Aller au contenu
FortaRisks
Retour au glossaireThreat intelligence

IOC (indicateur de compromission)

Un IOC (Indicator of Compromise) est un artefact technique observable qui trahit la présence probable d'une attaque : empreinte de fichier malveillant, adresse IP ou domaine suspect, URL, clé de registre. Les IOC alimentent la détection et la réponse à incident, mais restent des signaux volatils que les attaquants changent facilement.

Mis à jour le 2 juillet 2026

Qu'est-ce qu'un IOC ?

Un IOC, ou indicateur de compromission, est un élément technique observable qui indique qu'un système a probablement été compromis. Les exemples typiques incluent l'empreinte cryptographique (hash) d'un fichier malveillant, une adresse IP ou un nom de domaine contactés par un logiciel malveillant, une URL de diffusion, ou encore une clé de registre créée par une intrusion.

Les IOC sont la matière première de la détection : on les compare en continu à ce qui se passe sur le réseau et les postes pour repérer une activité malveillante connue.

Pourquoi c'est important pour votre organisation

Les IOC permettent de détecter rapidement des menaces déjà identifiées ailleurs et d'accélérer la réponse à incident : une fois un IOC confirmé, on peut rechercher sa présence sur l'ensemble du parc pour évaluer l'étendue d'une compromission.

Leur limite tient à leur nature : ce sont des signaux réactifs et volatils. Un attaquant change d'adresse IP ou recompile son logiciel malveillant en quelques minutes, rendant l'IOC obsolète. C'est pourquoi ils complètent, sans les remplacer, les approches fondées sur le comportement.

Comment exploiter les IOC

  • Automatiser l'ingestion via des flux et des formats standardisés comme STIX/TAXII.
  • Corréler les IOC avec les journaux réseau et système en continu.
  • Prioriser par fraîcheur et fiabilité : un IOC daté ou mal qualifié génère du bruit.
  • Combiner avec les TTP de MITRE ATT&CK pour une détection plus durable.

Où les organisations pèchent le plus souvent

L'erreur fréquente est de tout miser sur les IOC, en accumulant des listes massives sans les qualifier ni les expirer. Cela sature les outils de détection et noie les vrais signaux. Une approche mature hiérarchise les indicateurs et investit aussi dans la détection comportementale, plus difficile à contourner pour l'attaquant.

Questions fréquentes

Quelle différence entre un IOC et un TTP ?

Un IOC est un artefact ponctuel et changeant (une empreinte, une adresse IP). Un TTP décrit un comportement d'attaquant, plus durable, tel que documenté par MITRE ATT&CK. Bloquer un IOC gêne peu un attaquant qui n'a qu'à changer d'adresse ; détecter un TTP le contraint bien davantage. C'est l'idée de la pyramide de la douleur.

D'où proviennent les IOC ?

De l'analyse d'incidents, de l'investigation de logiciels malveillants, des flux de threat intelligence et du partage entre organisations, souvent via des formats standardisés comme STIX. Leur valeur dépend de leur fraîcheur : un IOC ancien est vite obsolète.

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.