Cyber Kill Chain est un modèle de sécurité développé par Lockheed Martin en 2011 qui décrit les étapes d’une cyberattaque, ce qui permet de comprendre, d’identifier et de se défendre contre les menaces.

Si vous êtes curieux, sachez que Lockheed Martin est une entreprise internationale spécialisée dans l’aérospatiale, la défense, l’armement et la sécurité.

La chaîne de la mort cybernétique (CKC) est l’un des modèles de sécurité les plus populaires auxquels se réfèrent les experts en cybersécurité pour élaborer une stratégie et défendre les organisations contre les cyberattaques.

Pourquoi la chaîne de destruction cybernétique est-elle importante pour la cybersécurité ?

A cloud with a shield and a check mark on it.

Soyons honnêtes : la cybersécurité n’est pas si simple. Elle peut parfois sembler simple et convaincante lorsqu’il s’agit de donner aux utilisateurs finaux les conseils dont ils ont besoin pour rester en sécurité sur l’internet.

Cependant, pour faire face à une véritable cyberattaque, les organisations doivent connaître de nombreux aspects techniques. On ne peut pas s’attendre à ce qu’une organisation se défende contre les cyberattaques avec quelques conseils de sécurité, n’est-ce pas ?

Un cadre (ou un modèle) est donc nécessaire pour poser les bases permettant de comprendre les cyberattaques et de s’en défendre en conséquence.

La chaîne de la mort cybernétique est un modèle de sécurité traditionnel qui sert de base pour comprendre les étapes d’une cyberattaque. Il comprend sept étapes, que nous allons examiner ci-dessous.

Rôle de la chaîne critique dans la cybersécurité

A woman sitting at a desk with a laptop and a padlock on it.

La chaîne mortelle cybernétique ne se limite pas à fournir des informations sur une cyberattaque, elle aide les organisations à connaître les moyens de détecter les attaquants, d’empêcher l’accès des utilisateurs non autorisés, d’atténuer une attaque active et d’arrêter un attaquant au sein du réseau.

Les organisations et les experts en cybersécurité peuvent ainsi élaborer une stratégie efficace.

La chaîne critique cybernétique ne peut pas tout garantir à elle seule, car divers éléments entrent en ligne de compte à l’extérieur du réseau ou à l’intérieur d’une organisation, et ce modèle n’inclut rien de tout cela.

Étapes de la chaîne de destruction cybernétique

An infographic showing the steps of the coronavirus.
Crédits d’image : Lockheed Martin

Le cadre CKC comprend sept étapes pour décrire une cyberattaque. Ces étapes sont les suivantes

  1. Reconnaissance
  2. Armement
  3. Livraison
  4. Exploitation
  5. Installation
  6. Commandement et contrôle
  7. Action

#1. Reconnaissance

La reconnaissance est la première phase de la chaîne de la mort cybernétique, qui consiste à recueillir des informations.

L’attaquant recueille des informations sur les points d’entrée et les faiblesses d’un réseau et recherche les vulnérabilités. Il ne se contente pas de les identifier, mais recueille les adresses électroniques, les adresses et d’autres données relatives aux logiciels qui pourraient l’aider à concevoir des stratégies malveillantes pour mener à bien l’attaque.

Plus l’attaquant dispose de détails, plus l’attaque peut être influente. Cette phase de surveillance de l’attaque peut se dérouler à la fois hors ligne et en ligne. Il n’est donc pas toujours possible pour quiconque d’avoir un pressentiment sur un acteur malveillant à ce stade.

Pour faire face à cette phase, les organisations et leurs employés doivent se concentrer sur la protection de la vie privée, qu’il s’agisse de limiter l’accès à l’emplacement physique aux utilisateurs autorisés ou de demander à tous les utilisateurs associés de ne pas partager d’informations personnelles sensibles en ligne.

Par exemple, chacun devrait utiliser des outils de protection de la vie privée pour protéger son identité en ligne.

#2. Armement

A man in a hoodie is sitting at a desk with a laptop connected to a chain.

Ici, l’acteur malveillant fabrique l’arme, c’est-à-dire le logiciel malveillant ou l’outil à utiliser dans la cyberattaque.

Parfois, il utilise des outils existants ou les modifie en fonction de la cible pour préparer l’exécution, qui est l’étape suivante.

L’arme créée pour l’attaque dépend de l’objectif de l’acteur malveillant. Par exemple, certains préfèrent perturber les services, d’autres veulent voler des données et d’autres encore veulent demander une rançon pour détenir des données sensibles.

L’arme peut être n’importe quoi qui s’aligne sur cet objectif.

#3. Livraison

C’est l’une des étapes cruciales où la chance de l’attaquant commence.

Si la livraison réussit, le logiciel malveillant pénètre dans l’ordinateur et commence son travail. En cas d’échec, toutes les stratégies d’attaque prennent fin.

L’attaquant utilise des outils ou des supports pour diffuser le logiciel malveillant. Par exemple, des pièces jointes à des courriels malveillants, des courriels d’hameçonnage pour transmettre des informations d’identification, un message texte qui trompe l’utilisateur en l’autorisant, etc.

Bien entendu, l’acteur malveillant utilise toutes les informations issues de la phase de surveillance pour convaincre la cible d’un message ou d’un lien, afin qu’elle clique dessus sans y réfléchir à deux fois.

Si l’organisation et ses employés sont conscients des attaques par hameçonnage et d’autres cyberattaques courantes, la livraison sera difficile à réussir.

#4. Exploitation

A man in a hoodie is sitting at a desk with a laptop in front of him.

L’attaquant connaît les failles et s’est introduit dans le système de la victime.

Il va maintenant exploiter la vulnérabilité connue pour pouvoir exécuter le code malveillant livré. Au cours de ce processus, l’attaquant sera également en mesure de mieux comprendre le système et de trouver les points faibles.

Tout système vulnérable connecté au réseau a des chances d’être compromis.

#5. L’installation

Une fois que l’attaquant a analysé toutes les failles, il se concentre sur l’installation du logiciel malveillant et introduit d’autres codes malveillants afin d’exploiter d’autres éléments inconnus au départ.

En d’autres termes, l’infiltration s’achève avec cette phase où l’attaquant s’enfonce dans le réseau compromis.

#6. Commande et contrôle

Une fois l’infiltration terminée, il est temps pour l’acteur malveillant de prendre le contrôle du système ou du réseau compromis.

Il peut choisir de suivre et de surveiller les informations à distance ou de commencer à faire des ravages pour perturber le système et les services. Il peut s’agir d’attaques DDoS ou de l’ajout d’une porte dérobée qui lui permet d’entrer dans le système à sa guise sans que personne ne s’en aperçoive.

#7. Action sur les objectifs

Conformément au but de l’attaque, l’acteur malveillant exécute le coup de grâce pour atteindre l’objectif.

Il peut crypter les données et demander une rançon, infecter le système pour diffuser des logiciels malveillants, perturber les services ou voler des données pour les divulguer ou les modifier. De nombreuses possibilités similaires existent pour ces actions.

Comment la chaîne de destruction cybernétique contribue-t-elle à la protection contre les attaques ?

A man is touching a padlock on a computer screen.

Comprendre comment les attaquants s’introduisent dans votre réseau et vos systèmes aide les organisations et leurs employés à se défendre contre les cyberattaques.

Par exemple, avec la chaîne de destruction cybernétique, on comprend que les vulnérabilités d’un réseau peuvent aider l’attaquant à s’infiltrer rapidement. Les organisations peuvent donc envisager d’utiliser des outils de détection et de réponse des points finaux pour ajouter des techniques de détection précoce à leur stratégie de cybersécurité.

De même, vous pouvez choisir d’utiliser un pare-feu pour protéger l’infrastructure en nuage et des services de protection contre les attaques DDoS en nuage pour renforcer la sécurité.

Sans oublier que les VPN peuvent également être utilisés pour sécuriser les choses dans une entreprise.

Les entreprises peuvent utiliser efficacement le modèle de la chaîne de destruction cybernétique en choisissant des solutions qui s’attaquent à chaque étape d’une cyberattaque.

La chaîne mortelle cybernétique est-elle suffisante ?

Oui et non.

Comme je l’ai mentionné précédemment, le modèle Cyber Kill Chain ne s’attaque qu’à certains aspects fondamentaux d’une cyberattaque. Et même si une organisation se défend contre tous ces éléments, c’est déjà une grande victoire.

Cependant, certains experts en cybersécurité ont élargi le modèle en y ajoutant une huitième étape.

La 8e étape est celle de la monétisation :

Cette phase explique comment les attaquants gagnent de l’argent grâce à une attaque réussie. Qu’il s’agisse d’une demande de rançon ou de l’utilisation de crypto-monnaies, l’organisation doit également se préparer à faire face à de telles situations.

Dans l’ensemble, le modèle est considéré comme quelque peu dépassé à mesure que l’innovation progresse dans le monde numérique. Les cyberattaques sont désormais plus complexes, même si les principes de base restent les mêmes. Par exemple, le cadre CKC ne mentionne pas tous les types d’attaques, mais se limite aux logiciels malveillants.

En outre, il ne traite pas des menaces internes, étant donné qu’un employé malhonnête peut également affecter l’organisation.

Étant donné que les cyberattaques deviennent de plus en plus complexes avec le cloud et l’intelligence artificielle, d’autres modèles peuvent également être utilisés, tels que MITRE ATT&CK et Unified Kill Chain.

Vous pouvez également explorer les meilleurs outils de simulation de brèche et d’attaque pour vous préparer aux cyberattaques.