Expliquez la Cyber Kill Chain de Lockheed Martin et comment une équipe bleue l'utilise.
Réponse courte
La Cyber Kill Chain modélise une intrusion en sept étapes séquentielles : reconnaissance, militarisation, livraison, exploitation, installation, commande et contrôle (C2), et actions sur les objectifs. Les défenseurs associent des détections et des contrôles à chaque étape ; comme les étapes sont séquentielles, briser un seul maillon — bloquer l'e-mail de phishing, tuer le C2 — perturbe toute l'attaque. Cela pousse à détecter tôt plutôt qu'à la seule intrusion finale.
La Cyber Kill Chain, de Lockheed Martin, donne à l'équipe bleue un vocabulaire commun pour situer où elle détecte une intrusion et où elle pourrait intervenir. Les recruteurs l'utilisent pour voir si vous pensez les attaques comme un processus avec de nombreux points d'interruption, et non comme un seul instant où l'on « se fait pirater ».
Les sept étapes
- Reconnaissance — l'attaquant étudie la cible (OSINT, scan, listes d'employés).
- Militarisation — il associe un exploit à une charge utile, par ex. une macro malveillante dans un document.
- Livraison — il la transmet : e-mail de phishing, site de point d'eau, clé USB.
- Exploitation — la charge utile s'exécute en abusant d'une vulnérabilité ou en trompant un utilisateur.
- Installation — le malware établit une persistance sur l'hôte.
- Commande et contrôle (C2) — l'implant rappelle l'attaquant pour recevoir des instructions.
- Actions sur les objectifs — l'attaquant atteint son but : vol de données, chiffrement, sabotage.
Comment les défenseurs l'utilisent
Associez un contrôle et une détection à chaque maillon : le filtrage des e-mails et la sensibilisation des utilisateurs perturbent la livraison ; les correctifs et les mitigations d'exploit perturbent l'exploitation ; l'EDR et le contrôle des applications autorisées attrapent l'installation ; le filtrage DNS et de sortie brise le C2. Parce que les étapes sont séquentielles, briser un seul maillon empêche l'attaquant d'atteindre son objectif — et plus tôt vous le brisez, moins la réponse coûte cher.
Pourquoi c'est important
La kill chain est volontairement simple, ce qui fait sa force et sa critique : elle est linéaire et très centrée sur le malware et le périmètre, si bien que de nombreuses équipes l'associent à MITRE ATT&CK pour des techniques granulaires. Une bonne réponse récite les étapes, explique que « la défense en profondeur = une chance de briser la chaîne à chaque étape », et reconnaît les limites du modèle.
Questions de suivi probables
- Pourquoi détecter à l'étape de livraison ou d'exploitation est-il préférable qu'aux actions sur les objectifs ?
- Quelles sont les principales critiques de la kill chain face à MITRE ATT&CK ?
- Où un EDR attraperait-il le plus probablement un attaquant dans cette chaîne ?