IOC (Indicator of Compromise)

Qu'est-ce qu'un IOC ?

Un **IOC** (pour **Indicator of Compromise**, ou Indicateur de Compromission) est un élément de preuve forensique, une donnée technique ou un comportement anormal qui indique la présence d'une intrusion, d'une attaque ou d'une activité malveillante sur un système ou un réseau. Les IOC sont essentiels pour la détection proactive des menaces et pour la réponse aux incidents de sécurité.

Types d'IOC courants :

Les IOC peuvent prendre diverses formes, notamment :

• Adresses IP malveillantes : Adresses IP connues pour être associées à des serveurs de commande et de contrôle de malwares, ou à des infrastructures d'attaquants.
• Noms de domaine et URLs suspectes : Adresses web utilisées pour le phishing, la distribution de malwares (comme dans l'empoisonnement SEO), ou la redirection vers des sites frauduleux.
• Hachages de fichiers (Hash values) : Identifiants uniques de fichiers malveillants. Si un fichier avec un hachage connu de malware est détecté sur un système, c'est un IOC.
• Noms de fichiers inhabituels : Des noms de fichiers qui ne correspondent pas à des noms de programmes légitimes (ex: "facture.pdf.exe").
• Clés de registre anormales : Modifications inhabituelles dans le registre système de Windows.
• Processus et services inconnus : Exécution de programmes ou de services non autorisés ou non reconnus sur un système.
• Comportements réseau anormaux : Trafic réseau vers des destinations inhabituelles, ou des volumes de données anormaux.

Rôle des IOC dans la cybersécurité

Les IOC sont cruciaux pour les systèmes de détection des menaces (comme les EDR ou les SIEM) car ils leur permettent de :

• Bloquer les menaces : Empêcher l'accès à des adresses IP ou URLs malveillantes.
• Surveiller : Détecter la présence de fichiers ou de processus associés à des menaces connues.
• Isoler : Mettre en quarantaine les systèmes ou les utilisateurs compromis pour limiter la propagation de l'attaque.
• Répondre : Fournir les informations nécessaires pour enquêter sur un incident et y remédier efficacement.

En intégrant des listes d'IOC connues dans leurs systèmes de sécurité, les entreprises peuvent renforcer leur capacité de détection proactive et se défendre contre les attaques sophistiquées comme celles diffusées par l'empoisonnement SEO.