Définition de forensique

L'analyse forensique, dans le domaine de la cyber-sécurité, consiste à effectuer une analyse du système d'information après une attaque informatique.

C'est une méthode d'investigation dont l'objectif est de produire des preuves numériques de l'attaque informatique en vue d’une procédure judiciaire ou d'une action interne. Pour cela, les experts de la sécurité informatique ont besoin de collecter un maximum de données brutes ou altérées pour reconstituer le déroulement de l'attaque (finalités, méthodes...).

La méthodologie utilisée pour l'enquête forensique

Dès l'incident constaté, l'analyse forensique consiste à utiliser des techniques éprouvées pour collecter les informations, analyser les journaux systèmes des équipements et établir les conclusions.

  • Récupération des données sur l'ensemble des supports informatique (récupération des fichiers logs ou fichiers effacés sur les serveurs, équipements réseaux, bases de données, disques durs, mémoire vive, sauvegardes, archives etc.) pour obtenir des preuves en vue d’une plainte (intrusion, vol de données, etc.)
  • Traitement et analyse des données : visualisation, tri, classement, recherche dans les traces.
  • Analyse et conclusions de l'attaque : étude et compréhension de l'intrusion

Les différentes approches de l'analyse

L'analyse forensique peut s'effectuer de 3 façons différentes :

  • Analyse à froid (dead forensics) : l’ensemble des données du système d'information est copié pour être analysé sur un autre support. Cette solution permet d'aller plus en profondeur sans impacter le système existant.

  • Analyse à chaud (live forensics) : les données du système d'information sont récupérées sur un système en cours de fonctionnnement. Cette solution permet d'analyser la mémoire vive et les process actifs.

  • Analyse en temps réel : cette méthode consiste à capturer le trafic réseau pour analyser, détecter et comprendre l'attaque au niveau du réseau.