Les IOCs (Indicators of Compromise) et IOAs (Indicators of Attack) sont les deux familles d'indicateurs utilisées par les équipes SOC et CSIRT pour détecter, investiguer et chasser les menaces cyber. Un IOC est une preuve forensique d'une attaque passée ou en cours : hash de malware, IP ou domaine C2, clé de registre, user-agent suspect. Un IOA est un signal comportemental en temps réel qui révèle l'intention d'un attaquant : exécution de PowerShell obfusqué depuis Office, tentative Kerberoasting, enchaînement d'appels API suspects. Le modèle de référence pour hiérarchiser ces indicateurs est la Pyramid of Pain publiée par David Bianco en 2013 : plus l'indicateur est haut dans la pyramide, plus il est coûteux pour l'attaquant de le contourner. En 2026, les équipes matures combinent IOCs tactiques (blocage rapide) et IOAs stratégiques mappés sur MITRE ATT&CK v15 (résilience long terme). Cet article détaille les définitions, exemples, standards (STIX 2.1, TAXII), plateformes (MISP, OpenCTI), cycle de vie et usages SOC.
Définition IOC (Indicator of Compromise)
Un IOC est une donnée technique observable qui indique qu'un système a été ou est en train d'être compromis. Typiquement découvert en investigation forensique post-incident et partagé ensuite avec la communauté ou au sein de l'organisation.
Exemples typiques d'IOCs
Niveau fichier et hôte :
MD5 : 5d41402abc4b2a76b9719d911017c592
SHA-1 : aaf4c61ddcc5e8a2dabede0f3b482cd9aea9434d
SHA-256 : 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824
Chemin : C:\Users\Public\svchost.exe
Nom de fichier : ransomware_builder_v2.exe
Clé de registre : HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BackdoorX
Service Windows : MaliciousUpdater
Niveau réseau :
IP : 185.220.101.42 (C2 connu)
Domaine : bad-c2-server.example
URL : https://legit-looking.com/stats/track.php?id=a8f2d1
User-Agent : Mozilla/5.0 (compatible; MSIE 9.0; BadBot/1.0)
Certificat TLS : fingerprint SHA-1 spécifique à un groupe APT
Niveau mémoire :
Chaîne mnémonique spécifique dans un dump mémoire
Pattern YARA matchant en mémoire viveDéfinition IOA (Indicator of Attack)
Un IOA décrit un comportement, une séquence d'actions ou une intention d'attaquant. C'est un signal dynamique, observé en temps réel, qui révèle une technique d'attaque en cours plutôt qu'un artefact déposé.
Exemples typiques d'IOAs
Exécution suspecte :
PowerShell lancé depuis Word avec -ExecutionPolicy Bypass
wmic.exe utilisé pour spawn un processus distant
certutil.exe utilisé pour télécharger un binaire
Escalade de privilèges :
Token steal (SeDebugPrivilege obtenu par un processus utilisateur)
Nouvelle session SYSTEM depuis un service innocent
Modification de GPO depuis un compte non administrateur
Lateral movement :
Authentification Kerberos vers 10+ machines en moins de 60 secondes
PSExec.exe ou WMI depuis une workstation
RDP depuis un compte jamais vu dans cette zone réseau
Persistence :
Création d'une tâche planifiée pointant vers un binaire inconnu
Installation d'un service Windows avec nom aléatoire
Ajout d'une clé Run, RunOnce, Image File Execution Options
Command & Control :
Beaconing régulier vers une IP externe toutes les 60 secondes (jitter)
DNS tunneling : résolutions longues avec entropie élevée
HTTPS vers un domaine créé il y a moins de 48 heuresLa Pyramid of Pain de David Bianco
Publiée par David Bianco (Mandiant, puis Splunk) en janvier 2013, la Pyramid of Pain classe les indicateurs en 6 niveaux selon la difficulté pour l'attaquant de les changer. Détecter un attaquant sur les niveaux hauts force celui-ci à refactorer son opération, ce qui coûte temps et argent.
┌──────────────────┐
TTPs │ Tactics, │ TOUGH !
│ Techniques, │ Très dur à changer
│ Procedures │ MITRE ATT&CK focus
└──────────────────┘
┌────────────────────────────┐
Tools │ Outils offensifs │ Challenging
│ (Cobalt Strike, Mimikatz) │ Coût modéré
└────────────────────────────┘
┌──────────────────────────────────────┐
Network │ Artefacts réseau ou hôte │ Annoying
Host │ (registres, services, user agents) │
└──────────────────────────────────────┘
┌──────────────────────────────────────────┐
│ Domain names │ Simple
│ (domaines C2) │
└──────────────────────────────────────────┘
┌──────────────────────────────────────────┐
│ IP addresses │ Easy
└──────────────────────────────────────────┘
┌──────────────────────────────────────────┐
│ Hash values (MD5, SHA-1, SHA-256) │ Trivial
└──────────────────────────────────────────┘Interprétation stratégique
| Niveau | Type | Effort attaquant pour changer |
|---|---|---|
| Hash values | IOC pur | Trivial (recompile = nouveau hash) |
| IP addresses | IOC | Easy (change de VPS, minutes) |
| Domain names | IOC | Simple (DGA, registrar 1 h) |
| Network / Host artifacts | IOC / IOA hybride | Annoying (refactor outils) |
| Tools | IOC / IOA | Challenging (changer toolkit) |
| TTPs | IOA pur, MITRE ATT&CK | Tough (changer modus operandi, mois) |
Forcer un attaquant à changer ses TTPs = le faire reculer de plusieurs semaines ou mois. C'est la défense la plus résiliente.
Tableau comparatif IOC vs IOA
| Critère | IOC | IOA |
|---|---|---|
| Nature | Artefact statique | Comportement dynamique |
| Moment | Souvent après l'attaque | En temps réel |
| Source typique | Forensics, partage CSIRT, OSINT | Télémétrie EDR, logs applicatifs |
| Durée de vie | Courte (jours à semaines) | Longue (mois à années pour un TTP) |
| Coût de contournement | Trivial à easy | Challenging à tough |
| Standard de représentation | STIX 2.1, YARA, Snort | MITRE ATT&CK, Sigma rules |
| Consommateur principal | SIEM, firewall, EDR blacklist | EDR comportemental, SOC, threat hunter |
| Exemple outil | MISP feeds, VirusTotal | MITRE ATT&CK, Sigma, EDR ML |
| Faux positifs | Faibles si IOC validé | Plus élevés, nécessitent tuning |
| Effort de détection | Bas (simple match) | Élevé (tuning continu) |
| Position Pyramid of Pain | Bas (trivial à easy) | Haut (challenging à tough) |
Cycle de vie d'un IOC/IOA
Phases
1. Collecte
OSINT : VirusTotal, AbuseIPDB, Malwarebazaar, Pulsedive
Feeds commerciaux : Recorded Future, Mandiant, Crowdstrike Intel
Feeds communautaires : Abuse.ch (URLhaus, ThreatFox), AlienVault OTX
Partage CSIRT : CERT-FR IOC feeds, ENISA, FIRST
Incident interne : produit par le SOC/CSIRT pendant investigation
2. Validation
Faux positif possible ? (un domaine légitime peut être hijacked puis restauré)
Contexte : quel groupe APT ? Quelle campagne ? Quelle industrie ciblée ?
Confiance : source fiable ? Corroboré par plusieurs feeds ?
Obsolescence : IOC encore actif ? Sinkhole ? IP réaffectée ?
3. Contextualisation
Mapping MITRE ATT&CK (TTPs associés)
Mapping Diamond Model (adversary, capability, infrastructure, victim)
TLP (Traffic Light Protocol) : TLP:RED, TLP:AMBER, TLP:GREEN, TLP:CLEAR
Confidence level (FIRST TLP + MISP taxonomies)
4. Distribution
Export vers SIEM (Splunk, Sentinel, Elastic, Chronicle)
Push vers EDR (CrowdStrike, SentinelOne, Defender)
Push vers firewalls et WAF (domain blocks, IP blocks)
Push vers DNS filtering (Cisco Umbrella, Cloudflare Gateway)
Partage via STIX/TAXII, feeds MISP
5. Retraite
IOC marqué expired après X jours (30-90 typique)
Logs de détection conservés pour forensics
Leçon apprise intégrée dans les TTPs (niveau plus haut Pyramid of Pain)Durée de vie réelle
Selon les études Recorded Future 2023-2024 et analyses Mandiant :
- 80 % des IOCs IP sont obsolètes en 30 jours (réaffectation, sinkhole).
- 60 % des domaines C2 sont pris down en 7 jours sur les campagnes médiatisées.
- Les hashes malware restent valides à durée de vie indéfinie, mais polymorphisme limite leur portée.
- Les TTPs ont une durée de vie de plusieurs mois à années (Lazarus, APT29 utilisent des techniques stables).
Standards et formats 2026
STIX 2.1 (Structured Threat Information eXpression)
Standard OASIS pour représenter la threat intelligence. Version 2.1 finalisée en 2021. Modélise les SDO (STIX Domain Objects) comme Indicator, Malware, ThreatActor, Campaign, AttackPattern (mapping MITRE ATT&CK), Infrastructure.
{
"type": "bundle",
"id": "bundle--8a0b...",
"objects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--9a0f...",
"created": "2026-04-24T09:14:00Z",
"modified": "2026-04-24T09:14:00Z",
"name": "LockBit 5.0 C2 domain",
"indicator_types": ["malicious-activity"],
"pattern": "[domain-name:value = 'bad-c2-example.tld']",
"pattern_type": "stix",
"valid_from": "2026-04-24T09:14:00Z",
"valid_until": "2026-05-24T09:14:00Z",
"confidence": 85,
"labels": ["malicious-activity", "c2-infrastructure"]
},
{
"type": "relationship",
"relationship_type": "indicates",
"source_ref": "indicator--9a0f...",
"target_ref": "malware--lockbit-5"
}
]
}TAXII 2.1 (Trusted Automated eXchange of Intelligence Information)
Protocole de transport pour échanger des STIX entre organisations. REST API avec collections, channels, discovery endpoints.
Autres formats en usage 2026
YARA : patterns pour matching fichiers/mémoire
Sigma : règles de détection SIEM portables
Snort / Suricata: règles IDS/IPS réseau
OpenIOC : format XML Mandiant, legacy mais encore rencontré
MISP Objects : format interne MISP, convertible STIX
MAEC : Malware Attribute Enumeration and Characterization
CybOX : absorbé dans STIX 2.1Plateformes de Threat Intelligence 2026
Open source
MISP (Malware Information Sharing Platform and Threat Sharing) est la référence historique open source, développée par CIRCL Luxembourg depuis 2011. Adoptée par CERT-FR, ANSSI, la plupart des CSIRT publics européens, et plusieurs centaines de communautés de partage sectorielles.
Forces MISP :
Taxonomies et galaxies riches (MITRE ATT&CK, TLP, permissible actions)
Partage inter-communautés avec synchronisation automatique
Intégration native SIEM (Splunk, Elastic, Sentinel connectors)
Export multi-format (STIX 2.1, OpenIOC, Snort, YARA, CSV)
Self-hosted, gratuitOpenCTI (Filigran) est plus moderne, publié en open source 2018. Orienté analyse graph avec STIX 2.1 natif, interface Web moderne, API GraphQL.
Forces OpenCTI :
Modèle de données STIX 2.1 natif
Visualisation graph (relations entre acteurs, campagnes, TTPs)
Connecteurs riches (MITRE ATT&CK, MISP, AlienVault OTX, Shodan, VirusTotal)
Multi-tenant, scalable
Enterprise edition Filigran (commercial)Commercial (SaaS)
Recorded Future : leader commercial, ML et NLP avancés
Mandiant Advantage : Google Cloud + Mandiant (ex-FireEye) intel
CrowdStrike Falcon Intel : intégré plateforme Falcon
Anomali ThreatStream : plateforme mature
Flashpoint : deep web + fraud focus
DomainTools : domaines et infrastructure
Proofpoint Emerging Threats : feeds IDS/IPS
RiskIQ (Microsoft) : infrastructure mapping
Intel 471 : ciblage actor-centricFeeds communautaires gratuits
AlienVault OTX (AT&T) : OSINT multi-source
Abuse.ch (URLhaus, ThreatFox, Feodo Tracker) : malware et C2
Pulsedive (freemium) : IOCs consolidés
CIRCL OSINT : CERT Luxembourg
VirusTotal (API limitée gratuite) : file et URL scan
MalwareBazaar : samples malware
GreyNoise (freemium) : bruit Internet vs targeted
Shodan InternetDB : endpoints exposésIntégration dans SIEM et EDR
IOC dans le SIEM
Flux typique :
MISP/OpenCTI
├── TAXII 2.1 export
│
├──▶ Connecteur SIEM (Splunk Threat Intel, Sentinel TI connector,
│ Elastic Threat Intel, Chronicle TIP)
│
└──▶ Mise à jour continue des blocklists et watchlists
Règle SIEM (exemple KQL Sentinel) :
SigninLogs
| where IPAddress in (dynamic_table_TI_Indicators_malicious_IPs)
| project TimeGenerated, UserPrincipalName, IPAddress, ResultDescriptionIOA dans l'EDR
Les EDR modernes (CrowdStrike, SentinelOne, Defender, Elastic Security) utilisent les IOAs via règles comportementales et détection ML. MITRE ATT&CK sert de taxonomie commune.
Exemple règle IOA - détection Kerberoasting :
Technique MITRE : T1558.003 - Steal or Forge Kerberos Tickets: Kerberoasting
Logique :
Événement 4769 (Kerberos TGS request)
AVEC TicketEncryptionType = 0x17 (RC4-HMAC, legacy)
ET TargetUserName contient le nom d'un compte avec SPN
ET plus de 10 requêtes sur 5 minutes par même utilisateur
=>
Alerte IOA : possible Kerberoasting
Severity : High
Mapping : T1558.003Limites respectives
Limites des IOCs
- Durée de vie courte : obsolètes en jours ou semaines pour beaucoup d'entre eux.
- Contournement trivial : un attaquant change d'IP ou de domaine en minutes.
- Volume ingérable : des centaines de milliers d'IOCs publiés chaque jour, impossible à tous traiter.
- Faux positifs sur IOCs mal contextualisés : un domaine légitime hijacked puis restauré reste dans les feeds.
- Effet délai : un IOC publié 72 h après l'attaque ne protège que les futures victimes.
Limites des IOAs
- Tuning difficile : règles comportementales produisent plus de faux positifs au départ.
- Expertise requise : écrire des IOAs pertinents demande connaissance MITRE ATT&CK et du contexte de l'entreprise.
- Performance : trop de règles IOA peuvent dégrader l'EDR ou saturer le SIEM.
- Couverture partielle : une règle IOA couvre une technique précise - il faut en écrire des dizaines pour couvrir les principales TTPs.
- Évasion possible : direct syscalls, unhooking, polymorphisme comportemental.
Stratégie combinée 2026
Les SOC matures combinent IOCs tactiques et IOAs stratégiques.
Niveau 1 - IOCs haut volume, faible coût d'intégration
Block à l'edge : firewall, DNS filter, WAF, email gateway
Automatisation complète (TAXII push)
Cadence : updates toutes les 15 minutes à 1 heure
Niveau 2 - IOAs Sigma et MITRE ATT&CK
Règles de détection SIEM et EDR
Threat hunting proactif sur hypothèses
Tuning continu par detection engineers
Cadence : sprint hebdomadaire d'amélioration
Niveau 3 - Enrichissement et contexte
Corrélation IOC + IOA dans une alerte composite
Enrichissement automatique via VirusTotal, WHOIS, GreyNoise
Tagging MITRE ATT&CK sur chaque alerte
Cadence : temps réel dans SIEM modernePoints clés à retenir
- IOC = artefact forensique post-incident (hash, IP, domaine, user-agent). IOA = comportement ou intention en temps réel (PowerShell obfusqué, Kerberoasting, lateral movement).
- Pyramid of Pain (David Bianco, 2013) : hashes trivial à changer, TTPs très dur. Détecter haut dans la pyramide force l'attaquant à refactorer son opération.
- Durée de vie : 80 % des IOCs obsolètes en 30 jours. Les TTPs (niveau haut) ont une durée de vie de plusieurs mois à années.
- Standards 2026 : STIX 2.1 et TAXII 2.1 dominent. Sigma pour règles SIEM portables. MITRE ATT&CK v15 pour taxonomie commune.
- Plateformes OSS : MISP (CIRCL, référence CSIRT publics), OpenCTI (Filigran, moderne graph-based). Commerciaux : Recorded Future, Mandiant, CrowdStrike Intel.
- Feeds gratuits à exploiter : AlienVault OTX, Abuse.ch (URLhaus, ThreatFox, Feodo), CERT-FR, Pulsedive, GreyNoise, Shodan InternetDB.
- Stratégie combinée SOC mature : IOCs en blocage automatisé haut volume + IOAs Sigma/MITRE ATT&CK en détection enrichie + corrélation composite dans SIEM.
Pour intégrer les IOCs et IOAs dans la télémétrie endpoint, voir qu'est-ce qu'un EDR : définition, fonctionnement, outils 2026. Pour comprendre qui consomme et produit ces indicateurs au quotidien, lire différence entre SOC et CERT. Pour assurer la collecte et la rétention des logs nécessaires à la validation des IOCs, journalisation de sécurité : les bases détaille le pipeline complet.
