Retour aux guides CTI
FRAMEWORKS D'ANALYSE

Modèles CTI

Découvrez les frameworks et modèles essentiels pour structurer, analyser et communiquer efficacement les informations de Threat Intelligence.

4 frameworks majeursStandards industrielsGuides détaillés
Cas pratiques
Frameworks d'analyse

Les 4 modèles incontournables

Chaque modèle apporte une perspective unique pour comprendre, analyser et communiquer efficacement sur les menaces cybernétiques.

Modèle 1/4

Diamond Model

Framework d'analyse structurant les menaces autour de 4 composants interconnectés pour une compréhension holistique des cyberattaques

Le Diamond Model, développé par Sergio Caltagirone, Andrew Pendergast et Christopher Betz, offre une structure analytique permettant de comprendre les relations entre les différents éléments d'une cyberattaque.

Composants Principaux

Adversaire

L'acteur malveillant derrière l'attaque

Groupe APT, hacktiviste, cybercriminel ou État-nation

Infrastructure

Ressources techniques utilisées

Serveurs C2, domaines, adresses IP, services cloud

Capacité

Outils, techniques et tactiques

Malwares, exploits, scripts, méthodes d'ingénierie sociale

Victime

Cible de l'attaque

Organisation, secteur, individus, actifs ciblés

Méta-caractéristiques

Timestamp:Temporalité des événements
Phase:Étape dans la kill chain
Result:Succès ou échec de l'action
Direction:Flux de l'attaque (infrastructure→victime)
Methodology:Approche technique utilisée
Resources:Moyens mobilisés

Cas d'usage

  • Corrélation d'incidents de sécurité
  • Attribution d'attaques à des groupes APT
  • Identification de campagnes coordonnées
  • Priorisation des menaces

Avantages

  • Structure claire et reproductible
  • Facilite l'analyse pivot
  • Améliore la communication entre équipes
  • Permet l'enrichissement contextuel
Modèle 2/4

Cyber Kill Chain

Modèle séquentiel en 7 phases décrivant le cycle de vie complet d'une cyberattaque, de la reconnaissance initiale aux objectifs finaux

Développé par Lockheed Martin, le Cyber Kill Chain® est inspiré du concept militaire et adapté à la cybersécurité pour comprendre et contrer les intrusions.

Les 7 phases d'attaque

1
Reconnaissance

Collecte d'informations sur la cible

Techniques:
  • OSINT
  • Scan de réseau
  • Social engineering
Défenses:
  • Monitoring des tentatives de scan
  • Honeypots
  • Limitation des informations publiques
2
Weaponization

Création du vecteur d'attaque

Techniques:
  • Malware crafting
  • Exploit packaging
  • Document piégé
Défenses:
  • Threat Intelligence
  • Analyse de malwares
  • Signatures
3
Delivery

Transmission de l'arme à la cible

Techniques:
  • Phishing
  • Drive-by download
  • USB/média physique
Défenses:
  • Email filtering
  • Web proxy
  • Endpoint protection
4
Exploitation

Exploitation de vulnérabilités

Techniques:
  • Zero-day
  • CVE connus
  • Configuration faible
Défenses:
  • Patch management
  • Vulnerability scanning
  • IPS/IDS
5
Installation

Installation de l'accès persistant

Techniques:
  • Backdoor
  • Rootkit
  • Scheduled tasks
Défenses:
  • Application whitelisting
  • Integrity monitoring
  • EDR
6
Command & Control

Établissement du canal C2

Techniques:
  • HTTP/HTTPS C2
  • DNS tunneling
  • P2P
Défenses:
  • Network segmentation
  • C2 detection
  • Firewall rules
7
Actions on Objectives

Atteinte des objectifs finaux

Techniques:
  • Exfiltration
  • Sabotage
  • Ransomware
Défenses:
  • DLP
  • Backup
  • Incident response

Avantages

  • Modèle linéaire facile à comprendre
  • Identification des points de rupture
  • Orientation défense en profondeur
  • Standard industriel reconnu

Limitations

  • Suppose une progression linéaire
  • Moins adapté aux attaques modernes non-linéaires
  • Ne couvre pas les menaces internes
  • Focalisé sur le périmètre réseau
Modèle 3/4

MITRE ATT&CK

Base de connaissances exhaustive documentant les tactiques, techniques et procédures (TTPs) réelles observées dans les cyberattaques

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est devenu le framework de référence pour comprendre les comportements des adversaires.

Enterprise

Environnements Windows, Linux, macOS, Cloud

WindowsLinuxmacOSAzure AD+6
Mobile

Menaces sur Android et iOS

AndroidiOS
ICS

Systèmes de contrôle industriel

Engineering WorkstationHuman-Machine InterfaceControl ServerField Controller/RTU/PLC

Les 14 tactiques enterprise

Initial Access
TA0001
9 techniques

Techniques pour obtenir un pied dans le système

PhishingExploit Public-Facing ApplicationValid Accounts
Execution
TA0002
13 techniques

Exécution de code malveillant

Command and Scripting InterpreterUser ExecutionScheduled Task/Job
Persistence
TA0003
19 techniques

Maintien de l'accès

Boot or Logon AutostartCreate AccountValid Accounts
Privilege Escalation
TA0004
13 techniques

Obtention de permissions élevées

Process InjectionAccess Token ManipulationExploitation for Privilege Escalation
Defense Evasion
TA0005
42 techniques

Contournement des défenses

Obfuscated Files or InformationProcess InjectionMasquerading
Credential Access
TA0006
17 techniques

Vol d'identifiants

Brute ForceCredentials from Password StoresOS Credential Dumping
Discovery
TA0007
30 techniques

Reconnaissance de l'environnement

System Information DiscoveryNetwork Service DiscoveryAccount Discovery
Lateral Movement
TA0008
9 techniques

Déplacement dans le réseau

Remote ServicesInternal SpearphishingUse Alternate Authentication Material
Collection
TA0009
17 techniques

Collecte de données ciblées

Data from Local SystemScreen CaptureClipboard Data
Command and Control
TA0011
16 techniques

Communication avec l'infrastructure C2

Application Layer ProtocolEncrypted ChannelWeb Service
Exfiltration
TA0010
9 techniques

Extraction de données

Exfiltration Over C2 ChannelExfiltration Over Alternative ProtocolTransfer Data to Cloud Account
Impact
TA0040
13 techniques

Disruption, dégradation ou destruction

Data Encrypted for ImpactService StopResource Hijacking

Cas d'usage

  • Mapping des comportements adversaires
  • Évaluation de la couverture de détection
  • Red team / Purple team exercises
  • Threat hunting structuré
  • Documentation d'incidents
  • Gap analysis sécurité

Avantages

  • Base de connaissances vivante et mise à jour
  • Langage commun pour la communauté
  • Mapping avec des groupes APT réels
  • Intégration dans de nombreux outils
  • Gratuit et open source
Modèle 4/4

STIX/TAXII

Standards OASIS pour la représentation structurée et l'échange automatisé d'informations de Threat Intelligence entre organisations

STIX (Structured Threat Information eXpression) et TAXII (Trusted Automated eXchange of Intelligence Information) forment l'épine dorsale du partage automatisé de CTI.

Objets STIX 2.1

Attack Pattern

Type de TTP utilisé par un adversaire

Spearphishing, SQL Injection
Campaign

Ensemble d'activités malveillantes coordonnées

Campagne APT29 2023
Course of Action

Action pour prévenir ou répondre

Bloquer IOC, Appliquer patch
Identity

Individu, organisation ou groupe

APT28, Lazarus Group
Indicator

Pattern pour détecter une activité suspecte

Hash de fichier, IP malveillante
Intrusion Set

Groupe de comportements et ressources

Arsenal d'un groupe APT
Malware

Logiciel malveillant

Emotet, Cobalt Strike
Observed Data

Observation brute d'un événement

Logs, trafic réseau
Report

Rapport de Threat Intelligence

Analyse de campagne
Threat Actor

Acteur malveillant

État-nation, cybercriminel
Tool

Logiciel légitime utilisé

Mimikatz, PowerShell
Vulnerability

Faiblesse exploitable

CVE-2023-12345
Collection

Dépôt de contenu STIX accessible

Service de partage
Discovery

Point d'entrée pour découvrir les services

Service de découverte
API Root

Point d'accès groupant des collections

Service d'organisation
STIX 2.1
Current
  • Format JSON
  • Relations riches
  • Extensibilité
  • Compatibilité avec ATT&CK
TAXII 2.1
Current
  • RESTful API
  • HTTPS obligatoire
  • Authentification flexible
  • Filtering avancé

Cas d'usage

  • Partage de CTI entre organisations
  • Automatisation de la collecte d'IOCs
  • Enrichissement de SIEM/SOAR
  • Communautés de partage (ISACs)
  • Threat Intelligence Platforms

Avantages

  • Standard ouvert et interopérable
  • Adoption large dans l'industrie
  • Format machine-readable (JSON)
  • Relations complexes entre objets
  • Extensibilité via custom objects
  • Intégration dans MISP, OpenCTI, etc.
Continuez votre apprentissage

Explorez les plateformes CTI

Découvrez les outils et plateformes qui implémentent ces modèles pour automatiser votre analyse de Threat Intelligence.

Découvrir les plateformesCas pratiques