Qu'est-ce qu'un IOC ?
Un IOC, ou indicateur de compromission, est un élément technique observable qui indique qu'un système a probablement été compromis. Les exemples typiques incluent l'empreinte cryptographique (hash) d'un fichier malveillant, une adresse IP ou un nom de domaine contactés par un logiciel malveillant, une URL de diffusion, ou encore une clé de registre créée par une intrusion.
Les IOC sont la matière première de la détection : on les compare en continu à ce qui se passe sur le réseau et les postes pour repérer une activité malveillante connue.
Pourquoi c'est important pour votre organisation
Les IOC permettent de détecter rapidement des menaces déjà identifiées ailleurs et d'accélérer la réponse à incident : une fois un IOC confirmé, on peut rechercher sa présence sur l'ensemble du parc pour évaluer l'étendue d'une compromission.
Leur limite tient à leur nature : ce sont des signaux réactifs et volatils. Un attaquant change d'adresse IP ou recompile son logiciel malveillant en quelques minutes, rendant l'IOC obsolète. C'est pourquoi ils complètent, sans les remplacer, les approches fondées sur le comportement.
Comment exploiter les IOC
- Automatiser l'ingestion via des flux et des formats standardisés comme STIX/TAXII.
- Corréler les IOC avec les journaux réseau et système en continu.
- Prioriser par fraîcheur et fiabilité : un IOC daté ou mal qualifié génère du bruit.
- Combiner avec les TTP de MITRE ATT&CK pour une détection plus durable.
Où les organisations pèchent le plus souvent
L'erreur fréquente est de tout miser sur les IOC, en accumulant des listes massives sans les qualifier ni les expirer. Cela sature les outils de détection et noie les vrais signaux. Une approche mature hiérarchise les indicateurs et investit aussi dans la détection comportementale, plus difficile à contourner pour l'attaquant.