forensic

L’investigation numérique ou forensic est utilisée après la constatation et la gestion d’une attaque informatique, pour prendre du recul et la comprendre en détail. C’est le même principe que dans les enquêtes policières : la science forensique regroupe l’ensemble des techniques utilisées dans la collecte, l’analyse et l’interprétation des traces suite à un crime.

L’analyse forensic : pourquoi l’utiliser ?

L’analyse forensique désigne les activités d’investigation numérique en cas de cyberattaque. Il s’agit bien entendu de la collecte de preuves, mais pas uniquement. La forensic regroupe :

  • l’analyse, pour comprendre ce qui s’est précisément passé lors de l’attaque ;
  • la collecte d’informations pour que le CERT puisse réagir à l’attaque (comprendre, stopper l’attaque et réparer) ;
  • en parallèle, il est également important d’accumuler des preuves probantes, pour porter plainte, dans le cadre d’une action interne à l’organisation ou pour lancer une procédure judiciaire.

L’analyse forensique est aussi réalisée dans le but de déterminer le modus operandi des attaquants et de découvrir des preuves sur système d’information ou des supports de stockage :

  • les ordinateurs ;
  • les serveurs ;
  • les téléphones portables ;
  • les applications ;
  • les bases de données ;
  • les supports de stockage externes (disques durs, clés USB, cartes SD…).

Qui réalise les analyses forensic ?

Pour venir à bout des attaques informatiques, les entreprises font souvent appel à des spécialistes en sécurité et en particulier à des experts de la réponse à incident.

Ces spécialistes ont besoin de collecter un maximum de données brutes ou altérées, afin de reconstituer le déroulement de l’attaque (méthodes, finalités, etc.).

Lorsqu’il y a un CERT dans l’entreprise, cette analyse est prise en charge en interne. Si l’entreprise n’a pas de CERT, l’analyse est gérée par les spécialistes/experts disponibles ou par un CERT externe comme celui d’Advens.

À savoir 

Quand on constitue un dossier à destination d’un dépôt de plainte, il est nécessaire d’être très formel. Pour y parvenir, faites-vous accompagner par des experts judiciaires.

Les analystes collectent l’ensemble des données brutes (fichiers effacés, disques durs, sauvegardes, journaux des systèmes…), puis les étudient pour établir des conclusions sur le déroulé de l’attaque.

L’analyse forensique implique une collaboration à 360° : elle nécessite de coordonner toutes les compétences de l’organisation, dans un moment souvent stressant pour les équipes.

Profession : analyste forensique

L’analyste forensique doit avoir un profil d’enquêteur ! C’est un métier qui nécessite des compétences très particulières.

Il arrive aussi parfois que l’analyste fasse appel à des membres du SOC pour installer un EDR, qui permettra de continuer l’investigation.

Forensic : les outils utilisés

Les experts forensic utilisent des outils particuliers :

  • soit des outils simples, qu’ils vont installer eux-mêmes selon leurs besoins ;
  • soit des solutions de sécurité particulières, tel qu’un EDR ;
  • soit des outils méthodologiques, comme par exemple des fiches de réponses à incident proposées par le CERT d’Advens.
  • Ils peuvent aussi charger les équipes informatiques du client de la récupération des informations dont ils ont besoin pour leur investigation.

N’oubliez pas que lors d’une cyberattaque, il peut être tentant d’éteindre les machines… alors que ce n’est pas recommandé ! Vous risqueriez de perdre des données non sauvegardées. Il faut avant tout déconnecter les machines d’internet pour les isoler. Découvrez les principes de la gestion d’une crise cyber.