< Retour vers les ressources

Qu'est ce que la Kill Chain ?

Qu'est ce que la kill chain ?A quoi sert le modèle de la Kill Chain ?Quelles sont les étapes de la Kill Chain ?Quels sont les différents modèles de kill chain?Comment appliquer le modèle de la kill chain a son entreprise?Pourquoi appliquer le modèle de la kill chain à son entreprise?Quelles sont les limitations du modèle de la Kill Chain ?

Qu'est ce que la kill chain ?

La “kill chain” est un modèle qui décrit les différentes étapes d'une attaque informatique, depuis la reconnaissance de l'objectif jusqu'à la réalisation de l'objectif final (généralement, l'exfiltration de données).

A quoi sert le modèle de la Kill Chain ?

La “kill chain” est un modèle qui décrit les différentes étapes d'une attaque informatique, depuis la reconnaissance de l'objectif jusqu'à la réalisation de l'objectif final (généralement, l'exfiltration de données).

Quelles sont les étapes de la Kill Chain ?

Il existe différents modèles de Kill Chain, mais les étapes couramment reconnues sont les suivantes:

  1. Recherche : Le pirate informatique identifie les objectifs potentiels et recueille des informations sur ces derniers.
  2. Reconnaissance : Le pirate informatique effectue des enquêtes plus approfondies sur les objectifs pour en savoir plus sur leur vulnérabilité et sur les moyens d'accéder à ces derniers.
  3. Exploitation : Le pirate informatique utilise les vulnérabilités identifiées pour accéder aux systèmes cibles.
  4. Installation de logiciels malveillants : Le pirate informatique installe des outils malveillants sur les systèmes cibles pour maintenir un accès persistant et pour collecter des informations.
  5. Accès à des commandes et des contrôles : Le pirate informatique utilise les outils malveillants pour accéder aux commandes et aux contrôles des systèmes cibles.
  6. Exfiltration de données : Le pirate informatique utilise les commandes et les contrôles pour accéder aux données et les exfiltrer.

Il est important de noter que certaines étapes peuvent être sautées ou combinées, selon la complexité et les objectifs de l'attaque. La reconnaissance et l'exploitation peuvent être combinées, par exemple, lorsque le pirate informatique utilise une vulnérabilité connue.

Quels sont les différents modèles de kill chain?

Il existe plusieurs modèles kill chain, qui peuvent varier en fonction de la source et de l'application :

  • Modèle de la kill chain traditionnelle de Lockheed Martin
    Ce modèle a été développé par Lockheed Martin et décrit sept étapes d'une attaque : reconnaissance, préparation, delivery, exploitation, installation, commande et contrôle, et actions sur les objectifs.
  • Modèle de la kill chain de NIST
    Ce modèle a été développé par le National Institute of Standards and Technology (NIST) et décrit six étapes d'une attaque : reconnaissance, accès, actions sur les objectifs, maintien de l'accès, exfiltration, et actions de suivi.
  • Modèle de la kill chain d'ATT&CK de Mitre
    Ce modèle a été développé par l'initiative de menace de l'ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) et décrit 12 étapes d'une attaque : recherche, reconnaissance, weaponization, delivery, exploitation, installation, commande et contrôle, actions sur les objectifs, exfiltration, maintien de l'accès, et actions de suivi.

Il est important de noter que ces modèles peuvent varier en fonction des contextes et des objectifs de l'attaque. Il est donc important de les adapter en fonction des besoins de votre entreprise.

La plateforme de Vectra détecte les menaces en temps réel tout au long de la Kill Chain

Demandez une démo
Contactez-nous

Comment appliquer le modèle de la kill chain a son entreprise?

Il existe plusieurs étapes pour appliquer le modèle de la Kill Chain à votre entreprise :

  1. Comprendre le modèle
    Il est important de comprendre les différentes étapes de la Kill Chain et comment elles s'appliquent à votre entreprise. Il est également important de comprendre les différents modèles disponibles et de choisir celui qui convient le mieux à vos besoins.
  2. Identifier les risques
    Identifiez les risques auxquels votre entreprise est exposée en examinant les menaces potentielles et les vulnérabilités de vos systèmes. Il est important de comprendre les différents types d'attaques possibles et les étapes où elles peuvent être détectées et bloquées.
  3. Élaborer une stratégie
    Utilisez les informations recueillies pour élaborer une stratégie de défense efficace. Cela peut inclure la mise en place de contrôles de sécurité pour chaque étape de la Kill Chain, ainsi que des processus de surveillance et de détection pour détecter les attaques en cours.
  4. Mettre en place des outils et des procédures
    Mettre en place les outils et les procédures nécessaires pour suivre et répondre aux attaques. Cela peut inclure la mise en place d'outils de détection de menaces, des mécanismes de sécurité, et des processus de réponse à incident.
  5. S'entraîner et tester
    Assurez-vous que vos employés sont formés pour comprendre et utiliser les outils et les procédures de sécurité. Il est également important de tester régulièrement vos systèmes de défense pour vous assurer qu'ils fonctionnent correctement.
  6. Mettre à jour régulièrement
    Il est important de continuer à surveiller les menaces et les vulnérabilités émergentes et de mettre à jour régulièrement votre stratégie de sécurité en conséquence. Il est important de continuer à améliorer ses défenses en fonction de l'évolution des menaces.

Pourquoi appliquer le modèle de la kill chain à son entreprise?

Il existe plusieurs avantages à appliquer le modèle de la Kill Chain à votre entreprise :

  1. Comprendre les attaques
    Le modèle de la Kill Chain permet de mieux comprendre comment les attaques se déroulent, les étapes qui les composent et les points faibles dans les systèmes de défense. Il permet d'identifier les étapes où les attaques peuvent être détectées et bloquées.
  2. Prioriser les investissements
    Il permet de mieux prioriser les investissements en matière de sécurité en fonction des risques les plus importants pour l'entreprise. Cela permet de cibler les investissements là où ils sont les plus nécessaires.
  3. Améliorer la détection et la réponse
    En utilisant un modèle de Kill Chain, les entreprises peuvent améliorer leur capacité à détecter et à répondre aux attaques. Cela permet de mettre en place des processus de surveillance et de détection efficaces pour chaque étape de la chaîne.
  4. Améliorer la collaboration
    Le modèle de la Kill Chain permet une collaboration efficace entre les différents départements de l'entreprise, en permettant de mieux comprendre les risques et les responsabilités de chacun.
  5. Améliorer la conformité
    Le modèle de la Kill Chain permet d'adapter les mesures de sécurité aux exigences réglementaires et normatives en vigueur dans l'entreprise.
  6. Améliorer la résilience
    Il permet de mieux comprendre les menaces, les vulnérabilités et les impacts potentiels, et ainsi de mieux se préparer à faire face aux incidents de sécurité informatique.

Quelles sont les limitations du modèle de la Kill Chain ?

Il existe certaines limitations liées à l'utilisation du modèle de la Kill Chain, notamment :

  • Simplification de la réalité
    Le modèle de la Kill Chain simplifie la réalité des attaques informatiques en décrivant un processus linéaire, alors que les attaques peuvent être plus complexes et impliquer des retours en arrière ou des sauts d'étape.
  • Ne prend pas en compte les attaques à la demande
    Certaines attaques sont effectuées à la demande, c'est-à-dire que les étapes de reconnaissance et d'exploitation sont effectuées simultanément, et par conséquent, ces étapes ne peuvent être détectées ou bloquées séparément.
  • Ne prend pas en compte les attaques à haut niveau
    Certaines attaques sont menées par des groupes de haut niveau, qui ont des moyens importants et une grande expertise, et qui peuvent contourner les défenses en place.
  • Difficulté à établir une correspondance entre les étapes de l'attaque et les événements
    Il peut être difficile de déterminer à quelle étape de la Kill Chain une attaque correspond, car les événements peuvent être ambigus ou mal compris.
  • Ne prend pas en compte les attaques par déni de service
    Certaines attaques sont menées pour perturber les systèmes et les services, plutôt que pour accéder aux données.
  • Ne prend pas en compte les attaques qui sont menées par des acteurs internes
    Certaines attaques sont menées par des employés de l'entreprise, qui ont un accès légitime aux systèmes, et qui peuvent donc contourner les défenses en place.

Une visibilité inégalée pour les SOC

Confrontées à des menaces de plus en plus sophistiquées, les équipes de sécurité ont besoin d'une visibilité immédiate sur les cybermenaces qui pèsent sur leurs environnements.

Optimisez votre SOC grâce au NDR
Optimisez votre SOC

Lutte contre les ransomwares :
la réalité du terrain

Cet eBook vous explique tout, de l'importance de la détection des activités des attaquants et des ransomOps aux diverses procédures de sécurité adoptées par les professionnels pour contrer efficacement les tactiques des cybercriminels.

Lutte contre les ransomwares
Stop ransomware

Les 10 détections les plus fréquentes dans Microsoft Azure AD & Office 365

Ce rapport présente les dix détections de menaces les plus fréquemment observées chez la clientèle de Vectra, qui permettent de ratifier les attaques ciblant Microsoft Azure AD et Office 365.

Top 10 des détections dans Microsoft 365
Top 10 détections