abstract art

Méthodes d’investigation numérique

Leave a Comment / Uncategorized / By

L’investigation numérique : (Digital Forensics) est une branche de la cybersécurité qui vise à identifier, collecter, examiner et préserver des preuves numériques afin de les utiliser dans le cadre d’une enquête légale.

  • Identifier les traces laissées par des cybercriminels.
  • Récupérer des données perdues ou effacées.
  • Déterminer l’origine d’une attaque ou d’une action frauduleuse.

Types d’analyse forensique

  • Analyse forensique judiciaire.
  • Analyse forensique scientifique.
  • Analyse forensique et réponse à un incident.

Les règles de base

Intégrité des preuves : Ne pas modifier les données collectées.
Chaîne de traçabilité : Documenter toutes les étapes d’acquisition et d’analyse des preuves.
Légalité : Respecter les lois en vigueur sur la confidentialité et la collecte des données.
Reproductibilité : Les résultats obtenus doivent être vérifiables par d’autres experts.

Le cycle d’investigation numérique

1. L’identification du contexte

Elle permet d’obtenir des informations liées à l’incident de sécurité. Lors de cette phase, vous devez rencontrer diverses
personnes telles que les personnes de l’IT, les administrateurs, les responsables des machines infectées ou encore le SSI.

2. Collecte

Acquisition des données en veillant à ne pas les altérer.

2.1 Types de données analytiques
  • Données volatiles : RAM, connexions réseau en cours.
  • Données non volatiles : Disques durs, clés USB, fichiers journaux.
  • Données cachées ou supprimées : Fichiers effacés.
  • Métadonnées : Date de création, modification, géolocalisation.

3. Préservation

Stockage sécurisé des preuves.

3.1 Règles de base

Intégrité : Aucune modification des données ne doit être effectuée après la collecte.
Chaîne de traçabilité : (Chain of Custody) chaque action effectuée doit être documentée.
Stockage sécurisé : Les preuves doivent être protégées contre la corruption, la suppression et l’accès non autorisé.
Redondance : Utiliser plusieurs copies stockées sur différents supports.

4. Analyse

Examen approfondi des fichiers, logs, métadonnées, etc.

5. Rapport

Un rapport des résultats de vos analyses, présenté de manière
factuelle avec les éléments découverts. Vous indiquez également
les indicateurs de compromission et les recommandations à mettre
en place pour améliorer la sécurité de l’entreprise.

Leave a Comment

Your email address will not be published. Required fields are marked *