Cyber Kill Chain
Qu'est-ce que Cyber Kill Chain ?
Cyber Kill ChainModèle en sept étapes de Lockheed Martin décrivant la progression d'une intrusion ciblée, de la reconnaissance aux actions sur objectif.
La Cyber Kill Chain, publiée par Lockheed Martin en 2011, découpe une intrusion en sept phases successives : reconnaissance, weaponization, livraison, exploitation, installation, command and control et actions sur objectif. Le modèle invite les défenseurs à détecter, refuser, perturber, dégrader, tromper ou détruire l'activité adverse à chaque étape, puisque rompre un seul maillon suffit à faire échouer la campagne. Il s'agit de l'un des premiers cadres centrés sur l'attaquant largement adoptés ; il reste utile pour cartographier les contrôles, prioriser la télémétrie et communiquer la chronologie d'un incident. Ses détracteurs estiment qu'il décrit mieux les intrusions classiques par malware que les abus d'initiés, les attaques cloud-native ou l'espionnage discret ; beaucoup d'équipes le combinent désormais avec MITRE ATT&CK.
● Exemples
- 01
Cartographier un incident phishing-puis-rançongiciel sur les sept phases pour identifier les contrôles défaillants.
- 02
Aligner EDR, sécurité de la messagerie et défenses réseau sur des étapes précises de la kill chain.
● Questions fréquentes
Qu'est-ce que Cyber Kill Chain ?
Modèle en sept étapes de Lockheed Martin décrivant la progression d'une intrusion ciblée, de la reconnaissance aux actions sur objectif. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Cyber Kill Chain ?
Modèle en sept étapes de Lockheed Martin décrivant la progression d'une intrusion ciblée, de la reconnaissance aux actions sur objectif.
Comment fonctionne Cyber Kill Chain ?
La Cyber Kill Chain, publiée par Lockheed Martin en 2011, découpe une intrusion en sept phases successives : reconnaissance, weaponization, livraison, exploitation, installation, command and control et actions sur objectif. Le modèle invite les défenseurs à détecter, refuser, perturber, dégrader, tromper ou détruire l'activité adverse à chaque étape, puisque rompre un seul maillon suffit à faire échouer la campagne. Il s'agit de l'un des premiers cadres centrés sur l'attaquant largement adoptés ; il reste utile pour cartographier les contrôles, prioriser la télémétrie et communiquer la chronologie d'un incident. Ses détracteurs estiment qu'il décrit mieux les intrusions classiques par malware que les abus d'initiés, les attaques cloud-native ou l'espionnage discret ; beaucoup d'équipes le combinent désormais avec MITRE ATT&CK.
Comment se défendre contre Cyber Kill Chain ?
Les défenses contre Cyber Kill Chain combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Cyber Kill Chain ?
Noms alternatifs courants : Chaîne d'attaque Lockheed Martin, Chaîne d'intrusion.
● Termes liés
- defense-ops№ 905
Reconnaissance
Première phase d'une attaque, durant laquelle l'adversaire collecte des informations sur les personnes, la technologie et l'exposition de la cible avant d'agir.
- defense-ops№ 535
Accès initial
Tactique MITRE ATT&CK (TA0001) regroupant les techniques par lesquelles un attaquant établit son premier point d'appui dans l'environnement cible.
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- malware№ 201
Commande et contrôle (C2)
Infrastructure et canaux qu'un attaquant utilise pour maintenir la communication avec les systèmes compromis et leur transmettre des instructions.
- defense-ops№ 315
Diamond Model d'analyse d'intrusion
Cadre d'analyse d'intrusion qui relie chaque événement malveillant à quatre sommets : adversaire, capacité, infrastructure et victime.
- defense-ops№ 527
Indicateur de Compromission (IoC)
Artefact observable — hash, IP, domaine, URL, clé de registre — qui suggère qu'un système est ou a été compromis.