Blog WatchGuard

Cybersécurité  : comment s’y retrouver entre IoC et IoA ?

En entreprise, les équipes des opérations de sécurité sont la pierre angulaire de la lutte contre la cybercriminalité. C’est pourquoi elles ont besoin des technologies les plus avancées. 

Malheureusement, cette lutte ne se résume pas à une question de technologie. Adopter une attitude proactive face à d’éventuelles cyberattaques est également essentiel. C’est à ce niveau que nous voyons se profiler deux concepts essentiels pour toutes les équipes des opérations de sécurité : d’un côté les IoC (indicateurs de compromission) et de l’autre les IoA (indicateurs d’attaque).  

 Quelle est la différence ? Faut-il n’en utiliser qu’un type à la fois ou peut-on combiner les deux ? Quand sont-ils utilisés ? Quel est l’indicateur le plus important ? Ci-dessous, nous vous proposons notre analyse. 

Les IoC (indicateurs de compromission) 

Les IoC sont les indicateurs qui détectent la présence de l’auteur d’une menace sur un ordinateur. Néanmoins, il se peut que la compromission ait déjà eu lieu. En fait, ils sont utilisés pour diagnostiquer les problèmes de sécurité qui viennent de survenir au sein d’une entreprise. Ils constituent la preuve qu’une compromission de sécurité s’est produite ou était sur le point de se produire. 

À cet égard, les équipes ont recours aux IoC pour identifier des fichiers ou des artefacts qui ont déjà été classés comme malveillants : un email de phishing, un fichier de malware, une adresse IP associée à des pratiques cybercriminelles, une entrée à risque dans le registre, etc. Ils sont donc utiles en cela qu’ils permettent aux entreprises d’analyser les dommages causés au moment de la compromission ou après, et de réagir en atténuant ses effets et en éliminant la menace. 

Enfin, ces IoC peuvent servir aux entreprises ayant besoin de diagnostiquer précisément ce qui s’est passé afin de visualiser où se situe le problème et quelle vulnérabilité est exploitée après avoir subi un incident, et ce, en vue de corriger ces dysfonctionnements et prévenir des attaques similaires à l’avenir. 

Les IoA (indicateurs d’attaque) 

La recherche d’IoA relève d’une approche différente ; les IoA représentent en effet l’effort maximum en matière de proactivité. L’objectif est d’anticiper la compromission en enquêtant sur les activités suspectes, à l’inverse de la recherche d’IoC qui consiste à réagir, c’est-à-dire à rechercher des preuves de l’existence de la compromission. En d’autres termes, les IoA n’entrent pas en compte lorsque l’attaque a déjà eu lieu, mais plutôt au moment où elle a lieu, voire avant même que la menace ne puisse se transformer en un véritable incident. 

Les IoA comblent les lacunes laissées par les IoC : ils alertent en cas de tentative d’attaque, quelle que soit la méthode utilisée par les criminels pour contourner le système de sécurité de l’entreprise. Ainsi, les IoA peuvent percevoir les étapes d’attaque qui ne nécessitent pas le recours à des malwares, telles que les techniques LotL (Living off-the-Land).  

À l’origine du développement des indicateurs, il y a les équipes responsables du threat hunting s’appuyant sur les solutions de cybersécurité les plus avancées prises en charge par l'Intelligence Artificielle et le Machine Learning. Elles étudient et analysent en profondeur les activités des processus système à la recherche de comportements anormaux ou de comportements pouvant représenter un risque pour la sécurité de l’entreprise. S’ils sont détectés, les IoA permettent aux entreprises d’agir avant que la vulnérabilité ne puisse être exploitée et avant que les dommages ne soient devenus définitifs.  

Conclusion 

Les IoC permettent à la fois de découvrir une compromission (la menace qui est à l’origine de l’incident et son impact) et de réagir, en éliminant le danger, en arrêtant l’incident et en atténuant ses effets. Cependant, toute entreprise qui souhaiterait pouvoir se protéger de manière proactive doit se concentrer sur le développement de stratégies d’enquête basées sur la détection d’IoA afin de repérer les activités anormales, d’enquêter rapidement sur ces activités et de répondre à la menace dès que possible, avant même qu’elle ne devienne un incident réel. 

Parcourez notre gamme de produits WatchGuard Endpoint Security pour découvrir comment nos solutions permettent aux équipes de sécurité de prévenir des menaces complexes, les déceler et y répondre de manière proactive grâce à l’automatisation et aux moteurs de recherche identifiant les IoC et IoA. 

À partager :