Indicateur d'Attaque (IoA)
Qu'est-ce que Indicateur d'Attaque (IoA) ?
Indicateur d'Attaque (IoA)Preuve comportementale qu'un attaquant tente une intrusion en cours, centrée sur l'intention et la technique plutôt que sur des artefacts a posteriori.
Un Indicateur d'Attaque décrit un comportement d'attaquant en cours : exécution de code, tentatives de persistance, élévation de privilèges, dump d'identifiants, mouvement latéral, exfiltration. Contrairement aux IoC, atomiques et faciles à changer, les IoA sont liés à des techniques et plus difficiles à contourner car les modifier suppose de changer le mode opératoire. Les IoA se cartographient naturellement sur les techniques MITRE ATT&CK et constituent le socle de la détection comportementale dans les EDR, XDR et SIEM modernes. Un bon IoA capture le pourquoi et le comment d'une action — par exemple un processus Office qui lance PowerShell pour télécharger depuis un domaine externe — et déclenche une réponse avant le dommage.
● Exemples
- 01
Un IoA se déclenche quand winword.exe lance powershell.exe avec une ligne de commande encodée.
- 02
Un IoA de vol d'identifiants : accès à la mémoire LSASS par un processus non signé.
● Questions fréquentes
Qu'est-ce que Indicateur d'Attaque (IoA) ?
Preuve comportementale qu'un attaquant tente une intrusion en cours, centrée sur l'intention et la technique plutôt que sur des artefacts a posteriori. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Indicateur d'Attaque (IoA) ?
Preuve comportementale qu'un attaquant tente une intrusion en cours, centrée sur l'intention et la technique plutôt que sur des artefacts a posteriori.
Comment se défendre contre Indicateur d'Attaque (IoA) ?
Les défenses contre Indicateur d'Attaque (IoA) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Indicateur d'Attaque (IoA) ?
Noms alternatifs courants : IoA, Indicateur comportemental.