Indicateur de Compromission

mars 31, 2022

Qu’est-ce qu’un indicateur de compromission ?

Un indicateur de compromission (IOC) est un élément d’investigation numérique qui indique qu’un endpoint ou un réseau a été compromis. À l’instar d’une preuve physique, ces indices numériques aident les professionnels de la sécurité informatique à identifier les activités malveillantes ou les menaces pour la sécurité, telles que les compromissions de données, les menaces internes ou les attaques de logiciels malveillants.

Les analystes peuvent collecter les indicateurs de compromission manuellement, après avoir noté une activité suspecte, ou automatiquement, à l’aide des fonctionnalités de surveillance de la cybersécurité de l’entreprise. Ces informations peuvent être utilisées pour atténuer l’impact d’une attaque en cours ou corriger un incident de sécurité existant, mais aussi pour créer des outils plus intelligents capables, à terme, de détecter et de mettre en quarantaine des fichiers suspects.

Malheureusement, la surveillance des indicateurs de compromission est réactive par nature, de sorte que lorsqu’un indicateur est détecté, il est quasiment certain que la compromission a déjà eu lieu. Cependant, si l’attaque est toujours en cours, la détection rapide d’un indicateur de compromission peut permettre de la contenir plus tôt au cours de son cycle de vie, ce qui aura pour effet de limiter son impact sur l’entreprise.

Face à la sophistication croissante des cybercriminels, les indicateurs de compromission deviennent de plus en plus difficiles à détecter. De plus, les indicateurs de compromission les plus courants — hachage md5, domaine C2 ou adresse IP, clé de Registre et nom de fichier codés en dur — ne cessent d’évoluer, ce qui complique encore la détection.

Comment identifier les indicateurs de compromission ?

Lorsqu’une entreprise est ciblée par une attaque ou en est victime, le cybercriminel laisse des traces de ses activités dans le système et les fichiers journaux. L’équipe de threat hunters collecte ces données d’investigation numérique dans ces fichiers et systèmes pour déterminer si la menace pour la sécurité ou la compromission de données a eu lieu ou est toujours en cours.

L’identification des indicateurs de compromission est presque exclusivement à la charge de professionnels de la sécurité des informations dûment formés, souvent assistés d’une technologie de pointe qui analyse des volumes considérables de trafic réseau et isole l’activité suspecte.

Les stratégies de cybersécurité les plus efficaces combinent ressources humaines et solutions technologiques avancées, telles que l’intelligence artificielle (IA), le Machine Learning (ML) et d’autres formes d’automatisation intelligente, afin d’améliorer la détection des activités anormales et de réduire le délai d’intervention et de correction.

Pourquoi votre entreprise doit-elle surveiller les indicateurs de compromission ?

Pour être efficace, une stratégie de cybersécurité doit être en mesure de détecter les indicateurs de compromission. Ces indicateurs permettent en effet d’améliorer la précision et la vitesse de détection, ainsi que le délai de correction. Plus une attaque est détectée de manière précoce, moins elle aura d’impact sur les activités de l’entreprise et plus sa correction sera aisée.

Les indicateurs de compromission, en particulier lorsqu’ils sont récurrents, fournissent à l’entreprise des informations sur les techniques et les méthodes des cyberattaquants. Ces renseignements peuvent ensuite être incorporés dans les outils de sécurité, les capacités d’intervention sur incident et les règles de cybersécurité afin de prévenir de futurs incidents.

2022 CrowdStrike Global Threat Report

Téléchargez le Global Threat Report 2022 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.

Télécharger

Exemples d’indicateurs de compromission

Quels sont les signaux d’alerte que doit rechercher l’équipe de sécurité dans le cadre d’investigations portant sur des cybermenaces et des cyberattaques ? En voici quelques exemples :

  • Trafic réseau entrant et sortant inhabituel
  • Trafic en provenance de zones géographiques inhabituelles, notamment des pays ou des endroits où l’entreprise n’est pas présente
  • Applications inconnues dans le système
  • Activités inhabituelles de la part d’un administrateur ou d’un compte à privilèges, notamment des demandes d’autorisations supplémentaires
  • Augmentation du nombre de connexions ou de demandes d’accès incorrectes, pouvant indiquer des attaques en force
  • Activité anormale, comme une augmentation du nombre de consultations des bases de données
  • Nombre important de demandes concernant le même fichier
  • Modifications suspectes du Registre ou de fichiers système
  • Requêtes DNS (Domain Name Server) et configurations du Registre inhabituelles
  • Modifications non autorisées des paramètres, notamment des profils des terminaux mobiles
  • Grande quantité de fichiers compressés ou de paquets de données à des emplacements incorrects ou inexpliqués

Différence entre indicateurs de compromission et indicateurs d’attaque

Un indicateur d’attaque (IOA) est un artefact numérique qui aide l’équipe de sécurité à évaluer une compromission ou un incident de sécurité. Cependant, contrairement aux indicateurs de compromission, les indicateurs d’attaque sont par nature actifs et se concentrent sur l’identification d’une cyberattaque en cours. Ils analysent également l’identité et les motivations du cybercriminel, tandis que les indicateurs de compromission aident uniquement l’entreprise à comprendre les événements qui se sont produits.