Forensic

L’analyse forensique consiste à effectuer une analyse du système d’information après une attaque informatique.
C’est une méthode d’investigation dont l’objectif est de produire des preuves numériques de l’attaque informatique en vue d’une procédure judiciaire ou d’une action interne. Pour cela, les experts de la sécurité informatique ont besoin de collecter un maximum de données brutes ou altérées pour reconstituer le déroulement de l’attaque (finalités, méthodes…).

La méthodologie utilisée pour l’enquête forensique

Récupération des données sur l’ensemble des supports informatiqueS

Récupération des fichiers logs ou fichiers effacés sur les serveurs, équipements réseaux, bases de données, disques durs, mémoire vive, sauvegardes, archives etc. pour obtenir des preuves en vue d’une plainte contre intrusion, vol de données, etc.

Traitement et analyse des données

Visualisation, tri, classement, recherche dans les traces.

Analyse et conclusions de l’attaque

Etude et compréhension de l’intrusion

L’analyse forensique peut s’effectuer de 3 façons différentes :

ANALYSE À FROID
(dead forensics)

L’ensemble des données du système d’information est copié pour être analysé sur un autre support. Cette solution permet d’aller plus en profondeur sans impacter le système existant.

ANALYSE À CHAUD
(live forensics)

Les données du système d’information sont récupérées sur un système en cours de fonctionnement. Cette solution permet d’analyser la mémoire vive et les process actifs.

ANALYSE EN TEMPS
RÉEL

Cette méthode consiste à capturer le trafic réseau pour analyser, détecter et comprendre l’attaque au niveau du réseau.