Indicateur de compromission (IoC) : définition, exemples et détection
Un indicateur de compromission est une miette numérique prouvant qu’une intrusion a déjà eu lieu.
- Il s’agit d’une preuve numérique d’une attaque déjà survenue.
- Typiquement une signature virale ou un processus suspect.
- Utilisé lors de l’enquête post-incident pour analyser la brèche.
- La donnée est un hash, IP ou signature laissé par l’attaquant.
- Contrairement à un IoA, il ne permet pas d’anticiper une attaque imminente.
Indicateurs de compromission vs indicateurs d’attaque (IoC vs IoA)
| Critère | IoC (Indicateur de compromission) | IoA (Indicateur d’attaque) |
|---|---|---|
| Objectif | Preuve d’une attaque déjà survenue | Indice qu’une attaque est sur le point d’avoir lieu |
| Phase d’utilisation | Enquête post-incident | Anticipation et détection précoce |
| Nature de la donnée | Miettes numériques (hash, IP, signature) | Séquence d’actions suspectes en cours |
| Réponse associée | Contenir et analyser la brèche | Bloquer l’attaque avant qu’elle ne réussisse |
| Exemple typique | Exécution d’un processus suspect sur un terminal | Tentative répétée de connexion échouée |
La différence fondamentale entre ces deux concepts tient au moment de la détection : un IoC signale qu’une compromission a déjà eu lieu, tandis qu’un IoA alerte sur une activité anormale qui pourrait annoncer une attaque imminente. Concrètement, lorsque vous analysez un incident avec des IoC, vous cherchez à comprendre ce qui s’est passé et à éviter une réinfection. Avec un IoA, vous tentez d’arrêter les assaillants avant qu’ils n’atteignent leur objectif.
Prenons un exemple : la découverte d’une signature virale sur un poste de travail est un IoC typique le mal est déjà fait. En revanche, la détection d’un trafic sortant inhabituel vers une IP inconnue peut constituer un IoA si ce trafic précède une exfiltration de données. La combinaison de ces deux indicateurs dans une plateforme de Threat Intelligence offre une vision plus complète du cycle d’attaque : les IoC pour analyser les incidents passés, les IoA pour anticiper les menaces à venir.
Qu’est-ce qu’un indicateur de compromission ? Définition simple

Définition et concept clé
- Miettes numériques laissées par attaquants après une intrusion
- Preuve numérique qu’une intrusion a déjà eu lieu
- Déviance ou artefact observé sur un réseau ou un système
- Indice technique qualifié d’activité malveillante
Un indicateur de compromission (IoC) est une preuve numérique tangible qu’une attaque a déjà eu lieu. Les experts en cybersécurité comparent ces traces à des digital breadcrumbs (miettes de pain numériques) laissées involontairement par les attaquants. Chaque IoC représente un écart par rapport au comportement normal observé sur vos systèmes, qu’il s’agisse d’un fichier inconnu, d’une requête réseau anormale ou d’une modification suspecte dans les registres.
Comprendre le rôle d’un IoC en cybersécurité
L’IoC joue un rôle central dans la réponse aux incidents. Contrairement aux simples alertes génériques, ces indicateurs sont des données techniques qualifiées, vérifiées et exploitables. Ils permettent de répondre à trois questions clés : l’attaque est-elle en cours ? A-t-elle déjà eu lieu ? Quels systèmes ont été touchés ?
Un IoC bien identifié ne se limite pas à signaler un problème : il fournit une piste concrète pour remonter à l’origine de l’intrusion. Par exemple, une adresse IP malveillante récurrente ou le hash d’un fichier malveillant déjà analysé deviennent des éléments de preuve que les équipes de sécurité peuvent utiliser pour bloquer définitivement une menace. Ces artefacts permettent aussi de corréler plusieurs événements autrement isolés en une seule campagne d’attaque cohérente.
Exemples concrets d’indicateurs de compromission
- Adresses IP malveillantes : une IP externe qui tente des connexions répétées vers des serveurs internes sans raison légitime.
- Hashs de fichiers corrompus : empreinte numérique unique (MD5, SHA-1) identifiant un fichier malveillant connu dans une base de Threat Intelligence.
- Noms de domaine C&C : domaines utilisés par un botnet pour recevoir des instructions depuis un serveur de commande et contrôle.
- URL de phishing : adresses web imitant un site légitime pour voler identifiants ou données bancaires.
- Signatures virales connues : motifs de code binaire spécifiques que les antivirus utilisent pour reconnaître un logiciel malveillant.
- Ouverture de ports inhabituels : un port non standard (ex. TCP 4444) qui s’ouvre soudainement sur un poste de travail.
- Exécution de processus suspects : lancement d’un programme comme powershell.exe avec des arguments anormaux ou depuis un répertoire temporaire.
- Installation de logiciels inconnus : présence d’un outil non approuvé, comme un logiciel de prise de contrôle à distance non autorisé.
Détection et réponse aux incidents avec les IoC
- Regroupement des IoC dans SIEM : Les indicateurs sont centralisés dans un Système de gestion des événements de sécurité (SIEM) pour corréler des milliers de logs et identifier une menace.
- Détection automatisée via Threat Intelligence : Des plateformes de Threat Intelligence ingèrent les IoC et déclenchent des alertes dès qu’un hash malveillant ou une IP suspecte est détectée sur le réseau.
- Surveillance continue des ressources critiques : Les serveurs, bases de données et postes de travail sont scrutés en permanence pour repérer l’ouverture de ports inattendus ou l’exécution de processus inhabituels.
- Partage via protocole feu rouge FIRST : Le Traffic Light Protocol (TLP) organise l’échange d’IoC entre organisations, en limitant leur diffusion selon la sensibilité de l’information : rouge pour interne, ambre pour restreint, vert pour la communauté.
- Blocage préventif des futurs exploits : Une fois l’incident clos, les IoC sont convertis en règles de pare-feu ou en signatures antivirus pour empêcher un attaquant de réutiliser la même adresse IP ou le même domaine de serveur C&C.
Classification des types d’IoC : réseau, hôte, fichier, comportemental
IoC réseau (trafic, DNS, ports, IP)
Dans cette catégorie, on regroupe tout ce qui circule sur le réseau et qui sort de l’ordinaire. Ces preuves réseau sont souvent les premières à alerter les équipes de sécurité.
- Trafic sortant anormal – Un volume de données qui quitte le réseau vers un serveur externe sans raison métier valable.
- Requêtes DNS suspectes – Interrogations vers des noms de domaine ressemblant à des sites légitimes (typosquatting) ou générés aléatoirement.
- Connexions vers pays inhabituels – Échanges réseau avec des adresses IP situées dans des zones géographiques où l’entreprise n’a aucun partenaire ni client.
IoC hôte, fichier et comportemental
Ces indicateurs se situent directement sur les postes de travail, serveurs ou terminaux. Ils révèlent qu’un système a été touché ou altéré.
- Fichiers aux hashs inconnus – L’empreinte numérique (MD5, SHA-1 ou SHA-256) d’un fichier ne correspond à aucun logiciel autorisé dans la base de référence.
- Modifications registre système – Des clés de registre Windows modifiées pour assurer la persistance d’un programme malveillant au redémarrage.
- Actions utilisateur anormales – Tentatives de connexion en dehors des horaires de travail, téléchargements massifs ou accès à des dossiers sensibles sans légitimité.
- Processus en mémoire suspects – Exécution de programmes lancés depuis des dossiers temporaires ou sans signature numérique valide.
Questions fréquentes sur les indicateurs de compromission
Que sont les indicateurs de compromission en informatique ?
Les indicateurs de compromission, ou IoC, sont des artefacts numériques observables qui signalent une intrusion ou une activité malveillante avérée sur un système. Ils permettent aux équipes de sécurité de détecter, analyser et répondre à un incident de cybersécurité.
Quels sont les principaux indicateurs de compromis ?
Les principaux indicateurs incluent des adresses IP suspectes, des hashs de fichiers malveillants, des noms de domaine malveillants, des signatures d’URL, des mutations de registre système, et des connexions réseau anormales vers des serveurs de commande et contrôle.
Comment se présente un rapport d’indicateur de compromission ?
Un rapport d’IoC se présente souvent sous forme structurée comme un tableau ou un fichier texte brut. Il liste chaque artefact détecté avec sa catégorie, sa valeur précise, l’horodatage de la détection, et sa source de confiance, facilitant l’intégration dans les outils de sécurité.
