Runtime & exploitation : vecteurs d'attaque (SOCLE)

L'étape Runtime & exploitation de la chaîne logicielle regroupe 4 vecteurs d'attaque, ancrés dans MITRE ATT&CK. Chaque vecteur décrit ce que vise l'attaquant et renvoie aux exigences SOCLE qui le neutralisent.

Exfiltration runtime

Mouvement latéral / persistance

Wiper / sabotage

Techniques principales observées à cette étape : ce sont des approches alternatives, pas une séquence.

Vecteurs d'attaque

Les pastilles renvoient aux exigences SOCLE qui neutralisent chaque vecteur.

V-RUN-1Exfiltration runtime

Une charge compromise exfiltre des données ou des secrets en production vers un système contrôlé par l'attaquant. La détection comportementale runtime est la dernière ligne, une fois les contrôles amont franchis.

Ancré dansATT&CK

Exigences qui le neutralisent SOCLE-RUN-GEN-1SOCLE-RUN-OBS-2SOCLE-ORC-OBS-2SOCLE-ORC-NET-2SOCLE-ORC-NET-5SOCLE-ORC-OBS-1SOCLE-ORC-OBS-4SOCLE-RUN-GEN-4SOCLE-RUN-OBS-1SOCLE-RUN-OBS-3SOCLE-RUN-OBS-4SOCLE-RUN-IRP-1SOCLE-RUN-FOR-1SOCLE-RUN-FOR-2

V-RUN-2Mouvement latéral / persistance

Après une intrusion initiale, l'attaquant se déplace latéralement et installe des mécanismes de persistance pour conserver l'accès. La compromission s'étend dans le temps et l'espace faute de détection et de segmentation.

Ancré dansATT&CK

Exigences qui le neutralisent SOCLE-RUN-GEN-1SOCLE-RUN-OBS-2SOCLE-DPL-CFG-2SOCLE-ORC-NET-3SOCLE-ORC-NET-1SOCLE-RUN-GEN-2SOCLE-RUN-GEN-4SOCLE-RUN-OBS-3SOCLE-RUN-IRP-2SOCLE-VLN-GEN-1SOCLE-VLN-GEN-3SOCLE-VLN-GEN-4SOCLE-VLN-INV-2SOCLE-VLN-REM-1SOCLE-VLN-REM-4SOCLE-VLN-DIS-4SOCLE-CLD-CMP-5

V-RUN-3Wiper / sabotage

Une charge détruit données, dépôts ou systèmes (wiper, suppression) pour saboter ou couvrir ses traces. La résilience (sauvegardes éprouvées, immuabilité) conditionne la capacité de reprise.

Ancré dansATT&CK

Exigences qui le neutralisent SOCLE-RUN-GEN-3SOCLE-RUN-RES-1SOCLE-RUN-RES-2SOCLE-DPL-RBK-3SOCLE-RUN-IRP-1SOCLE-RUN-IRP-2SOCLE-RUN-IRP-3SOCLE-RUN-IRP-4SOCLE-RUN-RES-3SOCLE-RUN-FOR-1SOCLE-RUN-FOR-2SOCLE-CLD-K8S-2

V-RUN-4Rootkit noyau / persistance runtime

Un attaquant ayant obtenu l'exécution sur un hôte implante une persistance furtive au niveau du noyau ou du système : programme eBPF malveillant, extension système (systemd-sysext), module noyau ou hook de chargement. Le code survit aux redéploiements applicatifs, masque ses processus et connexions, et intercepte secrets et trafic. Les contrôles applicatifs et l'analyse d'image ne le voient pas : il vit sous la charge de travail, dans le plan hôte.

Ancré dansMITRE ATT&CK T1014, MITRE ATT&CK T1547.006, CNCF Runtime

Exigences qui le neutralisent SOCLE-RUN-GEN-1SOCLE-RUN-GEN-2SOCLE-CLD-CMP-7SOCLE-ORC-EXE-5SOCLE-RUN-FOR-1

Prochaines étapes

Étape suivante : Secrets & identités (transversal)Vecteurs suivants de la chaîne Panorama des vecteursLes 16 étapes de la chaîne

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →