Go to content

Les kill chains, tout le monde en parle… mais personne n’en fait (1/3 – préalables à la constitution des kill chains)

De l’origine de la (cyber) kill chain : un peu d’histoire (récente)

En 2011, Lockheed Martin a popularisé le terme et développé le concept de kill chain appliqué au cyber, auparavant exclusivement utilisé dans le domaine militaire. L’ANSSI, dans la méthode EBIOS RM, introduit en 2018 les scénarios opérationnels d’un risque , qui ne sont pas différents des kill chains en termes de concept.

Aujourd’hui, le terme est accepté, le concept est partagé, la finalité est comprise, mais on ne sait toujours pas élaborer des kill chains dès lors que l’on fait face à un système complexe : les méthodes sont insuffisantes, voire inexistantes, les bases de connaissances existent mais sont difficiles à exploiter.

CONIX ne propose pas une réponse directe à ce déficit de méthode, mais développe une réflexion sur ce sujet que nous vous proposons de développer en 3 parties :

  • On expose les problématiques et on identifie les manques dans ce 1er volet : préalables à la constitution des kill chains.
  • L’utilisation des bases de connaissances sera exposée dans un 2nd volet
  • Et dans le 3ème et dernier volet, nous parlerons méthode – comment élaborer efficacement des kill chains.

CONIX_Kill_Chain_1

Les problématiques à résoudre…

On expose en premier lieu les difficultés rencontrées dans l’élaboration des kill chains (croyez-moi, c’est un retour de terrain !) :

  • Se limiter au domaine cyber est insuffisant : en particulier, entre autres, les phases amont des kill chains relèvent souvent d’actions d’influence sur les personnes
  • Voir les étapes de la kill chain comme des objets irréductibles est une erreur : elles ont un caractère fractal, chaque étape de la kill chain peut être modélisé elle-même en kill chain!
  • Voir la kill chain comme un déroulement séquentiel est une erreur : dans le déroulement d’une attaque élaborée, on passe son temps à revenir en arrière, à repasser par une phase de reconnaissance, etc.

D’autres problématiques restent à résoudre, et elles sont nombreuses. Un exemple : l’explosion combinatoire des scénarios, tout au moins quand on systématise l’approche. On se limitera dans un premier temps de se limiter à ces premiers constats (suite dans les prochains volets !).

… et les pistes de solutions

Même si, à ce stade de la démonstration, tout reste encore à construire, on peut d’ores et déjà identifier certains axes de travail :

  • Elargir le champ aux domaines du monde physique (la matérialisation physique des objets du périmètre et leur position géographique) et anthropique (les êtres humains organisés en groupes sociaux), et non uniquement numérique.
  • Elaborer une « grammaire » des kill chains, qui doit permettre de constituer des enchaînements d’actions unitaires cohérents : la kill chain est une phrase constituée de mots associés ensemble selon des règles grammaticales
  • Construire des bases de connaissance ou intégrer les bases de connaissances existantes dans ce modèle, et en tirer des patterns (des objets complexes déjà construits destinés à faciliter leur utilisation)

Retrouvez ces problématiques et axes de travail dans le support de présentation joint, où ils sont identifiés et explicités. Leur mise en application sera l’objet des autres volets de la saga « Les kill chains, tout le monde en parle… mais personne n’en fait ».