Origine et principe de la Cyber Kill Chain
En 2011, trois chercheurs de Lockheed Martin — Eric Hutchins, Michael Cloppert et Rohan Amin — publient un article qui transforme la manière de penser la défense en cybersécurité. Leur constat : les attaquants suivent un schéma prévisible. Chaque cyberattaque progresse à travers des phases distinctes et séquentielles. Si un défenseur interrompt une seule étape, l’attaque échoue.
Ce modèle s’inspire directement de la doctrine militaire américaine (le concept de “kill chain” utilisé pour décrire les phases d’une frappe). Appliqué à la cybersécurité, il offre un cadre pour analyser une attaque et identifier les points où la défense peut agir.
Le principe directeur : plus vous interrompez la chaîne tôt, moins les dégâts sont importants. Bloquer un email de phishing avant qu’il n’atteigne la boîte de réception (étape 3) coûte infiniment moins cher que de répondre à un ransomware qui a chiffré l’ensemble du réseau (étape 7).
Les 7 étapes expliquées
Pour rendre le modèle concret, chaque étape est illustrée par un scénario réaliste : une attaque de phishing ciblant le service comptable d’une PME française de 120 salariés.
Étape 1 — Reconnaissance
L’attaquant collecte des informations sur sa cible avant de passer à l’action. Cette phase est passive et souvent invisible pour la victime.
Ce que fait l’attaquant :
- Il identifie l’entreprise cible et son secteur d’activité sur LinkedIn, Societe.com, le site web de l’entreprise
- Il repère les employés clés : le directeur financier, le comptable, l’assistante de direction (noms, adresses email, postes)
- Il étudie l’organigramme, les communications publiques, les recrutements en cours (qui révèlent les outils internes utilisés)
- Il vérifie la configuration email du domaine avec des outils publics (SPF, DKIM, DMARC) pour évaluer les protections en place
Dans notre scénario : L’attaquant identifie Marie Dupont, comptable chez ExempleIndustrie SAS, via LinkedIn. Il note qu’elle utilise SAP pour la comptabilité (mentionné dans une offre d’emploi archivée) et que l’entreprise travaille avec le cabinet d’expertise comptable Ficoma (mentionné dans un article de presse locale). Le domaine de l’entreprise a un enregistrement DMARC en mode “none” — les emails usurpant le domaine ne seront pas bloqués.
Défenses à cette étape :
- Limiter les informations publiées en ligne (organigrammes détaillés, outils internes dans les offres d’emploi)
- Configurer DMARC en mode “reject” pour que les outils de reconnaissance ne détectent pas de faille email exploitable
- Surveiller les tentatives de scraping sur le site web et les réseaux sociaux de l’entreprise
Étape 2 — Armement (Weaponization)
L’attaquant crée l’outil d’attaque en combinant les informations collectées avec une charge utile malveillante.
Ce que fait l’attaquant :
- Il crée un email de spear phishing crédible en utilisant les informations de la phase de reconnaissance
- Il prépare la charge utile : une pièce jointe piégée (document Word avec macro, PDF exploitant une vulnérabilité) ou un lien vers un faux site de connexion
- Il enregistre un domaine ressemblant à celui du cabinet comptable (ficoma-compta.fr au lieu de ficoma.fr)
- Il configure l’infrastructure technique : serveur d’envoi, page de phishing, serveur de commande et contrôle
Dans notre scénario : L’attaquant crée un email imitant le cabinet Ficoma, avec un objet “Facture rectificative T1 2026 — action requise”. Il joint un fichier Excel contenant une macro malveillante. L’email est envoyé depuis ficoma-compta.fr, un domaine enregistré la veille.
Défenses à cette étape :
- La défense directe est limitée à ce stade (l’attaquant travaille dans son propre environnement)
- La threat intelligence peut détecter les domaines récemment enregistrés imitant votre marque ou vos partenaires
- Le partage de renseignements entre entreprises et avec l’ANSSI aide à identifier les campagnes en préparation
Étape 3 — Livraison (Delivery)
L’attaquant transmet l’outil d’attaque à la cible. C’est l’étape où le phishing entre en jeu — et c’est la dernière étape où l’attaque peut être bloquée avant tout dommage.
Ce que fait l’attaquant :
- Il envoie l’email de phishing à la cible identifiée
- Le vecteur peut aussi être un SMS (smishing), un QR code (quishing), un appel téléphonique (vishing), ou une clé USB déposée sur le parking
Dans notre scénario : Marie reçoit l’email de “Ficoma” avec la facture rectificative. L’email arrive à 10h30 un mardi, en pleine semaine de clôture comptable — le moment choisi pour maximiser la pression et réduire la vigilance.
Défenses à cette étape (la plus efficace pour interrompre la chaîne) :
- Filtrage email avancé : passerelles email capables de détecter les domaines récemment créés, les pièces jointes suspectes, les liens vers des sites de phishing connus
- SPF, DKIM, DMARC : bloquent les emails qui usurpent le domaine de l’entreprise ou de ses partenaires
- Sensibilisation des employés : les simulations de phishing entraînent les collaborateurs à reconnaître les signaux d’alerte (domaine d’expéditeur suspect, urgence artificielle, pièce jointe inattendue)
- Bouton de signalement : permet à l’employé de signaler l’email suspect en un clic, ce qui alerte le SOC ou le service IT
Selon le Verizon DBIR 2024, le temps médian entre la réception d’un email de phishing et le premier clic est de 21 secondes. La défense à cette étape repose sur deux leviers : les filtres techniques qui bloquent avant l’arrivée en boîte de réception, et la formation qui crée le réflexe de signalement chez l’employé.
Étape 4 — Exploitation
La vulnérabilité est exploitée. L’employé a cliqué, ouvert la pièce jointe ou saisi ses identifiants sur le faux site.
Ce que fait l’attaquant :
- Si c’est un fichier piégé : la macro s’exécute et exploite une vulnérabilité du système
- Si c’est une page de phishing : les identifiants saisis sont capturés et transmis à l’attaquant
- Si c’est un lien vers un téléchargement : le fichier malveillant est récupéré et exécuté
Dans notre scénario : Marie ouvre le fichier Excel et active la macro “pour afficher le contenu”. La macro exploite une vulnérabilité dans un composant Office non mis à jour et exécute un script PowerShell en arrière-plan.
Défenses à cette étape :
- Mises à jour systèmes : corriger les vulnérabilités connues réduit le taux de réussite de l’exploitation. L’ANSSI recommande un délai maximum de 30 jours pour les correctifs de sécurité
- Désactivation des macros par défaut dans Microsoft Office (politique de groupe)
- MFA : si l’attaque visait à voler des identifiants, le MFA bloque la connexion même avec un mot de passe valide
- Sandboxing des pièces jointes : les passerelles email ouvrent les pièces jointes dans un environnement isolé avant de les remettre à l’utilisateur
Étape 5 — Installation
Le malware s’installe sur le système de la victime et établit sa persistance pour survivre à un redémarrage.
Ce que fait l’attaquant :
- Le script télécharge et installe le payload principal (backdoor, RAT — Remote Access Trojan, outil de récupération d’identifiants)
- Il modifie les clés de registre ou crée des tâches planifiées pour se relancer automatiquement
- Il tente de désactiver l’antivirus ou de se camoufler en utilisant des outils légitimes du système (technique “living off the land”)
Dans notre scénario : Le script PowerShell télécharge un agent Cobalt Strike (outil de pentest détourné par les attaquants) qui s’installe comme une tâche planifiée Windows. Il se fait passer pour un processus de mise à jour légitime.
Défenses à cette étape :
- EDR (Endpoint Detection and Response) : détecte les comportements suspects sur le poste (exécution de PowerShell depuis un document Office, modification des clés de registre, connexion à une IP externe inconnue)
- Restriction des droits administrateur : si l’utilisateur n’a pas les droits admin sur son poste, l’installation du malware échoue dans la majorité des cas
- Application whitelisting : seuls les programmes autorisés peuvent s’exécuter
- Journalisation : les logs système alimentent le SIEM pour corrélation
Étape 6 — Commande et contrôle (C2)
Le système infecté établit une communication avec l’infrastructure de l’attaquant. C’est le canal qui permet à l’attaquant de piloter le malware à distance.
Ce que fait l’attaquant :
- Le malware contacte un serveur de commande et contrôle (C2) via HTTPS, DNS ou un protocole personnalisé
- L’attaquant peut désormais envoyer des commandes : explorer le réseau, collecter des données, télécharger des outils supplémentaires
- Le trafic C2 est souvent camouflé dans du trafic légitime (requêtes HTTPS vers un domaine anodin, communications via des services cloud comme Slack ou OneDrive)
Dans notre scénario : L’agent Cobalt Strike communique avec le serveur C2 de l’attaquant via des requêtes HTTPS imitant des appels API vers un service cloud légitime. Le trafic ressemble à du trafic normal depuis le poste de Marie.
Défenses à cette étape :
- Filtrage DNS : bloquer les domaines malveillants connus et les domaines récemment enregistrés
- Proxy web avec inspection TLS : analyser le contenu du trafic HTTPS sortant pour détecter les communications C2
- Network Detection and Response (NDR) : détecter les anomalies dans les flux réseau (volume, fréquence, destinations inhabituelles)
- Segmentation réseau : limiter les communications entre segments pour empêcher la reconnaissance interne
Étape 7 — Actions sur l’objectif (Actions on Objectives)
L’attaquant atteint son but. C’est l’étape finale — et la plus coûteuse pour la victime.
Ce que fait l’attaquant :
- Exfiltration de données : vol de fichiers clients, propriété intellectuelle, données financières
- Chiffrement : déploiement d’un ransomware qui chiffre les fichiers et exige une rançon
- Fraude financière : modification de RIB fournisseurs, virements frauduleux depuis le système comptable
- Destruction : suppression de données, sabotage de systèmes de production
- Maintien de l’accès : installation de portes dérobées supplémentaires pour revenir plus tard
Dans notre scénario : L’attaquant explore le réseau depuis le poste de Marie. Il découvre le serveur de fichiers contenant les données clients et l’accès au logiciel de comptabilité SAP. Il exfiltre la base clients (12 000 contacts) et modifie le RIB d’un fournisseur stratégique pour détourner le prochain virement de 87 000 EUR. Coût total pour ExempleIndustrie : le virement détourné, la notification CNIL dans les 72 heures (obligation RGPD), la notification aux 12 000 clients, l’intervention d’un prestataire de réponse à incident, et l’interruption partielle d’activité pendant la remédiation.
Défenses à cette étape :
- DLP (Data Loss Prevention) : détecter et bloquer les transferts de données sensibles vers des destinations non autorisées
- Sauvegardes isolées : des sauvegardes hors ligne ou immuables permettent la restauration après un ransomware sans payer la rançon
- Plan de réponse à incident : procédure documentée pour contenir, éradiquer et récupérer — coordonnée par le SOC
- Segmentation réseau : empêcher l’accès au serveur de fichiers depuis un poste comptable standard
Le phishing : étape charnière de la Kill Chain
Le phishing intervient à l’étape 3 (livraison), mais son impact se répercute sur toutes les étapes suivantes. C’est le mécanisme de livraison le plus courant et le plus efficace.
Selon le Verizon DBIR 2024, le phishing et le pretexting (variante du social engineering) représentent 73 % des compromissions impliquant un facteur humain. Bloquer le phishing à l’étape de livraison, c’est empêcher les étapes 4 à 7 de se produire.
La simulation de phishing agit exactement à ce point de la chaîne. Elle entraîne les employés à reconnaître et signaler les tentatives de phishing avant qu’ils ne cliquent. Chaque email de phishing signalé au lieu d’être cliqué est une chaîne d’attaque interrompue à l’étape 3.
L’efficacité de la défense à l’étape 3 repose sur la combinaison de deux couches :
- Technique : filtrage email, SPF/DKIM/DMARC, sandboxing des pièces jointes
- Humaine : formation continue, simulations régulières, culture du signalement
Ni l’une ni l’autre ne suffit seule. Les filtres laissent passer des emails. Les employés se font piéger. C’est la superposition des deux couches qui maximise le taux d’interruption à l’étape de livraison.
Cyber Kill Chain vs MITRE ATT&CK
Le modèle de Lockheed Martin n’est pas le seul cadre d’analyse des cyberattaques. Le framework MITRE ATT&CK est devenu la référence opérationnelle pour les équipes de sécurité. Comprendre les différences permet de choisir le bon outil pour le bon usage.
| Critère | Cyber Kill Chain | MITRE ATT&CK |
|---|---|---|
| Structure | 7 étapes linéaires et séquentielles | Matrice de 14 tactiques et 200+ techniques |
| Niveau de détail | Vue stratégique (high-level) | Vue opérationnelle (granulaire) |
| Progression | Linéaire : chaque étape mène à la suivante | Non linéaire : l’attaquant peut sauter des étapes ou revenir en arrière |
| Usage principal | Comprendre le déroulement global d’une attaque | Mapper les techniques spécifiques utilisées et les défenses correspondantes |
| Public | Direction, managers IT, sensibilisation | Analystes SOC, équipes de réponse à incident, pentesters |
| Origine | Lockheed Martin (2011) | MITRE Corporation (2013, mis à jour en continu) |
Complémentarité
La Kill Chain répond à la question : “À quelle phase de l’attaque se situe-t-on ?” MITRE ATT&CK répond à la question : “Quelle technique spécifique l’attaquant utilise-t-il et comment la détecter ?”
En pratique, une PME utilise la Kill Chain pour structurer sa stratégie de défense (s’assurer que chaque étape est couverte par au moins un contrôle). Les équipes techniques utilisent MITRE ATT&CK pour configurer les règles de détection du SIEM et de l’EDR.
Limites de la Kill Chain
Le modèle de 2011 a des angles morts :
- Les attaques internes ne suivent pas la progression classique (un employé malveillant est déjà à l’intérieur)
- Les attaques supply chain (SolarWinds, MOVEit) court-circuitent les étapes 1 à 3 en compromettant un fournisseur de confiance
- Le modèle linéaire ne reflète pas la réalité des attaques modernes où l’adversaire itère et s’adapte
Ces limites n’invalident pas le modèle. Elles justifient de l’utiliser en complément de MITRE ATT&CK, pas à sa place.
Utiliser la Kill Chain pour la stratégie de sécurité de votre PME
La Kill Chain n’est pas un exercice théorique. C’est une grille d’évaluation concrète pour vérifier que votre entreprise a des défenses à chaque étape.
Cartographie défenses / étapes
| Étape Kill Chain | Votre défense | Outil ou mesure |
|---|---|---|
| 1. Reconnaissance | Réduire l’exposition publique | DMARC en mode reject, limiter les informations sur LinkedIn et le site web |
| 2. Armement | Threat intelligence | Surveillance des domaines imitant votre marque |
| 3. Livraison | Filtrage email + sensibilisation | Passerelle email, simulations de phishing, SPF/DKIM/DMARC |
| 4. Exploitation | Mises à jour + MFA | Patch management, MFA sur tous les comptes, macros désactivées |
| 5. Installation | Détection endpoint | EDR sur postes et serveurs, droits admin restreints |
| 6. C2 | Surveillance réseau | Filtrage DNS, proxy web, segmentation réseau |
| 7. Actions | Limitation des dégâts | DLP, sauvegardes isolées, plan de réponse à incident |
Par où commencer
Pour une PME de 50 à 200 personnes, la priorité va aux étapes où le rapport effort/impact est le meilleur :
Étape 3 en premier. Le phishing est le vecteur d’entrée numéro un. Configurer SPF, DKIM et DMARC correctement, déployer des simulations de phishing régulières, et former les employés à signaler les emails suspects. Coût : faible. Impact : élevé.
Étape 4 ensuite. Activer le MFA sur tous les comptes (Microsoft 365, Google Workspace, VPN, CRM). Même si un employé se fait piéger par un phishing, le MFA bloque la connexion. Coût : quasi nul (inclus dans les licences existantes). Impact : élevé.
Étape 5 en parallèle. Déployer un EDR managé sur les postes et serveurs. C’est le filet de sécurité qui détecte ce qui passe à travers les étapes précédentes. Budget : 3 à 10 EUR par poste et par mois.
Étapes 1, 6, 7 en continu. La surveillance réseau, la threat intelligence et le plan de réponse à incident se construisent progressivement, en fonction de la maturité et du budget.
L’objectif n’est pas la perfection à chaque étape. C’est d’avoir au moins une défense à chaque étape pour que l’attaquant doive franchir 7 barrières successives au lieu de zéro.
Vérifiez la configuration email de votre domaine avec notre vérificateur de sécurité email — c’est la première défense à l’étape 3 de la Kill Chain, celle qui bloque l’usurpation d’identité par email et réduit le volume de phishing atteignant vos employés.
Questions fréquentes
C'est quoi la Cyber Kill Chain ?
La Cyber Kill Chain est un modèle développé par Lockheed Martin qui décompose une cyberattaque en 7 étapes séquentielles : reconnaissance, armement, livraison, exploitation, installation, commande et contrôle, actions sur l'objectif. L'idée est simple : si vous interrompez la chaîne à n'importe quelle étape, l'attaque échoue. Plus vous l'interrompez tôt, moins les dégâts sont importants.
Quelles sont les 7 étapes de la Cyber Kill Chain ?
1. Reconnaissance : l'attaquant collecte des informations sur la cible. 2. Armement : il crée l'outil d'attaque (email piégé, malware). 3. Livraison : il transmet l'attaque à la cible (email de phishing, lien malveillant). 4. Exploitation : la vulnérabilité est exploitée (clic sur le lien, ouverture de la pièce jointe). 5. Installation : le malware s'installe sur le système. 6. Commande et contrôle (C2) : l'attaquant établit une communication avec le système infecté. 7. Actions sur l'objectif : exfiltration de données, chiffrement (ransomware), fraude financière.
Où se situe le phishing dans la Cyber Kill Chain ?
Le phishing intervient à l'étape 3 (livraison). C'est le mécanisme de transmission le plus utilisé pour acheminer l'attaque jusqu'à la cible. Selon le Verizon DBIR 2024, le phishing et l'ingénierie sociale représentent le premier vecteur d'accès initial aux systèmes. Bloquer le phishing à cette étape interrompt la chaîne avant que l'exploitation ne se produise.
Quelle est la différence entre Cyber Kill Chain et MITRE ATT&CK ?
La Cyber Kill Chain est un modèle linéaire et séquentiel en 7 étapes, utile pour comprendre la progression globale d'une attaque. MITRE ATT&CK est une matrice détaillée qui catalogue des centaines de tactiques et techniques d'attaque, organisées par phase. La Kill Chain donne la vue d'ensemble, MITRE ATT&CK donne le détail opérationnel. Les deux cadres sont complémentaires : la Kill Chain pour la stratégie, MITRE ATT&CK pour la mise en œuvre des défenses.
Comment utiliser la Cyber Kill Chain pour protéger mon entreprise ?
Mappez vos défenses à chaque étape de la chaîne. Étape 3 (livraison) : filtrage email, sensibilisation des employés via des simulations de phishing. Étape 4 (exploitation) : mises à jour des systèmes, MFA. Étape 5 (installation) : EDR sur les postes. Étape 6 (C2) : surveillance réseau, filtrage DNS. L'objectif : créer plusieurs lignes de défense pour que la chaîne se brise avant que l'attaquant n'atteigne son but.