Retour au blog
Cybersécurité Protection Data Tendances & innovation
Publié le 5 novembre 2025 Modifié le 5 novembre 2025
Table des matières
Auteurs
  • VHMN – user icon
    Les experts Relyens
Temps de lecture : 9 minutes

Les indicateurs de compromission (IoC)

indicateurs de compromission

Face à l’augmentation des cyberattaques, l’ANSSI met à disposition depuis 2020 des Indicateurs de Compromission (IoC). Ces marqueurs techniques permettent de détecter rapidement les intrusions, d’identifier les modes opératoires des cybercriminels et d’anticiper les menaces.

Intégrés dans des outils comme DFIR ORC et diffusés via le standard MISP, ils s’imposent désormais, dans le cadre du programme CaRE et de l’instruction DNS/2025/12, comme un levier réglementaire et opérationnel essentiel pour renforcer la résilience des systèmes informatiques.

Les cyberattaques contre les hôpitaux se multiplient : paralysie des services, vols de données de santé, ransomwares… Dans ce contexte tendu, un outil fait la différence : les Indicateurs de Compromission (IoC). Véritables “signaux faibles” des intrusions, ils offrent aux établissements de santé la possibilité de repérer une attaque avant qu’elle ne bloque la continuité des soins. Plus qu’un outil technique, les IoC sont désormais un pilier de la conformité réglementaire pour les établissements de santé français.

Les indicateurs de compromission (IoC) : qu’est-ce que c’est ?

Les indicateurs de compromission (1) sont des marqueurs techniques destinés à identifier et reconnaître les modes opératoires caractéristiques associés aux groupes cybercriminels.

Finalité des IoC

On comprend aisément l’apport de valeur que constituent les indicateurs de compromission pour les autorités en charge de protéger les intérêts de la nation :

Sur le plan quantitatif

  • ils permettent de mesurer l’ampleur de la menace en termes de volumétrie,
  • ils montrent la répartition des secteurs géographiques les plus touchés,
  • ils permettent d’identifier les pays d’origine en lien avec la menace

Sur le plan qualitatif

  • ils permettent de décrire finement les modes opératoires,
  • Ils permettent de fiabiliser et d’industrialiser la détection sur une plus large échelle
  • ils permettent d’identifier les bandes organisées derrière les exactions et parfois aller jusqu’à identifier les personnes physiques derrière ces actions

Pour renforcer l’efficacité des indicateurs de compromission, les autorités s’appuient sur un standard technique générique pour décrire ces informations. Cette démarche leur permet :

  • d’échanger ces informations au niveau d’instances internationales,
  • de permettre l’intégration de cette matière dans des outils techniques.

Un outil de recherche de compromission

L’ANSSI met à disposition un outillage spécialisé permettant « la recherche, l’extraction et la mise à disposition des données forensiques » appelé DFIR ORC (2).

Les données forensiques se définissent comme des informations extraites, collectées et enregistrées dans le cadre d’une enquête juridique. Lorsqu’un incident de sécurité apparaît au niveau du système d’information, cet outillage permet d’analyser l’éventuelle compromission des systèmes qui utilisent la technologie Microsoft Windows.

En effet, dans son mode opératoire le plus fréquent, la menace cherche prioritairement à obtenir une élévation de privilèges pour permettre, par la suite, des déplacements latéraux à travers le système d’information. Autrement dit, lorsqu’un pirate attaque un système, sa priorité est d’obtenir plus de droits d’accès. Avec ces droits, il peut se déplacer discrètement d’un ordinateur à un autre dans le réseau pour voler des données, installer des logiciels malveillants, ou attaquer d’autres parties du système.

La gestion des privilèges étant le plus souvent centralisée et très imbriquée avec le système d’exploitation Windows, l’ANSSI, en toute bonne logique, a centré son expertise et sa capacité d’analyse sur ces environnements.

De ce fait, pour faciliter le déploiement de l’outillage le plus rapidement, il est rappelé que l’outillage « a été entièrement conçu afin de fonctionner dans l’écosystème Microsoft Windows de façon décentralisée et à grande échelle ». Dans la phase de préparation, une configuration spécifique de l’outil permet d’adapter les réglages par défaut au contexte local pour lequel une analyse est requise.

Une fois terminé, l’outillage fabrique un ensemble de fichiers contenant les résultats de l’analyse au format CSV.

Mise à disposition des IoC

Une fois qualifiés et publiés sur le site de l’ANSSI [1], les indicateurs de compromission sont mis à disposition en conformité avec le format standard JSON MISP. Ce format s’utilise traditionnellement pour échanger des informations sur les menaces cyber à travers la plateforme MISP (Malware Information Sharing Platform & Threat Sharing, [3]).

Cette procédure assure l’interopérabilité entre les différents environnements susceptibles d’intégrer les éléments d’information.

Typologie des indicateurs de compromission récoltés

Les données mises à disposition décrivent des éléments techniques permettant d’identifier d’éventuelles traces de compromissions (voir tableau ci-dessous).

Type d’indicateur Description
comment Commentaire

Exemple : Infrastructure utilisée par le groupe cybercriminel Lockean.
domain Nom de domaine impliqué par une compromission

Exemple : akamai-technologies.digital
email-src Adresse email utilisée comme expéditrice de messages

Exemple : admin@belpay.by
filename Nom de fichier impliqué par une compromission

Exemple : /bin/backup
ip-dst Adresse IP publique destination en lien avec la menace

Exemple : 135.181.97.81
ip-src Adresse IP publique source en lien avec la menace

Exemple : 104.168.174.32
md5 Empreinte MD5 appliquée à un fichier

Exemple : 84837778682450cdca43d1397afd2310
sha1 Empreinte SHA1 appliquée à un fichier

Exemple : 1348d76072280a489cc8d6a15aeb3617b59585ba
sha256 Empreinte SHA256 appliquée à un fichier

Exemple : 6362084f61fa6a41b8b01b7c62215ad41a2623b69572ce558c33bffaa21f0af9
size-in-bytes Indication de taille de fichier

Exemple : 1032192
text Indication de chaine de caractère à usage divers (ici, une expression régulière)

Exemple : //49.12.104.241/\\w+\\.dll
url Adresse url en lien avec la menace

Exemple : http://everestedu.org/lndex.php

Apport de valeur pour les établissements

L’utilisation d’informations publiques massivement collectées et centralisées au niveau des autorités présente plusieurs avantages :

  • obtenir une vision à grande échelle des tendances en matière de cyberattaques,
  • anticiper sur une menace qui n’a pas encore approché l’établissement, mais qui s’est déjà manifestée ailleurs,
  • déterminer quels biens sont en cours de compromission, afin de rechercher les dispositifs médicaux menacés et donc prioriser la maîtrise du risque en lien avec les patients.

De plus, la diversité des indicateurs de compromission permet de statuer sur le déroulement chronologique d’une attaque en cours de déploiement :

  • La présence d’adresses IP publiques source compromises indiquent une compromission au stade initial, non encore aboutie.
  • La présence d’adresses IP publiques destination indique une compromission déployée, devenue capable de communiquer avec la menace. Si un tel trafic est détecté, cela signifie qu’une action de nettoyage des éléments compromis est requise d’urgence. Il est alors possible d’intervenir avant que l’attaque massive du système d’information soit lancée.

Programme Care : rôle des IoC dans le cadre réglementaire des établissements de santé

L’intégration des indicateurs de compromission dans les établissements de santé s’inscrit désormais dans un cadre de gouvernance renforcée, notamment via le programme CaRE (4).

Ce programme, soutenu par l’ANSSI, l’Agence du Numérique en Santé (ANS) et les Agences régionale de santé (ARS), permet non seulement d’accéder à des financements ciblés (pour les audits, la continuité d’activité ou l’identification renforcée), mais aussi d’aligner les établissements sur les nouvelles obligations réglementaires issues de l’instruction DNS/2025/12–17février 2025 (5).

Ces réglementations exigent notamment la mise en place d’exercices de crise cyber annuels, d’audits réguliers, de PCA (Plans de Continuité d’Activité)/PRA (Plans de Reprise d’Activité) formalisés, ainsi que l’utilisation d’IoC au service de la résilience opérationnelle.

Par ailleurs, face à la persistance des incidents informatiques d’origine malveillante pour le secteur santé (6), il est indispensable de combiner les IoC à des dispositifs de détection avancée, de segmentation du réseau, d’authentification renforcée et d’une veille permanente — alignée précisément avec les recommandations publiées par l’ANSSI dans son dernier rapport sur les menaces touchant le secteur de la santé.

Quels sont les risques potentiels liés à l’utilisation des IoC ?

L’exploitation des indicateurs de compromission comporte certains risques qu’il convient de maîtriser :

  • Un IoC obsolète ou mal qualifié peut générer des fausses alertes, saturer les systèmes de détection et détourner l’attention des équipes informatiques.
  • La collecte et le traitement des données via des outils comme DFIR ORC peuvent inclure des informations à caractère personnel, ce qui s’avère souvent incompatible avec les obligations liées au Règlement général sur la protection des données, RGPD.
  • Une mauvaise configuration des flux IoC peut entraîner une exposition involontaire de données sensibles.
  • La dépendance exclusive aux IoC ne garantit pas une protection complète : les cybercriminels adaptent constamment leurs méthodes.
  • L’interprétation incorrecte des signaux faibles peut retarder la détection d’attaques réelles, compromettant la continuité des soins et la sécurité des patients.

Une vigilance permanente et une mise à jour régulière des indicateurs sont donc essentielles.

Bonnes pratiques complémentaires pour l’exploitation des IoC

Pour maximiser l’efficacité des IoC, plusieurs bonnes pratiques complémentaires doivent être mises en œuvre :

  • Connecter les IoC à un Security information and event management (SIEM) ou un Security Orchestration, Automation and Response (SOAR) afin de corréler les alertes avec d’autres sources de données et détecter les comportements anormaux. Pour rappel, un SIEM centralise et analyse les journaux qui répertorient les événements de sécurité pour détecter les menaces, tandis qu’un SOAR automatise et coordonne la réponse aux incidents de sécurité détectés.
  • La mise à jour régulière des IoC et la suppression des indicateurs obsolètes permettent d’éviter les fausses alertes.
  • La formation continue des équipes informatiques à l’analyse et à l’exploitation des IoC est cruciale pour garantir une interprétation correcte.
  • La segmentation des réseaux et l’authentification renforcée limitent la propagation d’une intrusion détectée. Il est également utile de simuler des incidents pour tester les processus de réaction et valider les IoC dans un contexte réel.
  • La coordination avec l’assureur cyber et les autorités (ANSSI, ARS) renforce la résilience et la conformité réglementaire.

Les IoC provenant de sources sûres telles que celles du CERT-FR sont disponibles gratuitement. Ils donnent un bon niveau d’information, qui serait inaccessible à un établissement par ses seuls moyens. La mutualisation des informations produit donc un effet vertueux. De ce fait, l’intégration des indicateurs de compromission complète renforce efficacement votre capacité à détecter les tentatives d’intrusion dans votre système d’information.

Références :

  1. Publication des IoC par l’ANSSI : https://www.cert.ssi.gouv.fr/ioc/
  2. (2) L’outillage DFIR ORC : https://www.ssi.gouv.fr/actualite/decouvrez-dfir-orc-un-outil-de-collecte-libre-pour-lanalyse-forensique/
  3. Plateforme MISP : https://www.misp-project.org/
  4. Programme Care : https://esante.gouv.fr/espace-presse/presentation-du-programme-care
  5. Instruction DNS/2025/12–17 février 2025 : https://sante.gouv.fr/fichiers/bo/2025/2025.3.sante.pdf
  6.  Observatoire des incidents de sécurité des systèmes d’information pour les secteurs santé et médico-social 2023 : https://esante.gouv.fr/espace-presse/observatoire-des-incidents-de-securite-si-pour-les-secteurs-sante-et-medico-social-2023

FAQ

Les IoC permettent d’identifier rapidement des menaces émergentes, souvent détectées ailleurs, et d’anticiper les attaques avant qu’elles n’affectent le système d’information.

Le format MISP n’est pas obligatoire, mais recommandé : il garantit l’interopérabilité avec les outils de threat intelligence et les SIEM/SOAR courants.

Oui l’usage de DFIR ORC implique des risques RGPD. L’outil peut collecter des données personnelles. Il faut donc nettoyer ou anonymiser toute donnée non

Idéalement la fréquence pour récupérer et appliquer les IoC doit-être quotidienne ou hebdomadaire, selon la criticité de l’établissement, pour une détection proactive.

Les IoC trouvent leur place dans la détection et la remédiation des attaques cyber, en complément des audits, exercices de crise, PCA/PRA et conformité aux référentiels d’identification, tel que l’impose l’instruction DNS/2025/12.

Oui, l’instruction de 2025 impose de budgéter une part du numérique dédiée à la cybersécurité et de la déclarer sur la plateforme nationale.

Sur le même sujet

Toutes les publications
déployer l'iA en santé
Sécurité des soins Amélioration des pratiques

Déployer l’IA en santé

il y a 2 moisDéjà lu
4 enjeux de la donnée de santé
Cybersécurité Amélioration des pratiques

Quels sont les 4 enjeux de la donnée de santé ?

il y a 2 semainesDéjà lu
digital
Cybersécurité Analyse de risque

Quels sont les types de cyberattaques au sein des établissements de santé ?

il y a 4 ansDéjà lu