Indicateurs de compromission (IOC) : types, exemples, détection et réponse

19mai, 2026
Kaseya
Réponse aux incidents, Détection des menaces, Menaces

Lorsqu'un pirate informatique évolue dans votre environnement, il laisse des traces. Un fichier enregistré à un emplacement inhabituel. Une connexion sortante vers une adresse IP qu'aucun processus légitime ne devrait contacter. Une connexion provenant d'un pays où vous n'avez aucun employé. Ce sont là des indicateurs de compromission (IOC) : des preuves numériques qu'un système ou un réseau a été compromis, ou qu'une intrusion est en cours.

Pour les équipes de sécurité et les MSP, les indicateurs de compromission (IOC) constituent l'un des principaux outils permettant de détecter les menaces qui ont déjà franchi le périmètre de sécurité. Des outils tels que Datto EDR, Kaseya SIEM et Kaseya MDR sont précisément conçus pour cela : détecter les IOC dans l'ensemble de votre environnement et les transformer en réponses coordonnées avant que les dégâts ne s'étendent.

Qu'est-ce qu'un indicateur de compromission ?

Les indicateurs de compromission (IOC) sont des éléments de preuve issus de la criminalistique numérique qui suggèrent qu'un système, un terminal ou un réseau a fait l'objet d'un accès non autorisé, a été infecté par un logiciel malveillant ou a subi une attaque. Le terme « compromission » est utilisé à dessein : lorsque la plupart des IOC sont identifiés, une intrusion a déjà eu lieu ou est en cours.

Les IOC peuvent être des éléments identifiés à partir des journaux, du trafic réseau, des systèmes de fichiers ou des données de télémétrie des terminaux. Ils comprennent notamment des hachages de fichiers spécifiques associés à des logiciels malveillants connus, des adresses IP ou des domaines utilisés pour le commandement et le contrôle, des modifications de clés de registre, des comportements inhabituels de processus et des schémas d'authentification laissant supposer un vol d'identifiants.

Les équipes de sécurité utilisent les IOC de deux manières. De manière réactive, lorsqu'un événement suspect est signalé, les analystes recherchent des IOC pour comprendre ce qui s'est passé, retracer le parcours de l'attaquant et déterminer l'ampleur de l'incident. De manière proactive, les équipes intègrent les IOC connus dans les outils de détection afin que, si les mêmes éléments réapparaissent, une alerte se déclenche automatiquement. C'est cette seconde utilisation qui confère toute leur valeur aux flux de renseignements sur les menaces et au partage des IOC.

Il convient de préciser une limite : la détection des IOC est, par nature, rétrospective. Si vos outils ont détecté un IOC, c'est qu'un incident s'est déjà produit. L'objectif d'une bonne surveillance des IOC est de réduire le délai entre le moment où une intrusion se produit et celui où elle est détectée, car c'est dans cet intervalle que les attaquants agissent.

Indicateurs de compromission vs indicateurs d'attaque (IOA) : quelle est la différence ?

Un indicateur de compromission (IOC) est un signe que quelque chose de grave s'est déjà produit. Il s'agit d'un élément concret : un hachage de fichier, une clé de registre, un nom de domaine, une adresse IP. Les IOC sont spécifiques et statiques.

Un indicateur d'attaque se concentre sur le comportement plutôt que sur les artefacts. Les IOA décrivent les techniques et les actions utilisées par un attaquant, quels que soient les outils spécifiques qu'il déploie. Un processus générant un processus fils qui tente d'établir une connexion réseau constitue un modèle d'IOA. Cela peut être déclenché par un logiciel malveillant connu ou par une menace inédite qui n'a jamais été répertoriée. Les IOA ont une portée plus large et résistent mieux aux tentatives de contournement, car modifier le hachage d'un fichier ne change pas le comportement sous-jacent.

Dans la pratique, les services de sécurité bien rodés ont recours aux deux. Les indicateurs de compromission (IOC) permettent de détecter rapidement les menaces connues. Les anomalies de comportement (IOA) permettent quant à elles de repérer les nouvelles attaques et les adversaires sophistiqués qui conçoivent des outils sur mesure pour éviter d'être repérés par les bases de données d'IOC existantes.

Types d'indicateurs de compromission

Les IOC sont classés en quatre catégories en fonction de leur origine et de ce qu'ils décrivent.

Indicateurs de compromission (IOC) liés au réseau

Les indicateurs de compromission (IOC) réseau sont des éléments associés à une activité réseau suspecte ou malveillante. Ils comprennent les adresses IP liées à l'infrastructure des acteurs malveillants, les domaines utilisés pour les communications de commande et de contrôle (C2), les schémas inhabituels de trafic sortant et les requêtes DNS concernant des domaines qui ne correspondent pas à des services légitimes.

Étant donné que les indicateurs de compromission (IOC) réseau traduisent souvent une communication active avec une infrastructure contrôlée par le pirate, il est essentiel de les détecter rapidement. Un terminal compromis mais n'ayant pas encore exfiltré de données peut encore être maîtrisé si la connexion C2 sortante est interceptée en premier.

Indicateurs de compromission (IOC) liés à l'hôte

Les indicateurs de compromission (IOC) basés sur l'hôte se trouvent sur les terminaux et les appareils individuels. Ils comprennent notamment des modifications inattendues des clés de registre ou des fichiers système, de nouveaux processus s'exécutant sous des processus parents inhabituels, des modifications apportées aux tâches planifiées ou aux entrées de démarrage, des fichiers apparaissant à des emplacements où aucun logiciel légitime n'écrit de données, ainsi que des modifications non autorisées des autorisations des comptes.

Les outils EDR constituent le principal moyen de détecter les indicateurs de compromission (IOC) au niveau de l'hôte, car ils offrent une visibilité au niveau de l'agent sur tout ce qui se passe sur l'appareil : chaque lancement de processus, chaque écriture de fichier, chaque modification du registre. Cette télémétrie permet de détecter les logiciels malveillants sans fichier et les attaques de type « living-off-the-land », qui ne laissent aucun fichier sur le disque mais laissent néanmoins des traces comportementales.

Indicateurs de compromission (IOC) basés sur des fichiers

Les indicateurs de compromission (IOC) basés sur des fichiers sont des éléments spécifiques liés à des fichiers malveillants connus. La forme la plus courante est un hachage cryptographique (MD5, SHA-1 ou SHA-256) qui identifie un fichier de manière unique. Si un hachage correspond à celui associé à un logiciel malveillant connu, cela indique clairement que le fichier est malveillant, quel que soit le nom sous lequel il a été renommé.

Parmi les autres indicateurs de compromission (IOC) liés aux fichiers, on trouve les noms de fichiers et les chemins d'accès utilisés par des familles de logiciels malveillants connues, ainsi que les détails des certificats numériques associés aux logiciels malveillants signés. Les IOC liés aux fichiers sont rapides à vérifier et faciles à partager, ce qui explique pourquoi ils constituent l'essentiel des données des flux de renseignements sur les menaces. Leur limite réside dans le fait qu'ils peuvent être facilement contournés en recompilant le code, ce qui modifie la valeur de hachage.

Indicateurs de comportement

Les indicateurs de compromission comportementaux (IOC) décrivent des schémas d'activité qui s'écartent des valeurs de référence établies, quels que soient les fichiers ou les éléments concernés. Plusieurs tentatives de connexion infructueuses sur différents comptes en peu de temps, un compte utilisateur accédant à des partages de fichiers qu'il n'avait jamais consultés auparavant, ou la lecture d'importants volumes de données dans une base de données par un seul utilisateur constituent tous des indicateurs de compromission comportementaux.

Pour être pertinents, les indicateurs de compromission (IOC) comportementaux doivent s'appuyer sur une base de référence bien établie. Les plateformes SIEM et les outils d'analyse du comportement des utilisateurs et des entités (UEBA) établissent ces bases de référence au fil du temps et signalent automatiquement les écarts, ce qui les rend particulièrement efficaces pour détecter les menaces qui cherchent délibérément à ne pas correspondre aux signatures IOC connues.

Exemples courants d'indicateurs de compromission

Savoir à quoi ressemblent concrètement les IOC permet aux équipes de sécurité de savoir ce qu’il faut rechercher. Parmi les exemples les plus courants, on peut citer :

  • Activité d'authentification inhabituelle : plusieurs tentatives de connexion infructueuses sur plusieurs comptes à partir d'une même adresse IP, une connexion réussie depuis une zone géographique inattendue ou un appareil n'ayant jamais accédé au compte auparavant, ainsi que des connexions à des heures inhabituelles, sont autant de signes pouvant indiquer un vol d'identifiants ou un accès non autorisé.
  • Trafic sortant anormal : le fait qu'un appareil transfère soudainement de grands volumes de données vers des destinations externes avec lesquelles il n'a jamais communiqué, ou vers des plages d'adresses IP connues pour être malveillantes, peut indiquer une exfiltration potentielle. Un trafic envoyé à intervalles réguliers et programmés signale souvent l'envoi de balises vers une infrastructure C2.
  • Processus ou logiciels inattendus : les processus s'exécutant à partir de répertoires temporaires, les exécutables non signés situés dans des emplacements inhabituels pour ce type de logiciel, ainsi que les outils d'accès à distance qui n'ont rien à faire sur les machines de production méritent tous d'être examinés de près. Les tâches planifiées ou les entrées de démarrage apparues sans demande de modification correspondante peuvent indiquer une persistance de l'attaquant.
  • Modifications suspectes du registre : les pirates modifient des clés de registre pour assurer la persistance de leur présence, désactiver des outils de sécurité ou modifier le comportement du système. Les modifications apportées aux clés d'exécution automatique ou aux configurations de services sans ticket de modification correspondant constituent des indicateurs de compromission (IOC) fiables au niveau de l'hôte.
  • Anomalies DNS : un volume élevé de requêtes DNS adressées à un seul domaine, des requêtes concernant des domaines nouvellement enregistrés ou générés par des algorithmes (une technique appelée « algorithmes de génération de domaines », ou DGA) et des requêtes visant des domaines connus pour être malveillants sont autant d'indicateurs d'une possible compromission du réseau.
  • Les modifications de configuration non autorisées : règles de pare-feu modifiées pour ouvrir des ports entrants, création de nouveaux comptes administratifs sans autorisation et désactivation ou désinstallation de logiciels de sécurité constituent autant d'indicateurs de compromission (IOC) qui justifient une enquête immédiate.

Comment les IOC sont utilisés dans la gestion des incidents

La détection d'un indicateur de menace (IOC) n'a de véritable intérêt que lorsqu'elle s'inscrit dans un processus d'intervention. Découvrir un IOC sans y donner suite rapidement n'est guère plus utile que de ne pas le découvrir du tout.

Dans la pratique, la gestion des incidents basée sur les indicateurs de compromission (IOC) suit un schéma cohérent. Une alerte se déclenche lorsqu’un IOC connu est détecté ou qu’un comportement anormal dépasse un seuil défini. Un analyste vérifie s’il s’agit d’une véritable menace. Si c’est le cas, on évalue l’étendue de l’incident : quels systèmes sont touchés, quelles données ont pu être consultées et comment l’attaquant a-t-il pu s’introduire. Vient ensuite le confinement, qui consiste à isoler les terminaux ou à bloquer les connexions suspectes. La remédiation supprime les artefacts malveillants et ferme le vecteur d'accès. Enfin, les IOC recueillis au cours de l'enquête sont ajoutés aux règles de détection, afin que le même schéma soit détecté plus rapidement la prochaine fois.

La rapidité est essentielle à chaque étape. Le rapport 2026 de l'Unit 42 sur la réponse aux incidents à l'échelle mondiale a révélé que les attaques les plus rapides parviennent désormais à exfiltrer des données dans les 72 minutes suivant l'accès initial. Les organisations dotées de systèmes automatisés de détection et de confinement des indicateurs de compromission (IOC) résolvent systématiquement les incidents plus rapidement que celles qui s'appuient sur un examen manuel.

Outils de corrélation des menaces et de détection des indicateurs de compromission (IOC)

Plusieurs catégories de technologies de sécurité sont spécialement conçues pour la détection et la réponse aux indicateurs de compromission (IOC).

Gestion des informations et des événements de sécurité (SIEM)

Le SIEM est l'outil principal permettant de corréler les indicateurs de compromission (IOC) au sein d'un environnement. Un SIEM collecte les données de journaux et d'événements provenant de l'ensemble de l'infrastructure informatique, applique des règles de corrélation pour identifier des schémas correspondant à des IOC connus ou à des comportements suspects, et génère des alertes classées par ordre de priorité. Comme un SIEM traite simultanément des données provenant de multiples sources, il relie des événements qui, pris isolément, sembleraient anodins : une tentative de connexion échouée, suivie d'une connexion réussie depuis une autre adresse IP, puis l'accès de cet utilisateur à un partage de fichiers qu'il n'a jamais consulté, devient un incident corrélé plutôt que trois alertes distinctes de faible priorité.

Détection et réponse des points de terminaison (EDR)

Les outils EDR surveillent en temps réel chaque terminal à la recherche d'indicateurs de compromission (IOC) liés à l'hôte et au comportement. Ils enregistrent des données de télémétrie détaillées, comparent les comportements à des bibliothèques de menaces et à des bases de données d'IOC, et prennent en charge des interventions automatisées ou guidées par des analystes, notamment l'isolement, l'arrêt des processus et la mise en quarantaine des fichiers.

Détection et réponse gérées (MDR)

Les services MDR ajoutent une couche d'analyse aux technologies SIEM et EDR. Plutôt que de confier le triage et l'analyse des indicateurs de compromission (IOC) au personnel interne, les prestataires MDR assurent une surveillance continue et réagissent aux menaces confirmées pour le compte du client. Pour les organisations ne disposant pas d'une équipe de sécurité opérationnelle 24 heures sur 24, 7 jours sur 7, le MDR est ce qui permet de transformer la détection des IOC en une réponse opérationnelle.

Détection et réponse dans le cloud (CDR)

À mesure que les activités professionnelles migrent vers des plateformes telles que Microsoft 365 et Google Workspace, les indicateurs de compromission (IOC) liés au cloud occupent désormais une place prépondérante dans le paysage des menaces. Les outils CDR étendent la détection des IOC aux environnements SaaS, en signalant des anomalies telles que des autorisations inhabituelles accordées aux applications OAuth, des connexions provenant d'emplacements improbables, des téléchargements massifs de fichiers et des modifications non autorisées apportées aux configurations des locataires cloud.

Plateformes de renseignements sur les menaces

Les plateformes de renseignements sur les menaces regroupent des données sur les indicateurs de compromission (IOC) provenant de flux mondiaux, d'avis gouvernementaux, de recherches menées par les fournisseurs et de partages au sein de la communauté. Elles enrichissent les alertes en fournissant des informations contextuelles sur ce à quoi une adresse IP, un domaine ou un hachage de fichier donné a été associé, sur les groupes malveillants qui l'utilisent et sur la date à laquelle il a été observé pour la dernière fois dans des campagnes actives, aidant ainsi les analystes à établir les priorités dans leurs enquêtes.

Comment Kaseya aide les équipes à détecter les indicateurs de compromission (IOC) et à y réagir

La plateforme de sécurité de Kaseya est conçue pour détecter les indicateurs de compromission (IOC) sur l'ensemble de la surface d'attaque et pour relier cette détection à une intervention rapide et coordonnée, en particulier pour les fournisseurs de services gérés (MSP) et les équipes informatiques réduites ne disposant pas d'un service de sécurité interne important.

Kaseya SIEM collecte des données télémétriques provenant de plus de 60 sources, établit des corrélations entre les indicateurs de compromission (IOC) et les comportements suspects sur les terminaux, les identités, le réseau et le cloud, et conserve les journaux pendant 400 jours afin de faciliter les enquêtes de sécurité. Des règles de réponse automatisées permettent d'agir immédiatement dès la confirmation d'un IOC, en bloquant des comptes, en isolant des appareils et en signalant les sessions arrivant à expiration, sans intervention manuelle.

Datto EDR surveille en temps réel les terminaux à la recherche d'indicateurs de compromission (IOC) liés à l'hôte et au comportement, met en correspondance les détections avec le cadre MITRE ATT&CK pour fournir immédiatement un contexte aux analystes, et propose plus de 65 mesures de réponse automatisées, dont la restauration après une attaque par ransomware.

Kaseya MDR met à votre disposition des analystes en sécurité basés aux États-Unis qui surveillent votre environnement 24 heures sur 24, enquêtent sur les alertes déclenchées par des indicateurs de compromission (IOC) et prennent des mesures de confinement lorsque des menaces sont confirmées. Pour les organisations qui ont besoin d'une couverture de réponse aux IOC 24 heures sur 24, 7 jours sur 7, sans avoir à mettre en place un centre d'opérations de sécurité (SOC), le MDR est la solution idéale.

SaaS Alerts étend la détection des indicateurs de compromission (IOC) à Microsoft 365, Google Workspace et d'autres applications cloud. Les équipes peuvent définir des règles IOC personnalisées à l'aide de déclencheurs d'événements et de filtres, avec des modèles IOC communautaires couvrant les schémas de menaces courants disponibles dès l'installation. SaaS Alerts directement à Kaseya SIEM pour une corrélation multi-surfaces, offrant aux analystes une vue unifiée de l'activité IOC des terminaux et du cloud en un seul endroit. Ensemble, ces outils offrent aux MSP et aux équipes informatiques la visibilité et la capacité de réaction nécessaires pour agir sur les IOC à tous les niveaux de l'environnement, sans avoir besoin d'un centre d'opérations de sécurité dédié pour que cela fonctionne.

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Demander une démonstration Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est l'engagement d'offrir des conditions flexibles, un partage des risques et un accompagnement dédié à votre entreprise.

Découvrez Partner First Pledge »

Rapport Kaseya 2026 sur la situation des MSP

Kaseya - Rapport 2026 sur la situation des MSP - Image web - 1200 x 800 - MISE À JOUR

Découvrez les perspectives 2026 sur le MSP, issues des témoignages de plus de 1 000 prestataires, et apprenez comment augmenter votre chiffre d'affaires, vous adapter aux pressions du marché et rester compétitif.

Télécharger maintenant

Explorer les catégories

Qu'est-ce que la détection et la réponse aux menaces (TDR) ?

Découvrez comment fonctionne la détection et la réponse aux menaces (TDR), pourquoi elle est importante, sur quels outils elle s'appuie, et comment les MSP et les équipes informatiques peuvent mettre en place des programmes TDR efficaces.

Lire l'article de blog

Qu'est-ce que le XDR ? Guide sur la détection et la réponse étendues

Découvrez les principes fondamentaux du XDR, notamment son fonctionnement, ses principaux avantages, ses différences par rapport aux technologies similaires et comment bénéficier dès aujourd'hui d'une couverture de niveau XDR.

Lire l'article de blog

Qu'est-ce que la chaîne d'attaque cybernétique ? Étapes, exemples et comment la perturber

Découvrez ce qu'est la chaîne d'attaque cybernétique, comment fonctionnent ses sept étapes, un exemple concret, ses similitudes avec le modèle MITRE ATT&CK et comment l'utiliser pour renforcer la sécurité.

Lire l'article de blog