Comprendre les phases d'une cyberattaque

Mise à jour : 15/12/2025

Les cyberattaques ne sont pas le fruit du hasard. Elles résultent d’une planification méthodique où chaque phase prépare la suivante. Comprendre ce cycle permet d’anticiper les mouvements de l’attaquant et de positionner des défenses à chaque étape.

Le modèle de la Cyber Kill Chain, développé par Lockheed Martin, décompose une intrusion en 7 phases distinctes. Interrompre l’attaque à n’importe quelle phase empêche l’attaquant d’atteindre son objectif.

Vue d’ensemble de la kill chain

┌─────────────────┐
│ 1. Reconnaissance │ ← Collecte d'informations sur la cible
└────────┬────────┘
         ▼
┌─────────────────┐
│ 2. Armement     │ ← Préparation des outils et malwares
└────────┬────────┘
         ▼
┌─────────────────┐
│ 3. Livraison    │ ← Transmission de la charge malveillante
└────────┬────────┘
         ▼
┌─────────────────┐
│ 4. Exploitation │ ← Exploitation d'une vulnérabilité
└────────┬────────┘
         ▼
┌─────────────────┐
│ 5. Installation │ ← Implantation d'un accès persistant
└────────┬────────┘
         ▼
┌─────────────────┐
│ 6. Command & Control │ ← Communication avec l'attaquant
└────────┬────────┘
         ▼
┌─────────────────┐
│ 7. Actions      │ ← Atteinte de l'objectif final
└─────────────────┘

Pourquoi comprendre la kill chain ?

Défense en profondeur

Chaque phase représente une opportunité de détection et de blocage. Une défense efficace ne repose pas sur une seule barrière, mais sur des contrôles à chaque étape :

Phase	Contrôle défensif
Reconnaissance	Réduire l’exposition publique, surveiller les scans
Armement	Threat intelligence, blocage des sources connues
Livraison	Filtrage email, proxy web, sensibilisation
Exploitation	Patching, EDR, contrôle d’exécution
Installation	HIDS, surveillance des modifications système
C2	Analyse réseau, blocage des communications suspectes
Actions	DLP, sauvegardes isolées, segmentation

Shift left de la détection

Plus l’attaque est détectée tôt dans la kill chain, plus les dégâts sont limités :

Phase 1-3 : l’attaquant n’a pas encore d’accès → impact minimal
Phase 4-5 : accès obtenu mais pas encore exploité → confinement possible
Phase 6-7 : l’attaquant agit → dégâts potentiellement irréversibles

Comprendre l’attaquant

Connaître les phases permet de :

Anticiper les prochains mouvements
Prioriser les investissements sécurité
Communiquer efficacement avec les équipes techniques et métier
Mapper les incidents sur un référentiel commun (MITRE ATT&CK)

Limites du modèle

La kill chain traditionnelle présente certaines limites :

Linéarité : les attaques réelles peuvent sauter des phases ou les répéter
Focus périmétrique : moins adapté aux attaques internes ou supply chain
Évolution des techniques : le modèle date de 2011, les attaquants ont évolué

Le framework MITRE ATT&CK complète la kill chain en détaillant les tactiques et techniques à chaque phase.

Les 7 phases détaillées

1. Reconnaissance L'attaquant collecte des informations sur la cible : infrastructure, employés, technologies.

2. Armement Création ou acquisition des outils d'attaque : malwares, exploits, phishing kits.

3. Livraison Transmission de la charge malveillante : phishing, sites compromis, USB infectées.

4. Exploitation Utilisation d'une vulnérabilité pour exécuter du code sur le système cible.

5. Installation Déploiement de backdoors et mécanismes de persistance.

6. Command & Control Établissement d'un canal de communication pour piloter l'intrusion.

7. Actions sur objectifs Exfiltration, ransomware, sabotage : l'attaquant atteint son but.

À retenir

La kill chain décompose une attaque en 7 phases — de la reconnaissance aux actions finales
Chaque phase est une opportunité défensive — interrompre l’attaque à n’importe quel moment empêche l’attaquant d’atteindre son objectif
Plus la détection est précoce, moins les dégâts sont importants — investir dans les phases 1-3 est plus rentable
La défense en profondeur combine des contrôles à chaque étape
Le modèle a ses limites — MITRE ATT&CK offre une vision plus granulaire