Indicateur de compromission

Un indicateur de compromission (en anglais, Indicator Of Compromise ou IOC), en sécurité informatique, est une déviance ou artefact observé sur un réseau informatique ou dans un système d'exploitation qui indique, avec un haut niveau de certitude, une intrusion informatique^[1].

Exemple

Des exemples d'indicateurs de compromission sont des signatures virales, des adresses IP particulières, les hash de fichiers malveillants, des URL ou des noms de domaine de serveurs de commande et de contrôle de botnet. Une fois que les identificateurs ont été identifiés dans un processus de réponse aux incidents et de criminalistique informatique, ils peuvent être utilisés pour la détection précoce des tentatives d'attaque en utilisant des systèmes de détection d'intrusion et des logiciels antivirus.

Standardisation

Des projets sont en cours pour standardiser le format des indicateurs de compromission pour en permettre un traitement automatisé plus efficace (RFC 5070^[2])^[3]. Les indicateurs de compromission connus sont généralement échangés au sein de l'industrie, souvent en association avec le protocole du feu rouge^{[4],[5],[6],[7],[8],[9],[10]}.