Comment fonctionne une cyberattaque : les étapes clés expliquées simplement

Une cyberattaque ne survient pas soudainement. Elle se construit par petites touches, étape après étape, souvent pendant des jours ou des semaines. À chaque phase, l’attaquant teste, observe, progresse… et laisse des traces. La bonne nouvelle, c’est que vous pouvez aussi intervenir à chaque étape pour l’arrêter, même si vous êtes une PME sans centre opérationnel de sécurité ni équipe dédiée.

En comprenant la kill chain, c’est-à-dire la chaîne d’une cyberattaque, vous disposez d’une carte de lecture simple pour savoir où vous en êtes dans l’attaque, quels signaux surveiller et quelles actions mener. Avec quelques bonnes pratiques, des réflexes clairs et quelques outils bien choisis, vous pouvez transformer une situation potentiellement catastrophique en incident maîtrisé.

Comprendre la kill chain : la chaîne d’une cyberattaque expliquée simplement

Quand on parle de kill chain en cybersécurité, on désigne un modèle qui découpe une cyberattaque en plusieurs étapes successives. Le terme vient à l’origine du domaine militaire, où l’on décrivait déjà les différentes phases d’une opération offensive. En cybersécurité, il a été popularisé par un modèle proposé par Lockheed Martin pour mieux comprendre et contrer les attaques ciblées.

La kill chain, que l’on appelle aussi chaîne d’attaque ou chaîne d’intrusion, n’est pas un outil réservé aux experts. C’est simplement une façon de se rappeler qu’une attaque n’est pas un bloc unique : elle progresse par étapes. Cette approche rejoint des cadres plus complets comme MITRE ATT&CK, qui catalogue les techniques utilisées par les attaquants, mais avec un angle plus pédagogique et plus facile à appréhender pour une entreprise.

La compréhension des étapes d’une cyberattaque change profondément la manière dont une entreprise se défend. Au lieu d’attendre un signal final spectaculaire comme un écran de ransomware, vous apprenez à repérer des signes faibles bien plus tôt. Cela permet de détecter plus précocement, de placer les protections au bon endroit et de mieux organiser la réaction en cas d’incident.

Pour une PME, les effets sont très concrets. Si vous savez que la plupart des attaques commencent par du phishing ou par l’exploitation d’un accès exposé, vous comprenez immédiatement que sécuriser la messagerie et les accès distants fait partie des premières priorités. Vous pouvez aussi bâtir des procédures de réponse adaptées à chaque phase, plutôt que de tout découvrir dans la panique le jour où un serveur critique est chiffré.

La kill chain, le cadre MITRE ATT&CK et la notion d’APT se complètent plutôt qu’ils ne s’opposent. MITRE ATT&CK est une boîte à outils technique des techniques d’attaque. Une APT (Advanced Persistent Threat) désigne un type d’attaquant particulièrement discret, persistant et bien organisé. La kill chain, elle, fournit un fil conducteur chronologique qui permet de raconter l’histoire de l’attaque. Vous pouvez imaginer MITRE ATT&CK comme l’inventaire des outils de l’attaquant, l’APT comme le profil de certains attaquants avancés, et la kill chain comme le scénario global qui relie tout cela.

Vue d’ensemble : les grandes étapes d’une cyberattaque moderne

Quand on observe une cyberattaque moderne, on retrouve presque toujours les mêmes grandes étapes, même si les détails varient. L’attaquant commence par se renseigner sur vous, puis cherche un moyen d’entrer, installe des outils pour rester, se déplace dans votre réseau, communique avec ses serveurs externes, puis termine par voler des données ou perturber fortement votre activité.

Les étapes classiques de cette chaîne d’attaque sont les suivantes : d’abord la reconnaissance, où l’attaquant collecte des informations sur votre entreprise, vos systèmes, vos employés. Ensuite vient l’intrusion initiale, le moment précis où il obtient un premier accès, par exemple via un email piégé ou un mot de passe volé. Puis arrive l’installation et la persistance, où il installe des logiciels malveillants ou crée des comptes cachés pour rester dans le temps. L’attaque se poursuit avec les mouvements latéraux, c’est-à-dire le passage d’une machine à l’autre à l’intérieur de votre réseau. Ensuite, l’attaquant met en place ou utilise un canal de commande et contrôle (C2) pour piloter ses actions à distance. Enfin, la dernière étape est celle de l’exfiltration de données ou de l’impact visible, par exemple un chiffrement de masse via un ransomware ou un sabotage.

Pour représenter ce cycle, considérez une progression chronologique où chaque étape prépare la suivante : collecte d’informations, entrée initiale, ancrage, expansion dans l’environnement, communication avec l’extérieur et action finale (exfiltration ou impact). À chaque phase, des signaux différents peuvent apparaître et être surveillés pour interrompre la progression.

À chaque étape de cette ligne de temps, vous avez encore la possibilité de stopper l’attaque. Si vous bloquez déjà à la reconnaissance, l’attaquant aura plus de mal à trouver une porte d’entrée. Si vous l’arrêtez à l’intrusion, il ne progressera pas davantage. Même si vous ne détectez qu’à la phase de mouvement latéral ou de commande et contrôle, il est souvent encore possible de limiter les dégâts. Cette vision globale permet de ne pas céder au fatalisme : une seule étape réussie par la défense peut suffire à éviter un incident majeur.

Étape 1 : Reconnaissance – comment les attaquants préparent le terrain

Avant d’attaquer, un cybercriminel commence par la reconnaissance, c’est-à-dire la collecte d’informations sur votre organisation. Cette reconnaissance peut être passive ou active.

La reconnaissance passive consiste à observer sans interagir directement avec vos systèmes. Par exemple, un attaquant peut consulter votre site internet, vos offres d’emploi, les profils LinkedIn de vos employés, ou encore des documents publics qui révèlent les technologies utilisées ou la structure de votre réseau.

La reconnaissance active, à l’inverse, implique une interaction directe avec vos systèmes. L’attaquant peut par exemple scanner les ports de votre serveur pour voir quels services sont ouverts, tester des formulaires de connexion ou envoyer de petites requêtes techniques pour identifier la version de vos logiciels. Un scan de ports consiste à envoyer de nombreuses petites demandes à un serveur pour savoir quelles portes numériques sont ouvertes ou fermées.

Pendant cette phase, certains signaux d’alerte peuvent déjà apparaître si vous les surveillez. Vous pouvez par exemple observer des scans réseau inhabituels dans les journaux de votre pare-feu : tentatives répétées de connexion sur de nombreux ports, hausse soudaine de trafic sur des ports rarement utilisés, activités étranges sur un VPN ou un portail web exposé. Une activité anormale de connexions échouées ou de requêtes bizarres peut traduire une reconnaissance hostile.

Pour réduire rapidement la surface d’attaque (tout ce qui est visible et exploitable par un attaquant), quelques mesures simples sont très efficaces. Limitez l’exposition des services : ne laissez accessibles depuis internet que ce qui est strictement nécessaire, et placez le reste derrière un VPN ou des accès restreints. Désactivez systématiquement les comptes inutilisés et les ports réseau qui ne servent pas. Enfin, durcissez les mots de passe et les accès externes, en imposant des mots de passe longs et uniques, idéalement associés à une authentification multifacteur pour les accès distants.

Pour aller plus loin, vous pouvez mettre en place un monitoring plus poussé et des règles de détection spécifiques à la reconnaissance. Un système de journalisation centralisée ou un outil SIEM (Security Information and Event Management) peut par exemple alerter en cas de multiples tentatives de connexion échouées depuis une même adresse IP ou en cas d’augmentation soudaine des scans de ports. Les journaux de pare-feu, d’IDS (systèmes de détection d’intrusion) ou de proxy web sont particulièrement utiles à examiner, même de façon simple, pour voir si votre surface exposée attire une activité anormale.

Étape 2 : Intrusion initiale – le moment où l’attaquant entre

Lorsque l’attaquant réussit à entrer pour la première fois dans votre système, on parle d’intrusion initiale. Les vecteurs d’intrusion, c’est-à-dire les chemins empruntés pour cette entrée, sont assez bien connus.

Le plus courant reste le phishing : ces emails piégés qui poussent un utilisateur à cliquer sur un lien malveillant, ouvrir une pièce jointe infectée ou saisir ses identifiants sur une fausse page. Un autre vecteur fréquent est l’exploitation d’une vulnérabilité, c’est-à-dire une faille de sécurité dans un logiciel non mis à jour, par exemple sur un serveur web ou un VPN.

Les accès exposés comme le protocole RDP (Remote Desktop Protocol) sont aussi très visés. Un attaquant peut tenter de deviner ou de tester massivement des mots de passe pour prendre le contrôle d’une machine accessible à distance. Enfin, des identifiants volés lors d’une fuite de données, achetés sur un marché clandestin ou récupérés via des malwares, peuvent permettre une entrée sans alerte apparente si vous n’avez pas de protections complémentaires.

Vous pouvez repérer des signes d’intrusion sans être expert technique, à condition de savoir quoi observer. Des connexions anormales, par exemple depuis un pays où vous n’avez aucun client ni collaborateur, doivent alerter. Des avertissements de votre antivirus ou de votre solution EDR (Endpoint Detection and Response) signalant un comportement suspect sur un poste doivent être pris au sérieux, même si l’outil annonce avoir bloqué quelque chose. L’apparition de nouveaux exécutables inconnus sur des postes ou des serveurs peut être un signal. De même, la création de comptes suspects comme Admin2 ou TestAdmin est souvent un indice d’activité malveillante.

Pour limiter les intrusions, trois mesures simples offrent déjà une barrière très efficace : activer le MFA sur les accès critiques (messagerie, VPN, outils de gestion), mettre en place un processus régulier de mises à jour de sécurité (patch management) et renforcer le filtrage des emails ainsi que la sensibilisation au phishing. Le marquage clair des expéditeurs externes et le blocage des pièces jointes les plus risquées réduisent considérablement les risques de clic malheureux.

En complément, des pratiques plus avancées renforcent encore la protection. La journalisation fine des authentifications, par exemple dans les journaux du contrôle de domaine ou les logs cloud, permet de détecter des connexions inhabituelles. Vous pouvez configurer des alertes sur les connexions depuis des pays où vous n’opérez pas, sur les tentatives répétées de connexion ratées, ou sur des connexions en dehors des horaires habituels. Des politiques de verrouillage automatique des comptes après plusieurs échecs compliquent la tâche des attaquants qui testent massivement des mots de passe.

Étape 3 : Installation & persistance – comment l’attaquant s’ancre dans le système

Une fois à l’intérieur, l’attaquant cherche à s’installer durablement. On parle alors de persistance. Elle désigne l’ensemble des techniques qui lui permettent de garder un accès, même si vous redémarrez les machines ou que vous changez certains mots de passe. Une backdoor (porte dérobée) est un mécanisme secret qui permet de revenir facilement dans le système, par exemple un service caché ou un compte inconnu des administrateurs. L’élévation de privilèges correspond au moment où l’attaquant passe d’un compte simple utilisateur à un compte administrateur, ce qui lui donne beaucoup plus de pouvoir.

Pour devenir persistant, l’attaquant peut créer des comptes cachés, ajouter son malware aux programmes qui se lancent au démarrage, modifier des tâches planifiées ou changer des réglages système comme certaines clés de registre dans Windows. Ces techniques lui permettent de revenir discrètement même après un redémarrage ou après une intervention partielle de l’équipe informatique.

Des indicateurs de persistance peuvent être recherchés régulièrement. L’apparition de nouveaux services au démarrage de Windows qui ne font pas partie de votre configuration habituelle doit être examinée. Des tâches planifiées inconnues, qui exécutent des scripts ou des programmes sans justification apparente, sont suspectes. Sur Windows, certaines clés de registre permettent de lancer un programme automatiquement à chaque ouverture de session : leur modification inexpliquée est un signal d’alerte. Surveillez aussi la création de comptes administrateurs inattendus, en particulier avec des noms génériques comme admin1 ou supportlocal.

Pour limiter la persistance, trois mesures immédiates sont très efficaces. L’application stricte du principe de moindre privilège (donner à chacun uniquement les droits nécessaires à son travail) complique grandement les élévations de privilèges. Une revue régulière des comptes et des droits (par exemple une fois par trimestre) permet de détecter des comptes oubliés, des droits trop larges ou des comptes techniques devenus inutiles. Enfin, le blocage des installations non autorisées, via des politiques qui empêchent les utilisateurs d’installer eux-mêmes des logiciels, réduit fortement la capacité d’un attaquant à déployer ses outils.

Pour les organisations prêtes à aller plus loin, les contrôles avancés jouent un rôle clé. Un EDR bien configuré permet de détecter des comportements typiques de persistance, comme l’ajout d’un programme au démarrage ou la création de tâches planifiées suspectes. La mise en place de listes d’applications autorisées (whitelisting applicatif) limite l’exécution aux seuls programmes connus et validés, ce qui bloque de nombreux malwares. Enfin, l’exploitation des journaux système (Windows Event Logs, logs syslog sur Linux, etc.) permet de repérer des modifications anormales et de remonter le fil d’une attaque avec plus de précision.

Étape 4 : Mouvements latéraux – quand l’attaque se propage dans votre réseau

Lorsque l’attaquant cherche à étendre son contrôle, il engage des mouvements latéraux. Le mouvement latéral correspond au passage d’une machine à une autre à l’intérieur de votre réseau. Le pivoting (pivot) consiste à utiliser une première machine compromise comme point de rebond pour attaquer d’autres machines, souvent moins exposées, comme un serveur de fichiers interne ou un contrôleur de domaine.

Pendant cette phase, l’attaquant utilise souvent des comptes compromis pour se connecter à d’autres systèmes. Il peut aussi détourner des outils d’administration légitimes (solutions de prise en main à distance, scripts d’administration, PowerShell, PSExec, RDP interne, etc.) afin de passer sous les radars. L’objectif est d’atteindre des ressources sensibles, comme les serveurs contenant des données critiques ou les systèmes de sauvegarde.

Vous pouvez repérer des mouvements latéraux en observant les connexions internes. Des connexions inhabituelles entre des postes utilisateurs qui n’ont généralement aucune raison d’échanger directement entre eux sont un signe à surveiller. L’usage anormal d’outils d’administration, surtout en dehors des horaires habituels ou depuis des postes utilisateurs, doit éveiller les soupçons. Une augmentation du trafic est-ouest (entre machines internes) sur des ports non courants peut trahir une exploration du réseau par l’attaquant.

Pour limiter les mouvements latéraux, trois actions simples sont à la portée d’une PME. Mettre en place une segmentation réseau basique, en séparant par exemple les serveurs des postes utilisateurs dans des zones logiques différentes, limite la propagation directe. Réduire au strict minimum le nombre de comptes à privilèges, notamment ceux qui fonctionnent sur plusieurs machines, réduit les opportunités d’escalade. Enfin, interdire ou limiter fortement les partages de dossiers ouverts à tous évite qu’un attaquant puisse se déplacer facilement en profitant de ces partages permissifs.

Pour les organisations plus avancées, une segmentation plus fine renforce encore la défense. La création de VLAN (réseaux locaux virtuels) et la mise en place de listes de contrôle d’accès (ACL) permettent de contrôler plus précisément quelles machines peuvent parler à quelles autres. La surveillance des connexions entre segments, avec des alertes dès qu’une machine tente d’accéder à un segment où elle n’a pas l’habitude d’aller, offre une meilleure visibilité sur les mouvements latéraux. Des alertes spécifiques sur l’utilisation de comptes à privilèges (par exemple lorsqu’ils se connectent à plusieurs machines en peu de temps) peuvent aussi signaler une compromission en cours.

Étape 5 : Commande & contrôle (C2) – le lien entre l’attaquant et vos systèmes

Pour piloter l’attaque à distance, l’attaquant a besoin d’un lien avec les machines compromises. Ce lien passe par des serveurs dits de commande et contrôle (C2 pour Command and Control). Concrètement, le malware installé dans votre système va contacter régulièrement un serveur externe pour recevoir des instructions ou envoyer des informations.

Les communications de C2 peuvent emprunter différents canaux. Certains malwares utilisent le protocole HTTP ou HTTPS, les mêmes que la navigation web, pour ressembler à du trafic normal. D’autres passent par des requêtes DNS, qui servent normalement à traduire les noms de domaine en adresses IP, en les détournant pour transporter des données. D’autres encore utilisent des services de messagerie, des plateformes cloud ou des protocoles chiffrés moins courants pour dissimuler leurs échanges.

Des signes de présence d’un C2 peuvent être identifiés dans le trafic réseau. Vous pouvez observer des connexions régulières vers des domaines inconnus ou très récents, parfois à intervalles précis : c’est le beaconing (petits signaux envoyés régulièrement par un malware à son serveur de contrôle). Un trafic chiffré inhabituel vers l’extérieur, surtout s’il ne correspond pas à des usages métiers identifiés, est également suspect. Des pics de trafic sortant à des horaires atypiques (nuit, week-end) doivent être examinés de plus près.

Pour limiter rapidement les C2, trois mesures sont particulièrement utiles. Un filtrage DNS de base permet de bloquer l’accès à certains domaines connus comme malveillants. Le blocage des domaines très récents ou au format atypique (avec beaucoup de caractères aléatoires) réduit les chances qu’un malware puisse contacter son serveur. La mise en place de politiques simples sur le proxy (serveur intermédiaire pour l’accès web) permet de restreindre les ports autorisés et de mieux tracer qui accède à quoi.

Pour des moyens plus avancés, les outils de détection réseau jouent un rôle central. Un IDS/IPS (système de détection ou de prévention d’intrusion) peut analyser le trafic et détecter des signatures d’attaques ou des comportements anormaux. Une solution NDR (Network Detection and Response) va plus loin en analysant de manière plus intelligente les flux réseau. L’utilisation de listes de réputation référençant les adresses IP et domaines malveillants connus permet de bloquer rapidement des communications suspectes. Vous pouvez par exemple définir des règles qui déclenchent une alerte en cas de connexions très fréquentes et de faible volume vers une même IP inconnue, typiques du beaconing d’un C2.

Étape 6 : Exfiltration & impact – vol de données, chiffrement, sabotage

À la dernière étape, l’attaquant cherche soit à extraire des données, soit à provoquer un impact direct comme le chiffrement de vos fichiers. L’exfiltration de données désigne le fait de faire sortir de votre organisation des informations sensibles (bases clients, documents stratégiques, données personnelles, secrets industriels). Pour cela, l’attaquant peut utiliser des transferts FTP ou HTTP vers un serveur distant, envoyer les données vers un stockage cloud non autorisé (compte personnel, service non validé), ou encore les transférer par email ou via des canaux chiffrés.

Dans de nombreux cas récents, l’attaque se manifeste par un ransomware ou par du sabotage. Un ransomware chiffre massivement vos fichiers et systèmes, les rendant inutilisables sans une clé de déchiffrement. L’attaquant demande ensuite une rançon en échange de cette clé. Le sabotage peut prendre d’autres formes : destruction de données, effacement de sauvegardes, modification de fichiers critiques pour perturber la production.

Même à ce stade, certains signes peuvent vous permettre de réagir à temps pour limiter les dégâts. Un trafic sortant massif inhabituel, surtout vers une destination unique ou inconnue, est un signal fort d’exfiltration. L’apparition soudaine de fichiers renommés avec des extensions étranges, ou l’impossibilité d’ouvrir vos documents, suggère un chiffrement en cours. Des alertes de stockage (disques qui se remplissent très vite, sauvegardes qui échouent) peuvent révéler des opérations malveillantes. Des ralentissements soudains et généralisés sur le réseau ou certains serveurs sont aussi fréquents dans les derniers moments d’une attaque.

Pour limiter l’impact final, trois mesures immédiates sont cruciales. La mise en place de sauvegardes régulières hors ligne (offline), c’est-à-dire déconnectées du réseau lorsqu’elles ne sont pas en cours, est votre meilleure assurance contre un ransomware. La limitation des droits d’écriture sur les données critiques (éviter que tous les utilisateurs aient un accès complet à tous les dossiers) réduit la surface que le ransomware pourra chiffrer. Enfin, la définition de procédures claires de coupure rapide (isoler certains segments du réseau, couper certains accès distants) aide à réagir vite si vous détectez un comportement anormal.

Pour compléter ces mesures, des actions plus avancées peuvent être mises en place. Les solutions DLP (Data Loss Prevention) surveillent les flux de données sensibles et peuvent bloquer ou alerter en cas de tentative d’exfiltration. La surveillance des volumes de données transférés vers l’extérieur, par utilisateur, application ou destination, permet de repérer des anomalies. En cas d’incident avéré, les premières actions forensic (analyse des preuves numériques) consistent à conserver les journaux et les images disques, afin de comprendre ce qui s’est passé et, si nécessaire, collaborer avec des experts ou des autorités.

Outils de défense : que choisir à chaque étape de la kill chain ?

Pour se défendre efficacement le long de la kill chain, il est utile de connaître les rôles respectifs des principaux outils de sécurité. L’antivirus classique est souvent le plus connu : il détecte surtout des signatures de programmes malveillants déjà répertoriés. L’EDR (Endpoint Detection and Response) va plus loin en surveillant les comportements sur les postes et serveurs, pas seulement les fichiers. L’XDR (Extended Detection and Response) élargit encore le champ en corrélant des informations provenant des postes, du réseau, du cloud et d’autres sources.

Chacun de ces outils voit une partie de la réalité et en ignore d’autres. L’antivirus pourra bloquer un virus connu, mais passera à côté d’un comportement anormal qui n’a pas encore de signature. L’EDR pourra détecter un script suspect qui tente de modifier le démarrage du système, même si le fichier lui-même n’est pas encore identifié comme malveillant. L’XDR, en croisant plusieurs indices, peut voir qu’un poste envoie soudain du trafic inhabituel tout en créant un nouveau compte administrateur.

D’autres briques complètent ce dispositif : SIEM, IDS, IPS, NDR. Un SIEM centralise et corrèle les journaux de nombreux systèmes (pare-feu, serveurs, applications, annuaire, etc.) pour identifier des schémas d’attaque qui ne seraient pas visibles sur un seul appareil. Un IDS/IPS analyse le trafic réseau à la recherche de signatures ou comportements suspects, et peut, pour l’IPS, bloquer certains flux. Le NDR se spécialise dans la détection et la réponse sur le réseau, avec des capacités avancées pour repérer reconnaissance, C2, mouvements latéraux ou exfiltration.

Des protections plus structurelles agissent dès la conception de votre environnement. L’authentification multifacteur réduit drastiquement le risque lié au vol de mots de passe. La gestion des identités et des accès (IAM, Identity and Access Management) encadre qui a accès à quoi et avec quels droits. La segmentation réseau, enfin, empêche une compromission locale de se transformer trop facilement en incident global.

En associant ces outils à la kill chain, vous pouvez construire une sorte de tableau mental :

– Sur la reconnaissance, un pare-feu correctement configuré et un IDS réseau sont vos premières lignes.
– Sur l’intrusion initiale, les filtres de messagerie, l’antivirus, l’EDR et le MFA jouent un rôle clé.
– Sur l’installation/persistance, l’EDR, les politiques de contrôle des applications et l’IAM sont essentiels.
– Sur les mouvements latéraux, la segmentation, les journaux d’authentification et le SIEM deviennent précieux.
– Sur le C2, le DNS filtrant, le proxy, l’IDS et le NDR sont vos meilleurs alliés.
– Enfin, sur l’exfiltration/impact, les DLP, les sauvegardes et la supervision réseau complètent votre arsenal.

Signaux d’alerte concrets : ce que vous pouvez voir sans être un expert

Même sans outils sophistiqués, un certain nombre de signaux précurseurs peuvent être observés par les utilisateurs eux-mêmes. Des fenêtres pop-up anormales, des messages d’erreur répétés, des demandes de mots de passe inattendues ou récurrentes sont autant de signaux à ne pas ignorer. Des lenteurs soudaines sur un poste, des applications qui se ferment toutes seules ou se comportent de façon étrange peuvent aussi indiquer une activité malveillante. La réception d’emails suspects, avec des liens urgents ou des pièces jointes inattendues, est également un signe précoce à prendre au sérieux.

Du côté de l’infrastructure, certains indicateurs sont accessibles même sans être administrateur chevronné. Les journaux de connexion, les messages d’échec répétés pour certains comptes, des comptes verrouillés anormalement souvent donnent des indices. Des disques serveurs qui se remplissent soudainement ou des sauvegardes qui échouent sont aussi des alertes. Un trafic sortant anormal, dès lors que vous disposez d’un minimum de supervision réseau, doit attirer l’attention, surtout si vous ne pouvez pas l’expliquer par une activité métier identifiée.

Pour aider une PME à suivre ces éléments, une mini checklist de surveillance quotidienne peut être mise en place : vérifier chaque jour les alertes de l’antivirus et de l’EDR, même si elles semblent mineures ; jeter un œil régulier sur les comptes récemment créés ou modifiés dans l’annuaire ou sur les principales applications ; vérifier rapidement l’état des sauvegardes ; disposer d’un simple tableau de bord regroupant les échecs de connexion, quelques logs de pare-feu et l’occupation des disques.

Checklists de prévention : 3 actions immédiates par étape de la kill chain

Pour passer de la théorie à l’action, il est utile d’avoir en tête quelques gestes simples par étape de la kill chain.

Sur la reconnaissance, réduire ce que l’attaquant peut voir passe par :

– un inventaire des services exposés à internet (quels ports, quelles applications, où ?) ;
– la désactivation des services inutiles ;
– le renforcement des mots de passe sur les comptes exposés (VPN, interfaces d’administration, etc.).

Sur l’intrusion, durcir les portes d’entrée repose d’abord sur le MFA pour les comptes critiques. Puis sur l’application rapide des mises à jour de sécurité critiques, notamment sur les systèmes exposés au web. Enfin, sur la mise en place d’au minimum un filtre anti-phishing de base sur la messagerie, avec blocage des pièces jointes les plus dangereuses et marquage clair des emails externes.

Sur la persistance et les mouvements latéraux, limiter la circulation interne commence par une revue périodique des droits utilisateurs (qui a vraiment besoin d’être admin ?). La mise en œuvre d’une segmentation minimale (par exemple séparer les serveurs des postes utilisateurs) est le deuxième point. Enfin, désactiver ou supprimer les comptes inactifs, par exemple ceux des anciens collaborateurs, réduit le nombre de portes que l’attaquant pourrait réactiver.

Sur le C2 et l’exfiltration, surveiller et limiter les sorties passe par un filtrage DNS et proxy, même simple. Le blocage des catégories de sites non nécessaires à l’activité et des domaines très récents limite le champ d’action des malwares. Mettre en place des quotas ou alertes sur les volumes de données sortants (par utilisateur ou application) aide à détecter une exfiltration en cours. Enfin, définir une politique d’usage du cloud (outils autorisés, règles de partage) évite qu’un compte personnel ou un service non maîtrisé devienne une porte de sortie idéale pour des données sensibles.

Playbook d’intervention simplifié pour PME : que faire si une attaque est en cours ?

Lorsqu’une attaque est suspectée ou détectée, disposer d’un plan d’action simplifié est crucial, surtout pour une PME. L’objectif n’est pas de transformer vos équipes en enquêteurs numériques, mais de structurer les premières réactions pour éviter la panique et les erreurs irréversibles.

La première étape consiste à détecter et qualifier rapidement l’incident. Il faut rassembler les éléments disponibles : quel symptôme exact, sur quels postes ou serveurs, depuis quand environ. Notez les messages d’erreur précis, prenez des captures d’écran, consignez les actions déjà tentées. Cette qualification rapide permet de distinguer un simple dysfonctionnement d’un incident potentiellement lié à une cyberattaque.

La deuxième étape est de contenir sans détruire les preuves. La réaction instinctive est souvent d’éteindre immédiatement toutes les machines, ce qui risque d’effacer des éléments précieux. Il est souvent préférable, lorsque c’est possible, d’isoler les machines suspectes du réseau (débrancher le câble, couper le Wi‑Fi) tout en les laissant allumées, le temps de collecter les informations nécessaires. L’isolement de certains segments, la coupure temporaire de certains accès distants ou services exposés peuvent aussi aider à freiner l’attaque sans détruire les traces.

La troisième étape consiste à éradiquer et restaurer progressivement. Une fois la situation stabilisée, l’objectif est de supprimer les malwares, désactiver ou supprimer les comptes compromis, retirer les mécanismes de persistance et combler les failles utilisées. Les restaurations doivent être effectuées à partir de points raisonnablement vérifiés comme sains, pour ne pas réinjecter la compromission. Chaque restauration doit être suivie d’une vérification pour s’assurer qu’aucun mécanisme de persistance ne subsiste.

La quatrième étape est de tirer les leçons et de renforcer la posture de sécurité. Il s’agit de réaliser un retour d’expérience, même simple, pour documenter ce qui s’est passé, ce qui a bien fonctionné, ce qui a manqué ou pris trop de temps. À partir de là, vous pouvez ajuster vos processus, améliorer vos sauvegardes, renforcer vos protections techniques ou planifier des actions de formation. Cette démarche continue permet, incident après incident, de rendre votre organisation plus résiliente.

Cas pratiques : deux scénarios de cyberattaque décortiqués

Pour rendre la kill chain plus concrète, suivons une attaque fictive mais réaliste de bout en bout.

Imaginons une PME qui reçoit un email de phishing bien conçu. Un collaborateur clique sur une pièce jointe qui se présente comme un document de livraison important. L’intrusion initiale se produit lorsque la pièce jointe exécute un code malveillant, qui contourne l’antivirus de base installé sur le poste.

Dans les minutes qui suivent, le malware installe un outil de persistance en se lançant au démarrage, et récupère les identifiants de l’utilisateur. Il se déplace ensuite latéralement vers le serveur de fichiers, en utilisant un partage réseau auquel l’utilisateur a accès. L’attaquant, via un serveur C2, commande alors le déploiement d’un ransomware sur plusieurs machines clés. En quelques heures, les fichiers des serveurs partagés sont chiffrés et un message de demande de rançon s’affiche.

À chaque étape, des signaux auraient pu être repérés :

– L’email de phishing contenait des fautes et une adresse d’expéditeur légèrement différente de celle d’un vrai fournisseur.
– L’intrusion aurait pu être stoppée par un filtre anti-phishing plus strict ou par une sensibilisation des utilisateurs.
– L’installation et la persistance auraient pu être détectées par un EDR voyant un nouveau programme se lancer au démarrage.
– Les mouvements latéraux auraient pu être limités par une segmentation et des droits plus restreints sur les partages.
– L’impact final aurait été considérablement réduit grâce à des sauvegardes hors ligne récentes.

Un autre scénario illustre une attaque plus lente, typique d’une APT dans une PME. Un attaquant repère sur internet qu’un serveur VPN de l’entreprise utilise une version vulnérable d’un logiciel connu. Il exploite cette faiblesse pour obtenir un accès discret. Plutôt que de se précipiter, il reste en reconnaissance interne pendant plusieurs semaines, cartographiant le réseau, identifiant les serveurs sensibles et récupérant progressivement des identifiants plus puissants.

Les mouvements latéraux sont très discrets, avec une utilisation sporadique de comptes d’administration à des horaires variés. L’attaquant exfiltre ensuite les données petit à petit, par petits volumes, vers un stockage cloud qu’il contrôle, pour ne pas déclencher d’alertes volumétriques. Au bout de plusieurs mois, il dispose d’une copie complète de certaines bases clients et documents stratégiques.

Dans ce scénario, plusieurs points de détection auraient été possibles :

– Le serveur VPN vulnérable aurait pu être identifié et corrigé par une politique de mises à jour régulières.
– Des connexions administrateur en dehors des plages habituelles auraient pu déclencher des alertes.
– L’analyse des journaux réseau aurait mis en évidence un trafic régulier, même modeste, vers un fournisseur de cloud non utilisé dans le cadre des activités de l’entreprise.
– Une attention plus poussée aux logs aurait révélé une répétition de petits transferts sortants anormaux.

Là encore, la kill chain permet de se demander à chaque étape : qu’aurions-nous pu voir et que pouvons-nous mettre en place pour la prochaine fois ?

Gouvernance, sensibilisation et culture de sécurité autour de la kill chain

La technique seule ne suffit pas pour se défendre efficacement le long de la kill chain. La gouvernance et la culture de sécurité jouent un rôle essentiel, même dans une PME. La direction doit reconnaître que la cybersécurité n’est pas uniquement une question informatique, mais un risque d’entreprise. Le CISO, lorsqu’il existe, ou à défaut un référent sécurité, doit coordonner les actions, définir les priorités et s’assurer que les responsabilités sont claires.

Les référents sécurité peuvent être des personnes au sein de l’IT ou des métiers, formées pour relayer les bonnes pratiques et remonter les signaux faibles. Ce maillage humain est précieux pour faire vivre la compréhension de la kill chain dans toute l’organisation. Sans ce relais, les outils restent sous-exploités et les procédures dorment dans des dossiers.

La sensibilisation des employés est un levier puissant pour casser plusieurs maillons de la chaîne d’attaque. Lorsqu’un collaborateur sait reconnaître un email de phishing, il peut empêcher l’intrusion initiale. Lorsqu’il comprend l’importance de ne pas partager ses mots de passe et d’utiliser un gestionnaire de mots de passe, il réduit les risques de compromission d’identifiants. Lorsqu’il sait qui alerter en cas de comportement suspect sur son poste, il contribue à une détection plus rapide.

L’intégration de la kill chain dans les politiques internes et les plans de continuité renforce la cohérence de l’ensemble. Les chartes informatiques, les procédures de gestion des incidents et les plans de reprise d’activité peuvent être structurés autour des différentes étapes de l’attaque. Par exemple, les procédures d’escalade peuvent prévoir des réactions spécifiques si un indicateur de mouvement latéral est repéré, ou si une exfiltration est suspectée. De cette manière, la kill chain n’est pas seulement un concept théorique, mais un outil concret qui guide les décisions et les priorités.

Conclusion

Voir une cyberattaque à travers la kill chain, c’est accepter qu’il ne s’agit pas d’un éclair imprévisible, mais d’un enchaînement de phases où l’attaquant avance pas à pas. Cette grille de lecture vous permet de comprendre les grandes étapes – de la reconnaissance au vol de données ou au ransomware – de repérer les signaux d’alerte et de positionner vos défenses plus intelligemment.

Même une PME sans équipe SOC peut, grâce à cette approche, détecter plus tôt, bloquer la progression de l’attaque et limiter fortement l’impact. Il suffit souvent de renforcer quelques points clés comme le MFA, les mises à jour, la segmentation minimale, les sauvegardes hors ligne et la sensibilisation au phishing pour casser un ou plusieurs maillons de la chaîne.

L’essentiel à retenir est qu’il n’est pas nécessaire de tout faire parfaitement pour être mieux protégé. Interrompre l’attaque à une seule étape – intrusion, persistance ou mouvements latéraux – suffit souvent à éviter l’incident majeur. Vous pouvez avancer progressivement vers des mesures plus avancées, en commençant par les quick wins les plus adaptés à votre organisation. L’important est de ne pas rester immobile, et de faire de la kill chain un cadre simple qui guide vos décisions au quotidien.

FAQ

Quelles sont les étapes d’une cyberattaque (kill chain) ?

Une cyberattaque suit généralement plusieurs phases successives : reconnaissance, intrusion initiale, installation et persistance, mouvements latéraux, commande et contrôle, puis exfiltration ou impact (vol de données, ransomware, sabotage, etc.).

Quelle est la différence entre reconnaissance et intrusion ?

La reconnaissance correspond à l’observation et à la collecte d’informations, sans entrer réellement dans votre système. L’intrusion est le moment où l’attaquant obtient un accès effectif à un compte, un poste ou un serveur, par exemple en réussissant à se connecter ou à exécuter un code sur votre infrastructure.

Quels sont les premiers signes d’une cyberattaque en cours ?

Les premiers signes sont souvent discrets : tentatives de connexion inhabituelles ou répétées, alertes antivirus ou EDR, ralentissements soudains, fenêtres ou messages inattendus sur les postes, emails suspects ou trafic réseau sortant anormal.

Quelles 3 mesures simples puis-je appliquer aujourd’hui pour réduire le risque ?

Vous pouvez :

– activer l’authentification multifacteur sur les comptes critiques ;
– appliquer rapidement les mises à jour de sécurité importantes ;
– renforcer le filtrage des emails et la sensibilisation au phishing auprès de vos collaborateurs.

Que faire en priorité si je découvre une intrusion ?

Isoler rapidement les systèmes concernés du réseau (sans forcément les éteindre), conserver les preuves disponibles (journaux, captures d’écran, configurations), puis engager une démarche structurée : analyse pour comprendre l’attaque, éradication des malwares et des accès compromis, restauration à partir de sauvegardes saines, et retour d’expérience pour éviter que cela ne se reproduise.