Sommaire

Introduction

Une fois qu’un malware a été analysé, que son fonctionnement a été compris, il est important de créer une base d’indicateurs de compromission permettant à l’avenir d’identifier rapidement les menaces similaires.

En inforensique, un indicateur de compromission (ou IOC IOC Indicateur de compromission pour Indicator Of Compromise) est un ensemble de caractéristiques, ou artéfacts, représentatifs d’un comportement malveillant connu. Ces indicateurs constituent une base de connaissances qui capitalise sur le travail des analystes. Cette capitalisation a deux objectifs : d’une part, accélérer les prochaines analyses similaires, et d’autre part, identifier une infection utilisant un malware déjà rencontré, ou procédant suivant le même mode opératoire.

Pour la majorité des sociétés, l’analyse n’est pas un objectif en soi, l’objectif réel est de vérifier l’état d’infection du parc informatique face à un malware non détecté, de confiner l’infection et d’éradiquer le malware présent sur son réseau. Pour réussir ces trois tâches, la base d’indicateurs de compromission est primordiale, elle permettra de consolider le travail de l’équipe d’analyse technique.

Dans un monde parfait, cette base devrait être partagée entre les sociétés ...