La kill chain d'attaque est avant tout une modélisation faite pour faciliter la compréhension des cyberattaques et normaliser le vocabulaire (c'est éducatif).

Il en a existé plusieurs variantes. Pratiquement toutes suivent le macro-modèle "Get In, Stay In and Act" (renter, rester, agir). La plus plébiscitée actuellement est celle du MITRE appelée ATT&CK.
Elle peut être résumée ainsi :

1. Reconnaissance : l'attaquant cherche à glaner le plus d'informations possibles sur la cibles (notamment via l'OSINT) : où sont ses locaux, qui sont ses fournisseurs, qui sont ses clients, le nom des personnes qui y travaillent et leurs coordonnées, les sites et services Web qu'ils utilisent, etc.
2. Acquisition des capacités offensives (weaponization) : maintenant que l'adversaire a cartographié toute la surface d'attaque de la cible, il va développer ou acheter des outils pour pénétrer cette surface (des 0 days avec exploit par exemple).
3. Accès initial : c'est le premier moment d'interaction directe avec la cible, l'attaquant utilise ses moyens offensifs pour pénétrer dans le réseau de la cible (via un employé piégé avec du phishing, une intrusion physique en se faisant passer pour un prestataire, une 0 day contre un pare-feu, etc.)
4. Installation / Persistance : l'attaquant va chercher à pérenniser son accès au réseau en installant une porte dérobée (backdoor), car la fenêtre de temps de son accès initial est souvent trop courte pour mener toute l'attaque. Il peut aussi s'aménager un accès secondaire de secours au cas où quelqu'un lui coupe son accès principal (si quelqu'un de l'entreprise ciblée détecte sa présence par exemple)
5. Propagation : l'attaquant cherche à se répandre le plus profondément possible dans le réseau : infecter les autres utilisateurs, les autres postes, les bureaux des autres villes, etc. Son but est de maximiser l'étendue sur laquelle s'appliquera son action finale
6. Impact : c'est là que l'attaquant accomplit son but : chiffrer les données, les exfiltrer, les détruire, couper les serveurs, demander une rançon, etc. C'est malheureusement souvent seulement lors de cette étape finale que la cible découvre qu'elle a été compromise.

Cette modélisation des attaques s'applique surtout aux APT. Les attaques plus communes sont aussi souvent plus directes (et ne s'embarrassent pas forcément d'être persistantes par exemple).

Cette modélisation est parfois critiquée pour son aspect très linéaire.
En effet, dans une attaque réelle, certaines phases sont susceptibles d'être menées dans une autre ordre, ou même en parallèle.
Essayer de détecter les attaques, en se focalisant trop sur ce modèle, peut laisser des trous dans la raquette.

Maintenant, voyons comment ce terme est généralement utilisé : « Les nombreux serveurs Windows non à jour ont été déterminants dans la kill chain de l'attaque subie » = l'attaquant s'est propagé très facilement dans le réseau à cause des nombreux serveurs non à jour, cela a fortement contribué à aggraver les conséquences de l'attaque (mais ce n'en est pas la cause, ni la seule étape).