Une cyberattaque n'est pas un coup de chance : c'est une progression méthodique où chaque étape prépare la suivante. La Cyber Kill Chain, publiée par Lockheed Martin en 2011, décompose une intrusion en 7 phases, de la collecte d'informations jusqu'à l'atteinte de l'objectif final. L'idée est simple et puissante : interrompre l'attaque à n'importe quelle phase empêche l'attaquant d'aller au bout. Cette page vous explique ces 7 phases, le contrôle défensif qui bloque chacune, et quand préférer la kill chain à des modèles plus riches comme l'Unified Kill Chain ou MITRE ATT&CK. Aucun prérequis, sinon la notion de cyberattaque.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »La kill chain est le premier modèle mental à acquérir pour raisonner en défenseur. Concrètement, vous saurez :
- Nommer les 7 phases d'une intrusion et ce qui se joue à chacune.
- Associer à chaque phase un contrôle défensif concret pour la détecter ou la bloquer.
- Comprendre le principe de détection précoce : plus tôt vous coupez la chaîne, moins les dégâts sont lourds.
- Choisir entre la kill chain, l'Unified Kill Chain et ATT&CK selon que vous voulez expliquer ou opérer.
- Prolonger vers les 14 tactiques de MITRE ATT&CK, qui détaillent les comportements derrière chaque phase, et vers le modèle de menaces du référentiel SOCLE, qui relie ces menaces à des exigences concrètes.
La kill chain, une chaîne à briser
Section intitulée « La kill chain, une chaîne à briser »Le mot chaîne n'est pas décoratif : chaque phase dépend de la précédente. L'attaquant doit d'abord connaître sa cible avant de préparer son outil, livrer cet outil avant de l'exploiter, obtenir un accès avant de le rendre persistant. Cette dépendance est une bonne nouvelle pour le défenseur, car casser un seul maillon interrompt toute la séquence.
Ce modèle vient du monde militaire, où une kill chain décrit les étapes d'une frappe : trouver la cible, la viser, tirer. Lockheed Martin l'a transposé aux intrusions informatiques pour donner aux équipes de défense un vocabulaire partagé et une grille de lecture des incidents. Son intérêt principal est pédagogique : il raconte une attaque comme une histoire linéaire, facile à expliquer à des équipes techniques comme à des dirigeants.
Chaque phase représente donc une opportunité de détection et de blocage. Une défense solide ne mise pas sur une barrière unique, mais empile des contrôles à chaque étape, une approche appelée défense en profondeur. Si le filtrage des emails laisse passer un piège, l'antivirus, la surveillance système ou l'analyse réseau peuvent encore stopper l'attaque plus loin dans la chaîne.
Les 7 phases détaillées
Section intitulée « Les 7 phases détaillées »Voici les sept phases dans l'ordre. Chaque carte ouvre une page dédiée qui explique la phase du point de vue de l'attaquant et les parades associées. Lisez-les dans l'ordre la première fois : la logique de progression est plus parlante que chaque phase isolée.
Un contrôle défensif par phase
Section intitulée « Un contrôle défensif par phase »Chaque phase se contre par des mesures spécifiques. Ce tableau associe à chaque étape le contrôle qui a le plus de chances de la détecter ou de la bloquer. Il sert de grille de lecture : face à un incident, vous repérez à quelle phase il en est, donc quels contrôles ont failli et lesquels peuvent encore jouer.
| Phase | Contrôle défensif | Objectif du contrôle |
|---|---|---|
| Reconnaissance | Réduire l'exposition publique, surveiller les scans | Compliquer la collecte d'informations |
| Armement | Renseignement sur la menace, blocage des sources connues | Anticiper l'outil de l'attaquant |
| Livraison | Filtrage email, proxy web, sensibilisation | Empêcher la charge d'arriver |
| Exploitation | Correctifs à jour, EDR, contrôle d'exécution | Refuser l'exécution de code |
| Installation | HIDS, surveillance des modifications système | Repérer la persistance |
| Command & Control | Analyse réseau, blocage des flux suspects | Couper le pilotage à distance |
| Actions | DLP, sauvegardes isolées, segmentation | Limiter l'exfiltration et l'impact |
Un rappel de vocabulaire utile ici : un EDR (Endpoint Detection and Response) surveille le comportement des postes et serveurs ; un HIDS (Host Intrusion Detection System) détecte les modifications suspectes d'un système ; un DLP (Data Loss Prevention) empêche la fuite de données sensibles. Ces briques ne se remplacent pas, elles se complètent phase après phase.
Détecter tôt coûte moins cher
Section intitulée « Détecter tôt coûte moins cher »Le principe le plus important de la kill chain tient en une phrase : plus une attaque est détectée tôt, moins elle fait de dégâts. Tant que l'attaquant n'a pas d'accès, l'impact reste théorique ; une fois qu'il agit, les pertes peuvent devenir irréversibles.
- Phases 1 à 3 : l'attaquant prépare et livre son attaque, mais n'a aucun accès. La détection à ce stade a un impact quasi nul sur votre système.
- Phases 4 et 5 : l'accès est obtenu, la persistance s'installe, mais l'objectif n'est pas encore atteint. Le confinement reste possible.
- Phases 6 et 7 : l'attaquant pilote son intrusion et frappe. Chiffrement par rançongiciel, exfiltration, sabotage : les dégâts sont potentiellement définitifs.
C'est pourquoi investir dans les premières phases est souvent plus rentable que d'empiler des outils de dernière ligne. Réduire sa surface d'attaque et sensibiliser au hameçonnage coupent la chaîne avant même que l'attaquant ait un pied dans la porte.
Les limites du modèle Lockheed
Section intitulée « Les limites du modèle Lockheed »La kill chain d'origine a un défaut assumé : elle est linéaire et périmétrique. Elle décrit bien une intrusion externe classique, mais les attaques réelles sautent des phases, les répètent, ou commencent de l'intérieur.
- Linéarité : un attaquant qui achète des identifiants valides démarre directement à l'accès, sans reconnaissance ni exploitation visible. La belle séquence en 7 étapes ne colle plus.
- Focus périmétrique : le modèle raisonne comme si la menace venait de l'extérieur. Il décrit mal les menaces internes, les attaques par la supply chain ou l'usage d'outils légitimes détournés comme les LOLBAS et les GTFOBins.
- Âge du modèle : conçu en 2011, il n'anticipait pas le déplacement latéral dans le cloud, ni les techniques modernes d'évasion. Les attaquants ont évolué plus vite que la chaîne.
Ces limites ne rendent pas la kill chain inutile, elles cadrent son usage : elle reste un excellent point d'entrée, à compléter par des modèles plus fins dès qu'il faut décrire des attaques réelles.
Kill chain, Unified Kill Chain ou ATT&CK
Section intitulée « Kill chain, Unified Kill Chain ou ATT&CK »Trois modèles reviennent quand on parle de comportement des attaquants. Ils ne se concurrencent pas, ils répondent à des besoins différents. Choisir le bon, c'est éviter d'utiliser un marteau pour visser.
La Cyber Kill Chain de Lockheed Martin est linéaire, courte et pédagogique. Ses 7 phases se retiennent en une lecture et racontent une attaque comme une histoire. C'est l'outil idéal pour introduire le sujet, sensibiliser des équipes non spécialistes ou structurer un premier plan de défense en profondeur.
L'Unified Kill Chain, proposée par le chercheur Paul Pols en 2017, fusionne la kill chain et ATT&CK en un modèle de 18 phases. Elle corrige la principale faiblesse du modèle Lockheed en couvrant explicitement la phase interne : une fois entré, l'attaquant explore, se déplace latéralement, élève ses privilèges. Plus complète, elle décrit mieux les intrusions réelles, au prix d'une complexité accrue. On la choisit pour analyser une attaque avancée de bout en bout, quand la version en 7 phases devient trop grossière.
MITRE ATT&CK n'est pas une chaîne, c'est une matrice non linéaire de tactiques (les objectifs) et de techniques (les moyens précis), fondée sur l'observation de vraies intrusions. Elle ne raconte pas une histoire : elle catalogue des comportements pour construire des règles de détection, cartographier une menace et mesurer une couverture. C'est l'outil de ceux qui opèrent la détection au quotidien.
| Modèle | Ce qu'il apporte | Sa limite | Quand l'utiliser |
|---|---|---|---|
| Cyber Kill Chain (2011) | 7 phases linéaires, pédagogiques | Trop simple, périmétrique | Expliquer, sensibiliser, poser les bases |
| Unified Kill Chain (2017) | 18 phases, couvre l'intérieur | Plus lourde à manier | Analyser une attaque avancée complète |
| MITRE ATT&CK | Matrice de tactiques et techniques | Dense, ne raconte rien | Détecter, cartographier, mesurer |
En résumé, la kill chain sert à expliquer, l'Unified Kill Chain à détailler une intrusion complète, et MITRE ATT&CK à travailler la détection. La plupart des équipes commencent par la première pour introduire, puis basculent sur ATT&CK pour opérer.
À retenir
Section intitulée « À retenir »-
La kill chain décompose une attaque en 7 phases, de la reconnaissance aux actions finales, comme une chaîne dont chaque maillon dépend du précédent.
-
Chaque phase est une opportunité défensive : casser un seul maillon empêche l'attaquant d'atteindre son objectif.
-
La détection précoce limite les dégâts : investir dans les phases 1 à 3 est souvent plus rentable que d'empiler des outils de dernière ligne.
-
La défense en profondeur combine un contrôle spécifique par phase, du filtrage email au DLP, plutôt qu'une barrière unique.
-
Le modèle Lockheed a des limites : linéaire et périmétrique, il décrit mal les menaces internes, la supply chain et les outils légitimes détournés.
-
Trois modèles cohabitent : kill chain pour expliquer, Unified Kill Chain pour détailler, MITRE ATT&CK pour opérer la détection.
-
Le pont vers le socle : le modèle de menaces SOCLE relie ces phases et ces techniques à des exigences concrètes, pour passer de la théorie des attaques aux contrôles à mettre en place.