This is the Trace Id: d2387e5bb48dd478c47764a965445a57
Passer directement au contenu principal Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Voir tous les produits Cybersécurité basée sur l’IA Sécurité du cloud Sécurité et gouvernance des données Identité et accès réseau Gestion des risques et de la confidentialité Sécurité pour l’IA PME SecOps unifiées Confiance Zéro Tarifs Services Partenaires Pourquoi Sécurité Microsoft Sensibilisation à la cybersécurité Témoignages de clients Sécurité 101 Essais de produits Distinctions Microsoft Security Insider Rapport Microsoft Digital Defense Centre de réponse aux problèmes de sécurité Blog Sécurité Microsoft Événements Microsoft en lien avec la sécurité Communauté technique Microsoft Documentation Bibliothèque de contenu technique Formation et certifications Programme de conformité pour Microsoft Cloud Centre de gestion de la confidentialité Microsoft Portail d’approbation de services Microsoft Initiative pour un avenir sûr Business Solutions Hub Contacter le service commercial Démarrer un essai gratuit Sécurité Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Réalité mixte Microsoft HoloLens Microsoft Viva Informatique quantique Éducation Automobile Services financiers Secteur public Santé Industrie Vente au détail Trouver un partenaire Devenir partenaire Réseau de partenaires Microsoft Marketplace Entreprises de logiciels Blog Microsoft Advertising Centre pour les développeurs Documentation Événements Licences Microsoft Learn Microsoft Research Vue plan de site
Voici le texte alternatif demandé, sans mentionner le visage flouté : **Texte alternatif :** Une personne tenant une tablette dans une salle de serveurs, qui consulte un tableau de bord affichant des graphiques et des métriques système à l’écran.

Quels sont les indicateurs publics de compromission (IdC) ?

Découvrez comment surveiller, identifier, utiliser et répondre aux indicateurs de compromission.
Découvrez Microsoft Defender Threat Intelligence

Indicateurs de compromission (IOC) expliqués

Un indicateur de compromission (IOC) est une preuve que quelqu’un a pu s’introduire dans le réseau ou le point de terminaison d’une organisation. Ces données forensiques n’indiquent pas seulement une menace potentielle, elles signalent qu’une attaque, telle qu’un logiciel malveillant, des informations d’identification compromises ou l’exfiltration de données, s’est déjà produite. Les professionnels de la sécurité recherchent des IdC sur les journaux des événements, les solutions de détection et de réponse étendues (XDR) et les solutions de Gestion des informations et des événements de sécurité (SIEM). Lors d’une attaque, l’équipe utilise des IdC pour éliminer la menace et atténuer les dommages. Après la récupération, les IdC aident une entreprise à mieux comprendre ce qui s’est passé, afin que l’équipe de sécurité de l’organisation puisse renforcer la sécurité et réduire le risque d’un autre incident similaire.

Exemples d’IdC

Dans la sécurité de l’IdC, le service informatique surveille l’environnement pour obtenir les indices suivants indiquant qu’une attaque est en cours :

Anomalies du trafic réseau

Dans la plupart des organisations, il existe des modèles cohérents pour le trafic réseau qui transite et sort de l’environnement numérique. Si la situation change, par exemple si le nombre de données quittant l’entreprise augmente de manière significative ou si l’activité provient d’un endroit inhabituel du réseau, cela peut être le signe d’une attaque.

Tentatives de connexion inhabituelles

Tout comme le trafic réseau, les habitudes de travail des personnes sont prévisibles. Elles se connectent généralement à partir des mêmes emplacements et à peu près aux mêmes heures pendant la semaine. Les professionnels de la sécurité peuvent détecter un compte compromis en prêtant attention aux connexions à des heures inhabituelles de la journée ou à partir de zones géographiques inhabituelles, comme un pays où l’organisation n’a pas de bureau. Il est également important de prendre note de plusieurs échecs de connexion à partir du même compte. Même si les gens oublient parfois leur mot de passe ou éprouvent des difficultés à se connecter, ils parviennent généralement à résoudre le problème après quelques tentatives. Des tentatives d’ouverture de session qui échouent à plusieurs reprises peuvent indiquer que quelqu’un essaie d’accéder à l’entreprise à l’aide d’un compte volé.

Irrégularités des privilèges de compte

De nombreux attaquants, qu’ils soient internes ou externes, sont intéressés par l’accès aux comptes administratifs et l’acquisition de données sensibles. Un comportement atypique associé à ces comptes, tel qu’une tentative d’escalade des privilèges, peut être le signe d’une violation.

Modifications apportées aux configurations des systèmes

Les logiciels malveillants sont souvent programmés pour modifier la configuration des systèmes, par exemple en permettant l’accès à distance ou en désactivant les logiciels de sécurité. En surveillant ces changements de configuration inattendus, les professionnels de la sécurité peuvent identifier une brèche avant que les dégâts ne soient trop importants.

Installations ou mises à jour inattendues de logiciels

De nombreuses attaques commencent par l’installation d’un logiciel, tel qu’un logiciel malveillant ou un rançongiciel, conçu pour rendre les fichiers inaccessibles ou pour permettre aux attaquants d’accéder au réseau. En surveillant les installations et les mises à jour logicielles non planifiées, les entreprises peuvent détecter rapidement ces IdC.

De nombreuses requêtes pour le même fichier

Des requêtes multiples pour un même fichier peuvent indiquer qu’un acteur malveillant tente de le voler et a essayé plusieurs méthodes pour y accéder.

Requêtes inhabituelles de systèmes de noms de domaine

Certains acteurs malveillants utilisent une commande et un contrôle d’appel de méthode d’attaque. Ils installent un logiciel malveillant sur le serveur d’une organisation qui crée une connexion avec un serveur qu’ils possèdent. Ils envoient ensuite des commandes de leur serveur à la machine infectée pour tenter de voler des données ou de perturber les opérations. Les requêtes inhabituelles de systèmes de noms de domaine (DNS) aident les services informatiques à détecter ces attaques.

Comment identifier les IdC ?

Les signes d’une attaque numérique sont enregistrés dans les fichiers journaux. Dans le cadre de la cybersécurité de l’IdC, les équipes surveillent régulièrement les systèmes numériques pour détecter toute activité suspecte. Les solutions SIEM et XDR modernes simplifient ce processus grâce à l’IA et aux algorithmes d’apprentissage automatique qui établissent une base de référence pour ce qui est normal dans l’organisation, puis alertent l’équipe en cas d’anomalies. Il est également important d’impliquer les employés en dehors du domaine de la sécurité, qui peuvent recevoir des courriels suspects ou télécharger accidentellement un fichier infecté. De bons programmes de formation à la sécurité aident les travailleurs à mieux détecter les courriels compromis et leur donnent les moyens de signaler tout ce qui leur semble anormal.

Pourquoi les IdC sont importants ?

La surveillance des IdC est essentielle pour réduire le risque de sécurité d’une organisation. La détection précoce des IdC permet aux équipes de sécurité de répondre aux attaques et de les résoudre rapidement, réduisant ainsi les temps d’arrêt et les perturbations. Une surveillance régulière permet également aux équipes de mieux connaître les vulnérabilités de l’organisation, qui peuvent alors être atténuées.

Réagir aux indicateurs de compromission

Une fois que les équipes de sécurité ont identifié un IdC, elles doivent réagir efficacement afin de limiter autant que possible les dommages causés à l’entreprise. Les étapes suivantes aident les organisations à rester concentrées et à arrêter les menaces aussi rapidement que possible :

Élaborer un plan de réponse aux incidents

La réponse aux incidents est stressante et prend du temps, car plus les attaquants restent non détectés, plus ils ont de chances d’atteindre leurs objectifs. De nombreuses organisations élaborent un plan de réponse aux incidents en cas d’incident afin de guider les équipes pendant les phases critiques de la réponse. Le plan décrit la manière dont l’entreprise définit un incident, les rôles et les responsabilités, les étapes nécessaires pour résoudre un incident et la manière dont l’équipe doit communiquer avec les employés et les parties prenantes externes.

Isoler les systèmes et les appareils compromis

Une fois qu’une entreprise a identifié une menace, l’équipe de sécurité isole rapidement les applications ou les systèmes attaqués du reste des réseaux. Cela permet d’empêcher les attaquants d’accéder à d’autres parties de l’entreprise.

Effectuer une analyse d’investigation

L’analyse forensique aide les organisations à découvrir tous les aspects d’une violation, y compris la source, le type d’attaque et les objectifs de l’attaquant. L’analyse est effectuée pendant l’attaque pour comprendre l’étendue de la compromission. Une fois que l’entreprise s’est remise de l’attaque, une analyse supplémentaire aide l’équipe à comprendre les vulnérabilités possibles et d’autres insights.

Éliminer la menace

L’équipe élimine l’attaquant et tout logiciel malveillant des systèmes et ressources affectés, ce qui peut impliquer la mise hors ligne des systèmes.

Implémenter des améliorations de sécurité et de processus

Une fois que l’entreprise s’est remise de l’incident, il est important d’évaluer pourquoi l’attaque s’est produite et s’il y a quelque chose que l’organisation aurait pu faire pour l’éviter. Il peut s’agir de simples améliorations des processus et des stratégies qui réduiront le risque d’une attaque similaire à l’avenir, ou l’équipe peut identifier des solutions à plus long terme à ajouter à une feuille de route en matière de sécurité.



Solutions de l’IdC

La plupart des atteintes à la sécurité laissent des traces dans les fichiers journaux et les systèmes. Apprendre à identifier et à surveiller ces IdC permet aux organisations d’isoler et d’éliminer rapidement les attaquants. De nombreuses équipes se tournent vers des solutions SIEM, telles que Microsoft Sentinel et Microsoft Defender XDR, qui utilisent l’IA et l’automatisation pour mettre en évidence les IdC et les mettre en corrélation avec d’autres événements. Un plan de réponse aux incidents permet aux équipes d’anticiper les attaques et de les arrêter rapidement. En matière de cybersécurité, plus les entreprises comprennent rapidement ce qui se passe, plus elles ont de chances d’arrêter une attaque avant qu’elle ne leur coûte de l’argent ou ne nuise à leur réputation. La sécurité des IdC est essentielle pour aider les organisations à réduire le risque d’une violation coûteuse.
Ressources

En savoir plus sur la sécurité Microsoft

  1.
Un homme et une femme assis à une table. La femme écrit dans un livre et un ordinateur portable est visible.

Protection Microsoft contre les menaces

Identifiez les incidents et répondez-y dans l’ensemble de votre entreprise grâce aux outils de protection contre les menaces les plus récents.
En savoir plus
Une personne assise à un bureau utilisant un ordinateur portable.

Microsoft Sentinel

Unifiez le contexte et les données de sécurité pour alimenter une défense agentique avec la plateforme SIEM & axée sur l’IA.
En savoir plus
Une femme regardant son téléphone mobile.

Microsoft Defender XDR

Stoppez les attaques dans l’ensemble des points de terminaison, services de courrier, identités, applications et données avec les solutions XDR.
En savoir plus
Groupe de trois personnes dans un bureau lumineux, souriantes et attentives, regardant un ordinateur portable tenu par l’une d’entre elles.

Communauté de la veille des menaces

Obtenez les dernières mises à jour de l’édition de la communauté de Microsoft Defender Threat Intelligence.
En savoir plus
Revenir à la section Produits associés
FAQ

Forum aux questions

  • Il existe plusieurs types d’IdC. Les plus courants sont les suivants :
    • Anomalies du trafic réseau
    • Tentatives de connexion inhabituelles
    • Irrégularités des privilèges de compte
    • Modifications apportées aux configurations du système
    • Installations ou mises à jour inattendues de logiciels
    • De nombreuses requêtes pour le même fichier
    • Requêtes inhabituelles de systèmes de noms de domaine
  • Un indicateur de compromission est une preuve numérique qu’une attaque a déjà eu lieu. Un indicateur d’attaque est une preuve qu’une attaque est susceptible de se produire. Par exemple, une campagne de phishing est un indicateur d’attaque, car il n’y a aucune preuve que le pirate a pénétré dans l’entreprise. Toutefois, si une personne clique sur un lien d’hameçonnage et télécharge un logiciel malveillant, l’installation de ce dernier est un indicateur de compromission.
  • Les indicateurs de compromission de l’e-mail comprennent un afflux soudain de courrier indésirable, des pièces jointes ou des liens étranges, ou un e-mail inattendu provenant d’une personne connue. Par exemple, si un employé envoie à un collègue un e-mail contenant une pièce jointe étrange, cela peut indiquer que son compte a été compromis.
  • Il existe plusieurs façons d’identifier un système compromis. Une modification du trafic réseau en provenance d’un ordinateur particulier peut indiquer que celui-ci a été compromis. Si une personne qui n’a généralement pas besoin d’un système commence à y accéder régulièrement, c’est un signal d’alarme. Des modifications de la configuration du système ou l’installation inattendue d’un logiciel peuvent également indiquer qu’il a été compromis.
  • Trois exemples d’IdC sont les suivants :
    • Un compte utilisateur basé en Amérique du Nord commence à se connecter aux ressources de l’entreprise à partir de l’Europe.
    • Des milliers de requêtes d’accès sur plusieurs comptes d’utilisateurs, indiquant que l’organisation est victime d’une attaque par force brute.
    • Nouvelles requête de systèmes de noms de domaine provenant d’un nouvel hôte ou d’un pays où les employés et les clients ne résident pas.

Suivez la Sécurité Microsoft

Surface Pro Surface Laptop Copilot pour les organisations Copilot pour une utilisation personnelle Microsoft 365 Découvrir les produits Microsoft Applications Windows 11 Profil du compte Centre de téléchargement Support du Microsoft Store Retours Suivi des commandes Recycler Garanties Microsoft Éducation Appareils pour l’enseignement Microsoft Teams pour l’éducation Microsoft 365 Éducation Office Éducation Formation et développement des enseignants Offres pour étudiants et parents Azure pour les étudiants
Microsoft AI Sécurité Microsoft Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams TPE & PME Développeur Microsoft Microsoft Learn Prise en charge des applications du marketplace d’IA Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Entreprises de logiciels Visual Studio Emploi À propos de Microsoft Actualités de la société Confidentialité chez Microsoft Investisseurs
Français (Belgique) Confidentialité de l’intégrité des consommateurs Contacter Microsoft Confidentialité Gérer les cookies Conditions d'utilisation Marques À propos de nos annonces EU Compliance DoCs