Conçu pour lutter contre les cyberattaques particulièrement complexes, le modèle de la Cyber Kill Chain (CKC) comprend plusieurs phases bien précises. Si les étapes sont suivies à la lettre, les entreprises peuvent ainsi anticiper les actions des cybercriminels sur l’ensemble du processus d’attaque.
Cyber Kill Chain : plus d’agilité pour mieux contrer les attaques
Par
Publié le 1 octobre 2024 à 7h00
Si la preuve de son efficacité n’est plus à démontrer, le modèle de la CKC peut parfois manquer de flexibilité et, par conséquent, altérer la stratégie de cyberdéfense de l’entreprise. Par le passé, ce modèle avait été mis en place pour lutter contre les malwares suite à l’augmentation des menaces persistantes avancées (APT). Face à la montée de nouvelles menaces cyber toujours plus sophistiquées, le modèle actuel ne suffit plus et doit être repensé.
Un champ d’action limité
Comme dit plus haut, le modèle de la CKC se concentre traditionnellement sur les malwares et les charges utiles. Les autres typologies d’attaques, tels que les attaques web comme les injection SQL, les attaques par déni de service (DDoS), les attaques XXS et les attaques s’appuyant sur les failles zero-day, ne sont pas prises en charge. Il en va de même pour les menaces internes qui, malgré le risque élevé pour les entreprises, ne sont pas prises en compte par la CKC. Ce champ d’action très limité confirme la rigidité du modèle de défense de la Cyber Kill Chain.
Par ailleurs, il serait insensé de penser que les cybercriminels attaquent systématiquement en suivant pas à pas le schéma habituel de la CKC. En réalité, les phases du modèle sont très souvent fusionnées, brouillant ainsi les pistes afin de déstabiliser la défense. Selon un rapport d’Albert Logic publié en 2018, les cinq premières phases de la Cyber Kill Chain sont regroupées en une seule action dans près de 90% des attaques. Dans le cas où les entreprises décideraient de suivre étape par étape le modèle, elles pourraient bien passer à côté d’une menace. Comme fait écho le proverbe : « une pensée linéaire, entraîne une réponse linéaire ».
Alors que les technologies progressent, les attaques évoluent elles aussi, échappant parfois au radar de la CKC. Certaines innovations comme le cloud computing, le DevOps ou encore le Machine Learning ont fait croître le volume de sources de données ainsi que le nombre de points d’entrée, offrant ainsi de nouvelles opportunités d’attaques aux cybercriminels. Pour couronner le tout, d’autres facteurs socio-culturels tels que le télétravail ou l’essor du marché des cryptomonnaies augmentent également les points d’accès, également vulnérables. Il devient alors compliqué pour les entreprises de sécuriser l’ensemble de ses sources de données.
Repenser la Cyber Kill Chain
Malgré les spécificités uniques de chaque entreprise en matière de stratégie cyber, la CKC demeure d’actualité à condition de la combiner avec d’autres approches plus flexibles.
Par exemple, il serait possible d’associer le modèle de la Kill Chain unifiée avec les techniques propres au cadre de MITRE ATT&CK. Cette méthode permet aux équipes de sécurité de croiser en temps réel les indicateurs de compromission avec plusieurs sources d'information sur les menaces, favorisant ainsi une réponse efficace. Par ailleurs, un modèle unifié de Kill Chain ATT&CK peut être utilisé par les équipes défensives et offensives pour concevoir des contrôles de sécurité.
Les exercices de simulation de cyberattaques peuvent aussi promouvoir les modèles de la Kill Chain. Grâce aux nombreuses plateformes spécialisées, il est possible d’identifier et modifier rapidement les points d’entrée ou les failles du système. En plus de simuler des cybermenaces via des emails, le web, des passerelles et des pare-feu, ces plateformes fournissent également un score ou un rapport détaillé sur les risques des différentes parties du système. Cela permet ainsi aux équipes d'identifier les principales zones de vulnérabilité. L'entreprise peut alors prendre des mesures appropriées pour se prémunir contre les menaces futures, telles que la modification des configurations et l'application de correctifs.
Face au développement vertigineux des menaces et des technologies, une approche plus globale de la Cyber Kill Chain semble être d’actualité. Envisager un modèle plus dynamique, qui intègre des éléments des stratégies MITRE ATT&CK et XDR (Extended Detection and Response), pourrait permettre une détection plus étendue des menaces et une neutralisation plus efficace. Toutefois, il n’existe pas de modèle universel ou de solution unique. Les entreprises doivent éviter de s’enfermer dans un cadre fixe et plutôt privilégier des concepts flexibles et des pratiques basées sur leur propre contexte, leur expertise et les méthodes éprouvées.
Quoiqu’il en soi, il est essentiel pour les entreprises de mettre en œuvre des mesures de cybersécurité fondamentales pour prévenir les cyberattaques et, par conséquent, empêcher les criminels de tirer profit de leurs actions. L'authentification multi-facteurs (AMF), la segmentation du réseau et la surveillance continue des vulnérabilités sont des éléments essentiels pour sécuriser un environnement d'entreprise. « Manger ses cyber-légumes » reste encore la meilleure solution pour lutter contre les menaces cyber.