Le modèle Diamond d'analyse des intrusions : guide pratique pour une gestion structurée des renseignements sur les menaces

Aperçu de la situation

Le modèle Diamond représente chaque intrusion sous la forme de quatre éléments interdépendants — l'adversaire, les capacités, l'infrastructure et la victime —, ce qui permet une analyse axée sur les relations que les cadres linéaires ne prennent pas en compte.
Sept axiomes formels et des méta-caractéristiques étendues confèrent au modèle une profondeur théorique, mais la plupart des guides les ignorent complètement, laissant ainsi les praticiens avec une compréhension incomplète.
En combinant le modèle Diamond avec la chaîne de destruction cybernétique et MITRE ATT&CK permet d'effectuer une analyse relationnelle, temporelle et comportementale au sein d'un seul flux de travail.
Le modèle Diamond étendu de Cisco Talos 2025 intègre une cinquième couche de relations pour les campagnes impliquant plusieurs acteurs, telles que les transferts de ransomware-as-a-service.
Un processus en six étapes, combinant analyse et enrichissement des données, permet de transformer un simple indicateur de compromission en une vue d'ensemble complète des menaces.

Chaque intrusion raconte une histoire — une histoire avec des acteurs, des outils, des bases opérationnelles et des cibles. Le défi pour les équipes de sécurité consiste à décrypter cette histoire suffisamment rapidement pour pouvoir agir en conséquence. Le modèle Diamond d'analyse des intrusions fournit aux analystes un vocabulaire structuré pour y parvenir. Publié pour la première fois sous forme d'article de recherche par le Defense Technical Information Center en 2013, ce cadre est devenu une pierre angulaire de la formation aux cadres de cybersécurité et un élément incontournable des certifications telles que CompTIA Security+ (SY0-701), CySA+ (CS0-003) et EC-Council CEH. Ce guide présente les quatre composantes principales du modèle, ses fondements théoriques approfondis et la manière dont les professionnels l'appliquent à des incidents réels — y compris des extensions qu'aucun concurrent ne couvre.

Qu'est-ce que le modèle Diamond d'analyse des intrusions ?

Le modèle en diamant de l'analyse des intrusions est un cadre formel qui décrit chaque incident de cyberintrusion à travers quatre éléments interdépendants — l'attaquant, les capacités, l'infrastructure et la victime — disposés en forme de diamant afin de permettre une analyse structurée des renseignements sur les menaces, axée sur les relations. Il a été présenté par Sergio Caltagirone, Andrew Pendergast et Christopher Betz dans leur article de recherche original publié en 2013 (PDF).

Le principe de base est simple. Plutôt que de traiter les intrusions comme des alertes isolées, le modèle Diamond oblige les analystes à se poser quatre questions sur chaque événement. Qui est l'adversaire ? Quels moyens a-t-il utilisés ? Quelle infrastructure a servi de support à l'opération ? Et qui ou quoi a été la victime ? C'est dans les relations entre ces quatre éléments — et non pas seulement dans les éléments eux-mêmes — que réside la puissance analytique.

Cette approche relationnelle distingue le modèle en diamant des cadres séquentiels tels que la « cyber kill chain ». Alors que la « kill chain » décrit les phases d'une attaque dans l'ordre, le modèle en diamant rend compte du réseau de connexions au sein de chaque phase. Ces deux perspectives sont importantes, c'est pourquoi la plupart des équipes de sécurité expérimentées les utilisent conjointement.

Le modèle Diamond est abordé dans les programmes de préparation à la certification CompTIA CySA+ et dans ceux de Security+, ce qui en fait une connaissance indispensable pour les analystes, quelle que soit leur étape de carrière.

Les quatre éléments fondamentaux du modèle Diamond

Chaque événement du modèle en diamant s'articule autour de quatre éléments, chacun occupant un sommet du diamant.

Adversaire. L'acteur malveillant ou le groupe responsable de l'intrusion. Il peut s'agir aussi bien d'un groupe APT connu que d'un acteur inconnu, identifié uniquement par ses schémas comportementaux. Dans de nombreux cas, le nœud « adversaire » est initialement vide et se remplit au fur et à mesure de l'analyse.
Capacités. Les outils, les techniques et les malware utilisés par l'adversaire. Cela inclut les codes d'exploitation, les portes dérobées personnalisées, les binaires « living-off-the-land » et les tactiques d'ingénierie sociale. Les capacités correspondent directement aux MITRE ATT&CK .
Infrastructure. Les ressources physiques ou logiques qui fournissent des capacités ou assurent le commandement et le contrôle. Cela englobe les serveurs C2, les noms de domaine, les adresses e-mail, les sites web compromis et cloud . L'infrastructure est souvent l'élément le plus visible et le meilleur point de départ pour mener une analyse croisée.
Victime. La cible de l'intrusion — qu'il s'agisse d'une organisation, d'un système spécifique, d'une personne ou d'un ensemble de données. L'analyse du profil des victimes aide les analystes à comprendre les schémas de ciblage et à prévoir les attaques futures.

Comprendre les relations entre les éléments et les arêtes

Les quatre éléments sont reliés par six liens, et ce sont ces relations qui confèrent au modèle en diamant toute sa puissance analytique. Le lien « adversaire-infrastructure » révèle les ressources contrôlées par un acteur. Le lien « capacité-victime » montre comment des outils spécifiques affectent des cibles spécifiques. Le lien « infrastructure-victime » met en évidence les mécanismes de diffusion.

Chaque lien est bidirectionnel, ce qui permet aux analystes de partir de n'importe quel élément connu pour découvrir des éléments inconnus. Si vous connaissez l'infrastructure (un domaine C2), vous pouvez suivre le lien « infrastructure-adversaire » pour identifier qui l'exploite, ou le lien « infrastructure-capacité » pour déterminer quels outils communiquent avec elle. Cette technique de pivotement transforme des indicateurs de compromission isolés en renseignements interconnectés.

Figure : Les quatre composantes du modèle Diamond (adversaire, capacité, infrastructure, victime), reliées par six liens bidirectionnels, constituent la base de l'analyse structurée des intrusions.

Concepts avancés : axiomes, méta-caractéristiques et enchaînement d'activités

La plupart des guides d'introduction se limitent à ces quatre caractéristiques. Ce sont les fondements théoriques plus profonds du modèle Diamond — les axiomes, les méta-caractéristiques et l'enchaînement des activités — qui en font un cadre analytique rigoureux plutôt qu'un simple schéma.

Les sept axiomes du modèle du diamant

L'article original énonce sept axiomes formels qui régissent le fonctionnement du modèle.

Axiome 1 (Axiome de l'événement). Pour chaque événement d'intrusion, un adversaire se rapproche de son objectif en utilisant une capacité de l'infrastructure contre une victime afin d'obtenir un résultat.
Axiome 2 (Ordre). Chaque événement d'intrusion s'inscrit dans une séquence ordonnée, et l'attaquant doit effectuer les étapes antérieures avant les étapes postérieures.
Axiome 3 (Directivité). Chaque capacité et chaque élément d'infrastructure a une direction, soit vers la victime (attaque), soit en provenance de l'adversaire (facilitation).
Axiome 4 (Exhaustivité). Un incident d'intrusion décrit de manière exhaustive comporte ces quatre caractéristiques, même si les analystes ne disposent parfois que d'une partie de ces informations à un moment donné.
Axiome 5 (Groupe d'adversaires). Un adversaire est un ensemble de profils d'adversaires, chacun pouvant agir sous différentes identités.
Axiome 6 (Exhaustivité des capacités). Tout adversaire dispose d'un ensemble fini de capacités, chacune nécessitant une infrastructure spécifique.
Axiome 7 (Réutilisation de l'infrastructure). L'infrastructure est partagée, réutilisée ou réaffectée d'une intrusion à l'autre, ce qui offre des possibilités de corrélation.

L'axiome n° 7 revêt une importance particulière pour les professionnels. La réutilisation des infrastructures est l'un des moyens les plus fiables de relier des événements apparemment sans rapport entre eux à un même adversaire ou à une même campagne.

Méta-caractéristiques : les axes sociopolitique et technologique

Au-delà des quatre caractéristiques fondamentales, le modèle Diamond définit des méta-caractéristiques qui apportent une dimension contextuelle supplémentaire.

L'axe sociopolitique rend compte de la relation entre l'adversaire et la victime, en décrivant des motivations telles que l'espionnage d'État, la criminalité à but lucratif ou le hacktivisme. Cet axe aide les analystes à comprendre pourquoi une menace persistante avancée cible des organisations spécifiques.

L'axe technologique relie les capacités et l'infrastructure, en décrivant la manière dont les outils techniques interagissent avec les ressources de soutien : types de protocoles, méthodes de chiffrement et canaux de communication.

Parmi les autres méta-caractéristiques figurent l'horodatage, la phase (correspondant aux étapes de la chaîne d'attaque), le résultat (succès ou échec), la direction, la méthodologie et les ressources. Ensemble, ces éléments transforment chaque événement « Diamond » en un dossier analytique complet.

Tableau : Les méta-caractéristiques du modèle Diamond enrichissent l'analyse de base en y ajoutant des dimensions contextuelles.

Méta-fonctionnalité	Définition	Exemple	Valeur analytique
Horodatage	Au moment où l'événement s'est produit	15 janvier 2026 à 03 h 42	Définit les schémas temporels et le rythme opérationnel
Phase	Étape de la chaîne d'élimination de l'événement	Mouvement latéral	Relie le modèle Diamond à l'analyse séquentielle
Résultat	Bilan de l'événement	Identifiants récupérés	Suit les progrès de l'adversaire dans la réalisation de ses objectifs
Direction	De l'adversaire à la victime ou de la victime à l'adversaire	Balise C2 entrante	Clarifie le flux de communication pour la détection
Méthodologie	Catégorie d'activité	Spear phishing	Regroupe les événements par technique opérationnelle à des fins de regroupement
Ressources	Ressources nécessaires à l'exécution	Zero-day », accès VPN	Évalue les investissements et le niveau de sophistication de l'adversaire

Enchaînement d'activités et groupes d'activités

Les événements de type « diamant » se produisent rarement de manière isolée. Le « threading » des activités relie chronologiquement les événements connexes, en s'appuyant sur les phases de la chaîne d'attaque pour les organiser en un récit cohérent. Un seul fil conducteur peut retracer le parcours depuis l'accès initial jusqu'à l'exfiltration des données, en passant par la propagation latérale — chaque étape étant représentée par un événement de type « diamant » distinct, relié aux autres par des caractéristiques communes.

Les groupes d'activités vont plus loin en regroupant plusieurs fils d'activité qui partagent des caractéristiques communes en matière d'adversaire, de capacités ou d'infrastructure. Lorsque plusieurs fils renvoient à la même infrastructure C2 ou utilisent la même porte dérobée personnalisée, les analystes peuvent les regrouper au sein d'une campagne attribuée à un seul adversaire. Cela permet d'étendre le modèle Diamond de l'analyse d'événements isolés à des renseignements portant sur l'ensemble d'une campagne.

Comparaison des cadres : le modèle Diamond, la chaîne de destruction cybernétique et MITRE ATT&CK

Le modèle Diamond ne remplace pas les autres cadres d'analyse. Il les complète. Comprendre les points forts de chaque cadre aide les analystes à choisir l'approche la mieux adaptée au problème à résoudre.

Tableau : Comparaison des trois principaux cadres de renseignements sur les menaces.

Le cadre	Focus	Force	Idéal pour
Modèle diamant	Relationnel (qui, quoi, où, contre qui)	Relier les éléments et naviguer entre les inconnues	Attribution, cartographie des campagnes, profilage des auteurs d'attaques
Chaîne d'attaque cybernétique	Temporel (phases séquentielles)	Identifier la progression des attaques et les failles dans les défenses	Reconstitution de la chronologie des événements, analyse des failles dans les mesures de sécurité
MITRE ATT&CK	Comportemental (méthodes, techniques et procédures spécifiques)	Catalogage technique détaillé avec aide à la détection	Ingénierie de détection, défense basée sur la connaissance des menaces, exercices de simulation d'attaques

MITRE ATT&CK comprend désormais 216 techniques, 475 sous-techniques et 172 groupes suivis, ce qui en fait le référentiel le plus détaillé. Mais la granularité à elle seule ne permet pas de mettre en évidence les relations. La composante « adversaire » du modèle Diamond correspond aux groupes ATT&CK, tandis que la composante « capacité » correspond aux techniques ATT&CK, créant ainsi un point d'intégration naturel.

Utiliser les trois cadres ensemble

Prenons un phishing campagne visant un établissement financier. La chaîne de destruction énumère les phases : reconnaissance, mise en service, déploiement, exploitation, installation, commandement et contrôle, actions sur les cibles. Le Modèle diamant met en évidence la structure relationnelle au sein de chaque phase : l'adversaire (groupe d'États-nations), la capacité (chargeur personnalisé), l'infrastructure (sites WordPress compromis) et la victime (service de trésorerie de la banque). ATT&CK fournit le identifiants de techniques détaillés - T1566.001 pourphishing , T1059.001 pour l'exécution de PowerShell, T1071.001 pour le protocole Web C2.

Ensemble, ces trois cadres offrent aux analystes une vue d'ensemble complète : ce qui s'est passé (ATT&CK), dans quel ordre (chaîne d'attaque) et qui était connecté à quoi (modèle Diamond).

Application du modèle Diamond à un incident

C'est dans le cadre d'une analyse structurée des incidents que le modèle Diamond révèle toute sa valeur. Voici un processus en six étapes qui permet de transformer un simple indicateur en une vue d'ensemble complète des menaces.

Identifiez l'incident d'intrusion. Commencez par une alerte confirmée : un domaine suspect, un malware ou une connexion anormale. Il s'agit là de votre indicateur de départ.
Remplissez les champs des entités connues. Indiquez les informations dont vous disposez dans le losange. Un malware permet de remplir le sommet « Capacité ». Un domaine C2 permet de remplir le champ « Infrastructure ». Attribuez la victime en fonction du système affecté.
Exploitez les liens entre les éléments. Utilisez les informations connues pour découvrir celles qui ne le sont pas encore. Interrogez les plateformes de renseignements sur les menaces pour identifier d'autres domaines hébergés sur la même adresse IP (d'infrastructure à infrastructure). Recherchez d'autres échantillons qui communiquent avec le même serveur C2 (de capacité à infrastructure). C'est là que le modèle Diamond prend toute sa valeur.
Ajoutez des métadonnées. Enregistrez l'horodatage, identifiez la phase de la chaîne d'attaque, notez le résultat (succès ou échec) et évaluez la motivation sociopolitique si elle est connue.
Reliez les événements entre eux. Associez cet événement phare aux événements précédents et suivants qui présentent des points communs. Construisez un récit chronologique.
Fils d'activité groupés. Lorsque plusieurs fils partagent des signatures d'attaquants, une infrastructure ou des capacités spécifiques, regroupez-les dans un groupe d'activité — ce qui constituera votre attribution de campagne émergente.

Déroulement étape par étape de l'analyse du modèle Diamond. — *Schéma : Déroulement étape par étape de l'analyse selon le modèle Diamond.*

Techniques de pivotement pour la découverte de caractéristiques

Le pivotage est le moteur analytique du modèle Diamond. Commencez par votre indicateur le plus solide et explorez systématiquement les liens. Si vous disposez d'un domaine (infrastructure), vérifiez l'historique des adresses IP via le DNS passif, puis recherchez ces adresses IP dans d'autres domaines. Croisez les domaines avec les flux de recherche de menaces. Chaque pivotage met en évidence de nouveaux éléments et révèle souvent des événements supplémentaires à relier.

La clé réside dans la documentation. Chaque étape doit être consignée afin que l'analyse soit reproductible et puisse être partagée avec d'autres analystes lors de la gestion des incidents.

Le modèle Diamond en pratique

Étude de cas : ToyMaker et le ransomware Cactus (2025)

L'analyse du courtier d'accès initial Cisco Talos ToyMaker illustre à la fois le modèle Diamond de base et sa couche de relations étendue.

Adversaires : ToyMaker (courtier d'accès initial, motivé par l'appât du gain) et Cactus (opérateurde ransomware )
Capacités : porte dérobée LAGTOY, outils de collecte d'identifiants, ransomware à double chantage
Infrastructure : systèmes exposés à Internet compromis, infrastructure de commande et de contrôle dédiée
Victimes : les organisations disposant d'applications accessibles au public et vulnérables
Couche relationnelle : « Transfert de » ToyMaker vers Cactus environ un mois après l'accès initial

Ce cas illustre pourquoi le modèle traditionnel à quatre composantes devait être élargi. ToyMaker et Cactus sont des adversaires distincts dotés de capacités différentes, mais c'est le transfert entre eux — la relation — qui rend la campagne dangereuse. La méthodologie du modèle Diamond élargi de Cisco Talos ajoute cette cinquième couche de relation afin de saisir la dynamique des ransomwares en tant que service.

Étude de cas : l'attaque contre la chaîne d'approvisionnement de SolarWinds

La violation de SolarWinds reste l'une des études de cas les plus souvent citées dans le cadre du modèle Diamond, et a fait l'objet d'une analyse dans un article évalué par des pairs publié sur ResearchGate.

Adversaire : SVR russe (APT29/Cozy Bear)
Vulnérabilité : la porte dérobée SUNBURST intégrée aux mises à jour de SolarWinds Orion
Infrastructure : distribution via une chaîne d'approvisionnement logicielle compromise, domaines C2 dédiés
Victimes : plus de 200 organisations, dont des agences gouvernementales américaines

L'approche relationnelle du modèle Diamond s'est avérée plus adaptée que la chaîne d'attaque linéaire dans ce cas précis, où la multiplicité des catégories de victimes et la complexité de la chaîne d'approvisionnement exigeaient de cartographier les liens plutôt que les séquences.

Tableau : Application du modèle Diamond à des cas concrets d'intrusions.

Cas	Adversaire	Capacité	Infrastructures	Victime
ToyMaker/Cactus (2025)	ToyMaker IAB + Cactus RaaS	Porte dérobée LAGTOY, double chantage	Applications grand public compromises, serveurs C2	Organisations disposant de systèmes exposés à Internet
SolarWinds (2020)	APT29 (SVR russe)	Porte dérobée SUNBURST	Compromission de la chaîne d'approvisionnement des mises à jour d'Orion	Plus de 200 organisations, dont le gouvernement américain

Selon l'indice IBM X-Force 2026 Threat Intelligence Index, le nombre de groupes de ransomware actifs a bondi de 49 % en 2025 (109 groupes distincts, contre 73 en 2024), avec 54 à 58 groupes actifs par mois au début de l'année 2026. Cette fragmentation de l'écosystème rend indispensable l'analyse des activités selon le modèle Diamond pour distinguer et suivre les groupes en pleine expansion.

Outils et logiciels pour la mise en œuvre du modèle Diamond

Plusieurs plateformes prennent en charge les workflows du Diamond Model. ThreatConnect — cofondée par Andy Pendergast, l'un des auteurs du Diamond Model — intègre nativement ce cadre. MISP et OpenCTI offrent des alternatives open source permettant la modélisation des relations entre entités. Les modèles personnalisés de feuilles de calcul et de schémas restent courants au sein des petites équipes. L'intégration aux normes STIX/TAXII permet le partage automatisé de renseignements sur les menaces à l'aide des structures du Diamond Model.

Avantages et limites du modèle Diamond

Tableau : Atouts et limites du modèle Diamond pour les équipes chargées du renseignement sur les menaces.

Avantages	Limitations
L'analyse relationnelle structurée permet d'effectuer des pivotages systématiques	La simplification en quatre caractéristiques risque de passer à côté de certaines nuances dans les intrusions complexes
Indépendant des fournisseurs et complémentaire d'autres cadres	Les difficultés d'attribution persistent, notamment en ce qui concerne les opérations sous faux pavillon
Le regroupement des activités s'étend des événements aux campagnes	Nécessite des capacités avancées en matière de collecte et d'analyse de données
Prend en charge l'analyse partielle (les diamants incomplets conservent leur valeur)	Instantané statique par événement sans extension de threading
Un vocabulaire commun facilite la communication au sein de l'équipe	Nécessite beaucoup de ressources pour les petites équipes qui ne disposent pas d'automatisation

Les avis divergent quant à savoir si la simplicité du modèle Diamond constitue un atout ou une limite. ThreatConnect estime qu’elle permet une analyse rapide. D’autres soutiennent qu’elle simplifie à l’excès les intrusions. Le consensus parmi les professionnels résout ce dilemme en combinant le modèle Diamond avec MITRE ATT&CK approfondir les TTP (techniques, tactiques et procédures), ce qui permet de préserver la clarté des relations tout en ajoutant des détails comportementaux plus précis. Cette approche combinée renforce les processus de détection des menaces au sein du SOC.

Tendances futures et considérations émergentes

Le modèle Diamond n'est pas figé. Plusieurs évolutions au cours des 12 à 24 prochains mois détermineront la manière dont les organisations l'appliqueront.

L'évolution la plus notable est la « Cisco Talos Relationship Layer », publiée en mai 2025. En ajoutant des types de relations tels que « acheté auprès de », « transmis par » et « divulgué par », cette extension répond à la complexité croissante des écosystèmes de ransomware en tant que service, dans lesquels plusieurs acteurs malveillants collaborent au sein d'une même campagne. Il faut s'attendre à ce que d'autres fournisseurs de renseignements sur les menaces adoptent des extensions similaires, à mesure que les opérations impliquant plusieurs acteurs deviendront la norme.

Les renseignements sur les menaces optimisés par l'IA accélèrent les flux de travail du modèle Diamond. La corrélation automatisée des entités, le pivotement et le regroupement des activités au sein de vastes ensembles de données allègent la charge de travail manuel des analystes. Selon le rapport mondial 2026 de CyberProof sur les renseignements relatifs aux menaces, l'IA est désormais intégrée dans 80 % des campagnes de ransomware, ce qui signifie que les défenseurs ont besoin d'outils d'analyse assistés par l'IA pour rester dans la course.

La tendance à la « présence silencieuse » mise en évidence dans le rapport Picus Red 2026 — une baisse de 38 % des cryptages par ransomware associée à une hausse de 80 % des techniques de contournement — renforce l'importance de l'analyse relationnelle. Lorsque les attaquants privilégient une dissimulation à long terme plutôt qu'une perturbation immédiate, les corrélations entre capacités et infrastructure du modèle Diamond deviennent essentielles pour la détection.

La consolidation des plateformes favorise également l'adoption de ces solutions. Selon Recorded Future, 81 % des professionnels de la sécurité prévoient de regrouper leurs fournisseurs de renseignements sur les menaces d'ici 2026. Des cadres structurés tels que le modèle Diamond fournissent un vocabulaire analytique commun à toutes les plateformes unifiées, ce qui rend la consolidation plus efficace.

Les organisations devraient donner la priorité à l'investissement dans la formation au modèle Diamond parallèlement à MITRE ATT&CK, adopter des plateformes prenant en charge l'analyse relationnelle des menaces et intégrer le traçage des activités dans leurs guides opérationnels standard destinés aux centres de sécurité des opérations (SOC).

Approches modernes de l'analyse des renseignements sur les menaces

Les renseignements sur les menaces ont largement dépassé le stade des flux statiques d'indicateurs de compromission (IOC). Aujourd'hui, les professionnels du secteur associent des cadres structurés à l'analyse comportementale, à la détection basée sur l'intelligence artificielle et à la corrélation automatisée afin de rester à la hauteur des adversaires qui partagent des infrastructures et collaborent au-delà des frontières organisationnelles.

Le modèle Diamond reste fondamental car son approche relationnelle reflète le mode de fonctionnement réel des attaques modernes — à travers les liens entre les acteurs, les outils, l’infrastructure et les cibles. En tant que détection et réponse aux incidents observent les comportements des attaquants dans des environnements hybrides, ce sont ces mêmes principes relationnels codifiés par le modèle Diamond qui permettent de distinguer les menaces réelles du bruit.

Comment Vectra AI l'analyse structurée des menaces

Attack Signal Intelligence Vectra AI s'inscrit dans la philosophie du modèle Diamond, qui repose sur une analyse relationnelle axée sur les comportements. En établissant des corrélations entre les comportements des attaquants à travers les réseaux modernes — qu'il s'agisse d'environnements cloud, d'identité, SaaS ou sur site —, Vectra AI les mêmes principes relationnels que ceux codifiés par le modèle Diamond. En reliant les actions, les capacités et l'infrastructure des adversaires, cette approche fournit des informations pertinentes, et non du bruit, aux analystes qui en ont le plus besoin.

Conclusion

Le modèle Diamond d'analyse des intrusions propose une approche structurée et axée sur les relations pour comprendre les cyberintrusions, qui vient compléter les cadres séquentiels et comportementaux. Ses quatre caractéristiques principales, ses sept axiomes et ses capacités de mise en relation des activités offrent aux analystes de tous niveaux — des candidats à la certification aux experts chevronnés en renseignements sur les menaces — une méthodologie rigoureuse permettant de transformer des indicateurs isolés en renseignements cohérents.

À mesure que le paysage des menaces se complexifie, que les écosystèmes de ransomware se fragmentent en dizaines de groupes collaborant entre eux et que les cybercriminels privilégient la discrétion plutôt que la perturbation, l'analyse relationnelle du modèle Diamond ne perd pas de sa valeur, bien au contraire. L'extension « Relationship Layer » de Cisco Talos pour 2025 démontre que ce cadre continue d'évoluer au rythme du paysage des menaces.

Commencez par appliquer ce processus en six étapes à votre prochain incident. Saisissez les informations dont vous disposez, explorez les liens entre les éléments, et laissez ces relations vous guider vers ce que vous ignorez encore. Pour les organisations qui souhaitent mettre en œuvre ces principes à grande échelle, découvrez comment la plateforme Vectra AI propose la même analyse relationnelle axée sur le comportement grâce à la fonction Attack Signal Intelligence ».

Principes fondamentaux liés à la cybersécurité

Foire aux questions

Qu'est-ce que le modèle Diamond d'analyse des intrusions ?

Le modèle Diamond est un cadre de cybersécurité créé par Sergio Caltagirone, Andrew Pendergast et Christopher Betz en 2013. Il modélise chaque incident d'intrusion à travers quatre éléments interconnectés — l'attaquant, les capacités, l'infrastructure et la victime — disposés en forme de losange. Ce modèle permet une analyse structurée des menaces, axée sur les relations, en se concentrant sur la manière dont ces caractéristiques s'articulent à travers six arêtes bidirectionnelles. Contrairement aux cadres séquentiels, le modèle Diamond rend compte de la structure relationnelle d'une intrusion, permettant ainsi aux analystes de partir d'indicateurs connus pour découvrir des caractéristiques inconnues. Il est publié par le Defense Technical Information Center et reste l'un des cadres les plus largement enseignés dans la formation en cybersécurité.

Quels sont les quatre éléments du modèle du diamant ?

Ces quatre composantes sont l'adversaire (l'acteur ou le groupe malveillant), les capacités (les outils, les techniques et malware ), l'infrastructure (les ressources telles que les serveurs C2, les domaines et les adresses e-mail qui soutiennent l'opération) et la victime (l'organisation, le système, la personne ou l'ensemble de données ciblé). Ces caractéristiques sont reliées par six liens qui permettent d'orienter l'analyse. Par exemple, connaître un domaine C2 (infrastructure) permet à un analyste de découvrir quel malware avec celui-ci (capacité) et qui l'exploite (adversaire). Ces quatre caractéristiques constituent le minimum requis pour décrire tout événement d'intrusion, bien que des méta-caractéristiques ajoutent une profondeur contextuelle.

En quoi le modèle Diamond diffère-t-il de la chaîne de destruction cybernétique ?

La chaîne de destruction cybernétique décrit les phases successives d'une attaque — de la reconnaissance aux actions menées contre les cibles — en offrant une vision chronologique. Le modèle en diamant cartographie les liens relationnels entre un adversaire, ses capacités, son infrastructure et sa victime au sein de chaque phase. Alors que la chaîne d'attaque répond à la question « que s'est-il passé et dans quel ordre », le modèle en diamant répond à la question « qui s'est connecté à quoi et comment ». Il s'agit de cadres complémentaires. Le fil conducteur des activités dans le modèle en diamant utilise en fait les phases de la chaîne d'attaque pour ordonner chronologiquement les événements individuels du diamant, créant ainsi un point d'intégration naturel entre les deux.

Quelles sont les différences entre le modèle Diamond et MITRE ATT&CK?

MITRE ATT&CK les tactiques, techniques et procédures spécifiques des attaquants avec des détails comportementaux très précis. Le modèle Diamond cartographie la structure relationnelle d'une intrusion à un niveau plus élevé. Les techniques ATT&CK correspondent directement à la caractéristique « capacité » du modèle Diamond, tandis que les groupes de menaces ATT&CK correspondent à la caractéristique « attaquant ». La plupart des professionnels utilisent les deux ensemble : le modèle Diamond fournit le cadre relationnel, tandis qu'ATT&CK apporte les détails comportementaux. Par exemple, une analyse du modèle Diamond pourrait identifier qu'un adversaire a utilisé des outils basés sur PowerShell, et ATT&CK précise ensuite la technique spécifique utilisée. T1059.001 avec les stratégies de détection correspondantes.

Quels sont les sept axiomes du modèle du diamant ?

Les sept axiomes constituent le fondement théorique formel du cadre. Ils établissent que tout événement d'intrusion implique un adversaire utilisant une capacité via une infrastructure contre une victime (axiome 1), que les événements suivent une séquence ordonnée (axiome 2), que les capacités et l'infrastructure ont une directionnalité (axiome 3), et qu'un événement entièrement décrit remplit ces quatre caractéristiques (axiome 4). Les axiomes 5 à 7 traitent des profils d'adversaires, de l'exhaustivité des capacités et de la réutilisation de l'infrastructure. L'axiome 7 — selon lequel l'infrastructure est partagée et réutilisée — est sans doute le plus utile sur le plan pratique, car il permet aux analystes de relier des intrusions apparemment sans rapport entre elles grâce à des serveurs C2 ou des domaines partagés.

Quelles certifications sont couvertes par le modèle Diamond ?

Le modèle Diamond est abordé dans les certifications CompTIA Security+ (SY0-701, domaine 4.2), CompTIA CySA+ (CS0-003) et EC-Council CEH. Il est également présent dans les modules de formation TryHackMe SOC niveau 1 et dans les cours de préparation aux certifications sur LinkedIn Learning. Sergio Caltagirone, l’un des auteurs originaux, propose un cours dédié au modèle Diamond via la Threat Intelligence Academy. Pour les analystes qui se préparent aux examens de certification, la compréhension des quatre composantes principales, de leurs relations, ainsi que la comparaison entre le modèle Diamond, la chaîne de destruction (kill chain) et ATT&CK constituent les domaines les plus fréquemment évalués.

Quels outils permettent d'effectuer une analyse selon le modèle Diamond ?

ThreatConnect — cofondée par Andy Pendergast, coauteur du modèle Diamond — intègre nativement ce cadre dans sa plateforme de renseignements sur les menaces. MISP (Malware Sharing Platform) et OpenCTI offrent des alternatives open source dotées de capacités de modélisation des relations entre entités. De nombreuses équipes utilisent également des modèles de feuilles de calcul personnalisés ou des outils de création de diagrammes tels que draw.io pour des analyses à plus petite échelle. L'intégration aux normes STIX (Structured Threat Information Expression) et TAXII (Trusted Automated Exchange of Indicator Information) permet le partage automatisé de renseignements structurés selon le modèle Diamond entre les organisations et les plateformes.