Le modèle visualise chaque événement malveillant sous la forme d’un diamant, constitué de quatre sommets interconnectés. Pour qu’une cyberattaque ait lieu, ces quatre éléments doivent obligatoirement exister et interagir.
Adversaire (Qui ?)
l’acteur de la menace ou l’organisation responsable de l’événement. Aux premiers stades d’une enquête, il est souvent “Inconnu”. L’objectif ultime de la CTI est de profiler ce sommet et potentiellement de l’attribuer à un groupe connu (ex: APT28, Scattered Spider).
Capacité (Comment ?)
les outils, malwares ou techniques utilisés par l’adversaire. Il peut s’agir d’un exploit zero-day spécifique, d’une charge utile de ransomware personnalisée, ou d’outils natifs “Living off the Land” comme PsExec ou WMI.
Infrastructure (Par où ?)
les structures physiques et logiques que l’adversaire utilise pour livrer ses capacités et contrôler l’attaque. Cela inclut les adresses IP de Command and Control (C2), les noms de domaine de phishing, ou des serveurs légitimes compromis utilisés comme relais (pivots).
Victime (Contre qui ?)
la cible de l’adversaire. Ce sommet est très granulaire ; il ne représente pas seulement l’entité corporative, mais aussi l’employé spécifique (cible d’un spear-phishing), l’adresse IP ciblée, ou la base de données spécifique en cours d’exfiltration.
La véritable puissance du modèle du diamant ne réside pas dans la définition des sommets, mais dans l’exploitation de ses arêtes (les relations qui les unissent). Le modèle formalise l’activité mentale la plus critique d’un analyste DFIR : le pivotement (pivoting).
Le pivotement est le processus analytique consistant à utiliser un point de donnée connu pour découvrir un nouveau point de donnée inconnu le long des arêtes du diamant.
Capacité -> Infrastructure : lors d’une investigation de ransomware, vous analysez (reverse-engineering) un exécutable suspect (Capacité). L’analyse dynamique révèle qu’il communique (beacon) avec l’adresse IP 198.51.100.42 (Infrastructure).Infrastructure -> Adversaire : vous interrogez l’adresse IP découverte dans votre plateforme de Threat Intelligence (TIP). Le flux de renseignements corrèle cette IP avec l’infrastructure connue du Groupe Ransomware Akira (Adversaire).Adversaire -> Capacité : maintenant que vous suspectez Akira, vous consultez leur profil CTI. Vous apprenez qu’Akira utilise massivement l’outil rclone pour l’exfiltration de données (Capacité). Vous interrogez immédiatement votre SIEM pour chasser l’exécution de rclone sur le réseau de la Victime.Chaque IOC que vous découvrez est un sommet sur le diamant. Le modèle force l’analyste à se demander constamment : “étant donné cet artefact, quels autres sommets puis-je logiquement déduire ?“
Pour construire un récit complet, le modèle de base est enrichi de “Méta-fonctionnalités” qui attachent un état et un horodatage à l’événement.
Le modèle du diamant comble le fossé entre la réponse à incident tactique et le renseignement stratégique sur les menaces.
Lors d’un incident actif, le modèle du diamant sert de liste de contrôle visuelle. Si une équipe SOC a identifié le serveur compromis (Victime), le domaine malveillant (Infrastructure), et le webshell déposé (Capacité), mais ne parvient pas à identifier l’Adversaire, le modèle met explicitement en évidence cette lacune critique, orientant les efforts de recherche de l’équipe CTI.
Une attaque n’est jamais un événement unique ; c’est une séquence d’actions. En enchaînant chronologiquement plusieurs diamants (ex: Diamant 1 : Livraison phishing → Diamant 2 : Mouvement latéral → Diamant 3 : Exfiltration), les analystes créent un fil d’activité (Activity Thread).
Lorsque de multiples fils d’activité distincts (provenant potentiellement d’incidents espacés de plusieurs mois) partagent les mêmes sommets Infrastructure et Capacité mais ciblent des Victimes différentes, l’analyste a réussi à mettre au jour une véritable campagne de menaces (Threat Campaign) globale.
Le modèle du diamant se cartographie parfaitement avec la norme STIX 2.1. Lorsque les organisations automatisent le partage des menaces, elles transmettent essentiellement des diamants numérisés :
Threat-Actor = AdversaireMalware / Attack-Pattern = CapacitéIPv4-Addr / Domain-Name = InfrastructureIdentity = VictimeEn assimilant le modèle du diamant, les professionnels de la sécurité cessent de réagir à des alertes SIEM isolées et commencent à traquer des adversaires holistiques et multidimensionnels.