AVIS D’EXPERT – Modèle de défense destiné à contrecarrer les cyberattaques particulièrement sophistiquées, la Cyber Kill Chain (CKC) est composée de plusieurs phases listées dans un ordre bien précis.
Mick Baccio, Global Security Advisor chez Splunk, explique aux lecteurs de Solutions numériques & cybersécurité qu’en suivant méticuleusement le modèle, les entreprises sont plus armées pour répondre aux attaques et ont une longueur d’avance sur les cybercriminels tout au long du processus de cyberattaque, de sa conceptualisation à son exécution.
Malgré son efficacité démontrée par le passé, la rigidité du modèle de la Cyber Kill Chain peut parfois entraver la stratégie cyber d’une entreprise. Initialement conçue pour contrer les malwares en réponse à un nombre croissant de menaces persistantes avancées (APT), la Cyber Kill Chain peine aujourd’hui à s’adapter à la diversité et à la complexité croissante des menaces.
Les limites de la Cyber Kill Chain
Le cadre traditionnel de la CKC se concentre principalement sur les malwares et les charges utiles sans prendre en compte les autres types d’attaques existantes. C’est le cas, par exemple, des attaques web telles que les injections SQL, les attaques par déni de service (DDoS), les attaques XXS (ou cross-site scripting) ou encore les attaques exploitant des vulnérabilités zero-day. Par ailleurs, la Cyber Kill Chain n’intègre pas les menaces internes qui présentent pourtant un risque élevé pour les entreprises.
Cette limite du spectre de défense de la Cyber Kill Chain est également caractérisée par un manque de flexibilité. En effet, tous les cyberattaquants ne suivent pas forcément le schéma classique de la CKC de manière linéaire et les phases peuvent être également très souvent fusionnées. En 2018, un rapport réalisé par Alert Logic a révélé que près de 90 % des attaques regroupent les cinq premières phases de la CKC en une seule action. Si le cadre traditionnel est suivi à la lettre, les entreprises pourraient ne pas parvenir à identifier ou à bloquer les menaces avant qu’elles n’infiltrent le réseau. Le vieil adage selon lequel « une pensée linéaire entraîne une réponse linéaire » s’applique tout à fait ici.
L’évolution constante des technologies implique l’apparition de nouvelles formes de cyberattaques qui échappent parfois au modèle de la CKC. Des innovations telles que le cloud computing, le DevOps, l’IoT, le Machine Learning et l’automatisation ont élargi la portée des cyberattaques en augmentant le nombre de sources de données et de points d’entrée. Enfin, d’autres facteurs socio-culturels tels que l’essor du télétravail et l’achat de cryptomonnaies entraînent la multiplication de points d’accès facilement exploitables par les acteurs malveillants, ce qui empêche les entreprises de couvrir toutes les bases et de sécuriser les endpoints vulnérables de manière efficace.
Quelles sont les compléments de la Cyber Kill Chain ?
Bien que chaque entreprise ait besoin de disposer de son propre plan d’intervention en matière de cybersécurité, il existe d’autres façons d’adapter ces processus traditionnels.
Cela peut prendre la forme d’une Kill Chain unifiée tout en associant les techniques mentionnées dans le cadre de MITRE ATT&CK. Cette approche permet aux équipes de sécurité de comparer simultanément les indicateurs de compromission avec plusieurs sources d’informations liées aux menaces afin d’y répondre de manière efficace. Par ailleurs, un modèle de Kill Chain ATT&CK unifié peut être utilisé par les équipes défensives et offensives pour élaborer des contrôles de sécurité.
Les modèles de Kill Chain peuvent également être utilisés dans le cadre de simulations de cyberattaques. À cette fin, il existe un vaste éventail de plateformes spécialisées, lesquelles permettent de localiser et de modifier les points d’entrée ou les vulnérabilités du système en un temps record. Outre la simulation de cybermenaces au moyen d’emails, du web, d’une passerelle ou d’un pare-feu, ces plateformes peuvent également fournir un score ou un rapport sur les risques liés aux différentes entités du système afin d’aider les équipes à identifier les principales zones à risque. L’entreprise peut ainsi prendre des mesures en conséquence et se protéger contre les menaces futures au moyen de méthodes telles que la modification de configurations et l’installation de correctifs.
En 2024, la diversification des menaces et l’évolution rapide des technologies remettent en cause l’efficacité de la Cyber Kill Chain. Une nouvelle approche plus holistique semble s’imposer. Une Kill Chain plus agile qui intègre des éléments issus des stratégies MITRE ATT&CK et XDR (extended detection and response) pourrait, par exemple, favoriser l’identification d’un plus large panel de menaces et les empêcher – voire de les neutraliser – plus efficacement. Il n’existe cependant pas de modèle unique, ni de solution universelle. Les entreprises ne doivent pas se limiter strictement à un cadre spécifique, mais plutôt adopter les idées et les concepts basés sur la connaissance et l’expérience de leur environnement, ainsi que sur des pratiques connues et avérées.
Quelle que soit l’option adoptée, les entreprises doivent se doter d’une stratégie de cybersécurité complète pour pouvoir faire face à la complexité croissante des cybermenaces.
