Qu'est-ce qu'un indicateur de compromission ?
Un indicateur de compromission (IOC) est un élément d'investigation numérique qui indique qu'un endpoint ou un réseau a été compromis. À l'instar d'une preuve physique, ces indices numériques aident les professionnels de la sécurité informatique à identifier les activités malveillantes ou les menaces pour la sécurité, telles que les compromissions de données, les menaces internes ou les attaques de logiciels malveillants.
Les analystes peuvent collecter les indicateurs de compromission manuellement, après avoir noté une activité suspecte, ou automatiquement, à l'aide des fonctionnalités de surveillance de la cybersécurité de l'entreprise. Ces informations peuvent être utilisées pour atténuer l'impact d'une attaque en cours ou corriger un incident de sécurité existant, mais aussi pour créer des outils plus intelligents capables, à terme, de détecter et de mettre en quarantaine des fichiers suspects.
Malheureusement, la surveillance des indicateurs de compromission est réactive par nature, de sorte que lorsqu'un indicateur est détecté, il est quasiment certain que la compromission a déjà eu lieu. Cependant, si l'attaque est toujours en cours, la détection rapide d'un indicateur de compromission peut permettre de la contenir plus tôt au cours de son cycle de vie, ce qui aura pour effet de limiter son impact sur l'entreprise.
Face à la sophistication croissante des cybercriminels, les indicateurs de compromission deviennent de plus en plus difficiles à détecter. De plus, les indicateurs de compromission les plus courants — hachage md5, domaine C2 ou adresse IP, clé de Registre et nom de fichier codés en dur — ne cessent d'évoluer, ce qui complique encore la détection.