L’analyse forensique fournit des preuves à la justice et aide à mieux comprendre les incidents.

A l’image d’une scène de crime les systèmes d’une entreprise victime de piratage ou de fraude informatique regorgent de traces laissées par l’attaquant. L’analyse forensique a pour objectif de les découvrir, de les conserver et, parfois, de les interpréter.

Ces traces pourront être exploitées en justice (c’est le domaine de l’analyse légale) et/ou en interne afin de reconstituer le parcours de l’attaquant, d’identifier les informations exfiltrées et de comprendre les vulnérabilités exploitées (c’est l’analyse technique, voir encadré).

Les recherches peuvent porter sur les journaux d’applications ou d’équipements réseaux, sur la mémoire vive des systèmes (y compris des smartphones !) ou encore les systèmes de stockage (fichiers temporaires, secteurs effacés des disques durs…).

Choisir son prestataire

Ces interventions nécessitent une expertise et des outils spécifiques.

Du côté de l’expertise, le choix d’un prestataire devra se faire sur la base de ses certifications, à la fois professionnelles (Certified Computer Forensics Examiner, GIAC Forensic Analyst, etc.) et techniques (consultant certifié sur des solutions particulières).

Les outils, quant a eux, sont logiciels (libres ou, le plus souvent, commerciaux) et matériels (notamment les bloqueurs d’écriture, qui garantissent l’intégrité du disque original durant la procédure).  

Légal ou technique :
les deux approches forensiques

Selon l’objectif recherché une prestation d’analyse forensique sera de nature différente. L’analyse légale a pour objectif de produire des preuves numériques fiables qui pourront être utilisées par un tribunal. Les conditions de recueil et de conservation sont donc primordiales.

L’analyse technique, quant à elle, s’intéressera aux méthodes de l’attaquant : elle analysera notamment en détail les codes malveillants et les outils exploités durant l’attaque.