IoC

Accueil » Resources » IoC

Qu’est-ce qu’un indicateur de compromission (IoC) ?

Un IoC (indicateur de compromission) en sécurité informatique est une donnée technique qualifiée qui permet de détecter des activités malveillantes sur un système d’information. Ces indicateurs peuvent s’appuyer sur des données de types variés, par exemple: un hash de fichiers, une signature, une adresse IP, une URL, un nom de domaine… mais dans tous les cas, la donnée technique seule (observable, voir ce mot) ne suffit pas pour parler d’IoC.

L’usage des IoCs pour détecter et répondre aux menaces cyber

Grâce à un système d’analyse et de contextualisation perpétuelle de ces traces laissées par les attaquants, les spécialistes de la Cyber Threat Intelligence procèdent à une identification des menaces par l’élaboration de : données spécialisées et de moyens de les exploiter à travers les règles YARA ou les règles SIGMA.

Une erreur très commune est de considérer qu’une donnée technique brute (par exemple, une adresse IP) constitue un indicateur. En réalité, cette donnée technique seule n’est qu’un observable, et faute de contexte et de qualification, s’en servir comme indicateur conduit à de très nombreux faux positifs.

Pour une détection efficace, un indicateur doit toujours contenir, en plus d’un observable technique, des métadonnées de validité et de qualification.

Définition d'un Indicateur de compromission ou IoC par SEKOIA.IO

 

Comment collecter et utiliser les indicateurs de compromission ?

Prenons l’exemple des indicateurs fondés sur les adresses IP. Pour alerter une entreprise cliente sur une éventuelle connexion de son réseau informatique avec des adresses IP d’attaquants :

  1. L’équipe de chercheurs analysera chaque semaine, toutes les traces laissées par les auteurs sur l’ensemble des adresses IP du monde et en qualifiera certaines comme IoC
  2. Intégrées dans la base de données, ces informations serviront à générer une alerte, surtout à la contextualiser au cas où il y aurait une tentative de connexion entre le réseau informatique de l’entreprise avec l’une des adresses IP des attaquants. Il est rare de disposer en interne d’une équipe de recherche capable de suivre toutes les menaces efficacement. C’est pourquoi il est bien souvent préférable de se connecter à des bases de données et de s’abonner à leurs mises à jour, les flux de renseignements sur les menaces cyber ou feeds CTI. Certaines de ces bases sont éditées bénévolement et gratuitement par des communautés d’intérêt, d’autres sont commerciales et ne sont pas gratuites.
  3. Pour le chercheur, la démarche consiste à compléter le cycle du renseignement : collecter des données, certaines ouvertes, d’autres avec des moyens en propre, investiguer, croiser les informations, et les qualifier.
  4. La dernière étape consiste à les standardiser pour les rendre opérationnelles. Chez SEKOIA, nous utilisons SEKOIA.IO TIP pour réaliser ce travail; les indicateurs ainsi élaborés sont ensuite mis à disposition au format standard STIX 2.1 dans nos solutions SEKOIA.IO CTI et SEKOIA.IO XDR.

IoC vs IoA, quelles différences ?

Un IoC est la réponse aux questions « Quoi » et « Comment » d’une attaque ayant déjà eu lieu ailleurs.

Contrairement à un IoC, un IoA (Indicators of Attack) sert d’indicateur sur la présence d’une attaque en cours. Par exemple, une adresse IP repérée lors d’une attaque précédente peut devenir un IoC; lorsque cette même IP sera repérée dans un système d’information, elle constituera un IoA.

Vous pouvez consulter d’autres définitions sur le :