web, cloud, réseau, etc. À noter : selon le cabinet de cybersécurité Stoïk, 47 % des télétravailleurs ont été piégés par phishing en 2022.
Étape 2 : préparation des ressources pour l’intrusion dans le réseau cible
La phase 2 correspond à l’armement en langage militaire. Grâce aux données collectées, l’attaquant prépare ses outils pour mener son intrusion dans le réseau de sa cible. Il définit sa tactique selon les points d’entrée détectés. Puis il crée les ressources adaptées (vecteurs d’attaque) : phishing, logiciel malveillant, attaques par déni de services ou Pass-The-Hash, porte dérobée, etc.
Étape 3 : livraison du procédé malveillant par l’une des vulnérabilités du réseau
Grâce à ses outils, le hacker pénètre dans le réseau par un ou plusieurs points faibles. Par exemple, un e-mail de phishing introduit un logiciel malveillant dans le système informatique. Le cybercriminel peut profiter de son intrusion pour programmer une action différée ou commencer à agir immédiatement.
Étape 4 : exploitation de l’intrusion par l’attaquant
Fort de son intrusion dans le système, l’attaquant peut déployer son attaque. Il peut installer des outils supplémentaires, obtenir des privilèges utilisateurs ou exploiter un code malveillant. Il prend soin de dissimuler cette phase grâce à des techniques de camouflage ou de masquage. Il efface ses traces comme le fait un cambrioleur.
Étape 5 : installation d’une porte dérobée pour la cyberattaque
Lors de cette phase, les hackers organisent leur logistique. Grâce à la porte dérobée, ils peuvent entrer et sortir du réseau sans être détectés. Ils profitent ainsi d’un accès permanent aux données de leur cible.
Étape 6 : commandement et contrôle des cyberattaques
Grâce aux privilèges successivement obtenus, l’attaquant peut prendre le commandement à distance d’un réseau ou d’un terminal. Il peut poursuivre son déplacement chez sa cible en élargissant son accès à d’autres réseaux distants. Cette progression s’appelle le mouvement latéral. L’attaquant vise le contrôle de sa cible pour déclencher une cyberattaque.
Étape 7 : déploiement des attaques de la cible
Grâce à son programme malveillant, il prend le contrôle de sa cible et peut déclencher son attaque. Il peut par exemple chiffrer les données de l’entreprise victime. Il réclame ensuite une rançon pour leur récupération. C’est une cyberattaque par ransomware (rançongiciel). Il peut également amorcer l’exfiltration de données et prévoir leur revente sur le darknet.
Comment la kill chain peut aider à prévenir et à détecter les cyberattaques ?
La cyber kill chain repose sur le principe du find and fix, soit l’identification et le blocage de la menace. Le système de sécurité consiste alors à concevoir une parade pour chacune des sept étapes modélisées d’une cyberattaque. Il s’agit en particulier de mettre en place une surveillance en temps réel des mouvements de données et des comportements utilisateurs pour détecter une attaque.
| Étape de la cyber kill chain | Type d’actions possibles en cybersécurité |
| 1. Reconnaissance | Prévention : protection des données sur le web, double authentification. |
| 2. Préparation des ressources | Prévention : sensibilisation des utilisateurs, gouvernance de la cybersécurité. |
| 3. Livraison du procédé malveillant | Détection : surveillance des comptes utilisateurs, des applications et programmes, du trafic sur le réseau. Utilisation de logiciels de détection de malware. |
| 4. Exploitation de l’intrusion | Détection difficile. |
| 5. Installation d’une porte dérobée | Prévention : déploiement d’une architecture SASE (Secure Access Service Edge). Détection : inspection des différents systèmes pour détecter les anomalies. |
| 6. Commandement et contrôle | Détection avancée des mouvements de données grâce au machine learning. |
| 7. Déploiement des attaques | Détection : surveillance des comportements suspects et des mouvements de données. Si l’exfiltration des données est réalisée, la recherche sur le darknet peut conduire aux criminels. |
Comment la cyber kill chain s’intègre-t-elle dans les stratégies de gestion des risques en cybersécurité ?
La cyber kill chain doit s’intégrer dans une stratégie globale de sécurité des informations. Le modèle de chaîne créée par l’entreprise Lockheed Martin permet alors de structurer les moyens déployés.
Apport de la cyber kill chain dans la sécurité des systèmes d’information
La cyber kill chain propose un cadre éprouvé de lutte contre la cybercriminalité. Cette chaîne de frappe complète les ressources partagées par des entreprises ou des organisations de lutte contre les hackers. Ces informations réunies affinent la compréhension des méthodes des hackers.
- l’OWASP (Open Web Application Security Project), une organisation dédiée à la sécurité des applications web, partage les risques les plus critiques.
- la base de connaissance ATT&CK de MITRE Corporation recense toutes les attaques détectées.
- l’agence gouvernementale américaine CISA publie des avis et des alertes sur les Advanced Persistent Threats.
Rôle de la cyber kill chain dans la sécurité informatique
La connaissance de la kill chain permet la mise en œuvre concrète de techniques de protection :
- interdiction d’accès au réseau aux utilisateurs non autorisés ;
- blocage des privilèges dû à un comportement suspect (mouvement latéral) ;
- surveillance du mouvement des données et blocage éventuel d’un utilisateur non autorisé ;
- mise en place d’une parade en temps réel en cas d’attaque.
La cyber threat intelligence : une combinaison d’outils pour la sécurité informatique
La cyber kill chain vise à structurer les moyens de la sécurité des systèmes d’information. Le modèle proposé permet de déployer un plan de prévention et de détection des menaces informatiques. Il oblige les entreprises à apporter des réponses aux différentes phases de la chaîne de frappe.
La cyber kill chain permet ainsi la combinaison de solutions autour d’un plan d’action. Ce dernier agit quelle que soit la menace. Le modèle peut alors s’inscrire dans un cadre plus large de gouvernance de la cybersécurité ou de cyber threat intelligence dans les entreprises. De plus, il permet de sensibiliser l’utilisateur et l’administrateur à la conduite d’une attaque informatique.
Cybersécurité et cyber kill chain : des solutions pour faire face aux évolutions des cybercriminels
Plus qu’une colonne vertébrale pour agir, la cyber kill chain représente un outil adaptable à l’évolution des tactiques des hackers. D’abord centré sur le périmètre interne du réseau de l’entreprise, le modèle intègre désormais les vulnérabilités du cloud ou du travail à distance. L’objectif, c’est d’organiser une réponse à une menace toujours plus sophistiquée.
La cyber kill chain représente donc une démarche évolutive pour lutter contre la cybercriminalité organisée. Véritable réponse militaire, elle permet d’organiser les parades aux tactiques imaginées par les hackers.