Skip to content

Expliquez la différence entre les indicateurs de compromission (IOC) et les indicateurs d'attaque (IOA).

Réponse courte

Un IOC est un artefact forensique prouvant que quelque chose de malveillant s'est déjà produit — un hash de fichier malveillant, une IP ou un domaine de C2, une clé de registre connue comme néfaste. Un IOA est un signal comportemental d'une attaque qui se déroule, indépendamment des outils précis — par ex. un document Word qui lance PowerShell, puis se connecte à Internet. Les IOC sont réactifs et faciles à contourner en changeant un hash ; les IOA capturent l'intention et survivent aux changements d'outils.

Cette question sépare les analystes qui font correspondre des signatures de ceux qui comprennent le comportement. Les deux types d'indicateurs comptent, mais ils répondent à des questions différentes et ont des durées de vie très différentes.

Indicateurs de compromission (IOC)

Un IOC est un artefact concret qui prouve, ou suggère fortement, qu'un système a été compromis : un hash de fichier malveillant, un domaine ou une IP de C2 connus, un mutex précis, une clé Run de registre malveillante ou une adresse d'expéditeur de phishing. Les IOC sont excellents pour une correspondance rapide et évolutive — alimentez-en votre SIEM ou votre EDR et bloquez-les. Leur faiblesse est la fragilité : un attaquant recompile le malware et le hash change ; il fait tourner son infrastructure et l'IP est morte. Les IOC sont par nature réactifs — ils proviennent de quelque chose qui s'est déjà produit, souvent chez quelqu'un d'autre.

Indicateurs d'attaque (IOA)

Un IOA décrit ce que fait l'adversaire, pas ce qu'il a utilisé. Exemples : un document avec macro activée qui lance powershell.exe, ce processus qui établit ensuite une connexion sortante, puis qui extrait la mémoire de LSASS. Aucune de ces étapes ne dépend d'un hash précis. Parce que les IOA visent le comportement et l'intention, ils continuent de fonctionner même quand l'attaquant change d'outils — ce qui correspond au sommet douloureux de la Pyramide de la douleur de David Bianco (les TTP).

Pourquoi c'est important

Les programmes de détection solides utilisent les deux : les IOC pour un blocage peu coûteux et fiable de ce qui est connu comme malveillant, et les IOA pour attraper les attaques nouvelles ou en cours qui n'ont pas encore de signature. Les recruteurs veulent vous entendre dire que vous savez que les IOC sont faciles à contourner, que les IOA coûtent plus cher à l'attaquant pour être déjoués, et que les SOC matures investissent dans la détection comportementale plutôt que de vivre uniquement des hashes des flux de threat intel.

Questions de suivi probables

  • Pourquoi un attaquant peut-il contourner si facilement une détection fondée sur les IOC ?
  • Donnez un exemple d'IOA qui n'a aucun IOC associé.
  • Où se situent les niveaux de la Pyramide de la douleur dans tout cela ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.