Défensif

Indicateur de compromission (IOC)

Définition

un indicateur de compromission est un artefact technique qui trahit une intrusion : empreinte (hash) de fichier malveillant, adresse IP ou domaine de commande et contrôle, URL de phishing, clé de registre, mutex. Les IOC se diffusent dans les outils de détection et se partagent au format STIX. On les distingue des IOA (indicateurs d'attaque), qui décrivent un comportement plutôt qu'un artefact figé.

Pourquoi c'est important

la « pyramide de la douleur » de David Bianco montre que bloquer un hash ou une IP gêne peu l'attaquant, qui les change en minutes, alors que détecter ses TTP l'oblige à revoir tout son mode opératoire. Les IOC restent essentiels pour la réaction rapide et l'investigation post-incident - retrouver l'ampleur d'une compromission - mais ne suffisent pas seuls. Une défense mature combine IOC (réactif) et détection comportementale (proactif). Leur durée de vie courte impose une mise à jour continue.

Comment AOCSI l'adresse

nos équipes exploitent les IOC lors d'une réponse à incident pour circonscrire le périmètre touché, puis remontent vers les TTP pour comprendre le mode opératoire complet. L'analyse forensique ne s'arrête pas au premier indicateur trouvé.

De la définition à la protection.

Nos experts transforment ces concepts en sécurité concrète pour votre organisation.