Publications

Incursion dans le monde de l’enquête numérique

par mars 2019Non classifié(e)0 commentaires

Suite à un incident de sécurité dans les systèmes de leurs clients, les cyberenquêteurs (ou enquêteurs numériques) se lancent sur les traces des pirates informatiques. Ce métier, assez récent, prendra beaucoup plus d’ampleur alors que toutes les sphères de nos vies s’installent dans le cyberespace.

Pourtant, plusieurs PME victimes de cyberattaques ne savent pas vers qui se tourner. Malgré son importance, le travail des enquêteurs numériques est méconnu.

Vous êtes-vous déjà demandé comment réagir si vous subissez les affres d’un pirate, ou même si vous soupçonnez une fuite d’information à l’interne?

Le domaine fascinant de la cyberenquête comporte son lot de procédures régularisées. Faire appel à un expert et prendre quelques précautions est donc primordial. Apprenez-en davantage sur les éléments cruciaux d’une enquête pour mieux protéger votre entreprise en cas de litige.

L’autorisation d’enquêter

Bien évidemment, l’enquête ne peut débuter sans l’émission d’une autorisation officielle. Cet élément fait partie intégrante du contrat signé entre l’entreprise victime d’une attaque et les spécialistes en sécurité informatique.

Dans le cas d’un incident ayant des répercussions légales, l’approbation doit découler d’un jugement pour permettre la saisie des données. L’étendue de ce type d’enquête est généralement encadrée par plusieurs paramètres déterminés par la cour.

Si la situation concerne, par exemple, les ressources humaines d’une organisation, le feu vert est accordé par la direction ou par l’équipe juridique interne.

Les preuves numériques

L’autorisation est donnée, l’enquête démarre. Alors, quelle est la prochaine étape, que cherchons-nous? Nous parlions plus tôt de suivre les traces des pirates. Cette image s’approche grandement de la réalité, puisque dans le monde numérique, la moindre activité laisse généralement une empreinte.

En matière d’intrusion, de vols ou de diffusion d’informations sensibles, plusieurs éléments peuvent renseigner l’enquêteur sur l’incident. Le disque dur de l’ordinateur, bien sûr, contient des données constituant des preuves. La mémoire vive et l’historique de navigation viennent aussi en tête.

Les pistes de recherche se multiplient dans un contexte hyperconnecté. L’historique d’appel d’une ligne fixe ou mobile, le journal des tâches d’une imprimante, la configuration d’un équipement au réseau et les journaux numériques des systèmes informatiques peuvent être consultés.

Tous les services connectés, comme Facebook, Snapchat, Instagram, Twitter ou LinkedIn, conservent également leur lot de données et de métadonnées. Ces dernières relient les communications, emplacements et déplacements enregistrés aux activités des individus dans le monde réel.

La préservation des preuves

L’ampleur des preuves contenues dans chaque appareil numérique que vous utilisez vous étonnerait probablement, mais ces données volatiles sont effaçables.

La mémoire vive et les journaux d’audits de serveurs, par exemple, sont régulièrement rafraîchis. Dès que vous soupçonnez qu’une enquête approche, la mise en place de mesures de protection est cruciale pour trois raisons.

  • Éviter l’altération ou la disparition des données.
  • Assurer la reproductibilité des analyses et des traitements conduits.
  • Garantir l’admissibilité technique des preuves devant un tribunal.

Dans la majorité des cas, copier les données visées à partir d’un appareil éteint est suffisant. Plusieurs outils spécialisés exécutent cette manipulation sans altérer les données au repos.

En dupliquant les preuves, vous laissez la chance aux enquêteurs d’accomplir leur travail sans impact sur l’environnement TI ciblé et en prenant tout le temps nécessaire en laboratoire.

Certaines situations demandent toutefois que les ordinateurs touchés soient conservés hors tension jusqu’à la résolution du problème.

Vous conviendrez donc de l’importance d’une méthodologie éprouvée en matière de cyberenquête. C’est exactement pour cette raison que les experts chez Forensik sont certifiés et n’utilisent que des outils reconnus pour leur fiabilité.

En cas d’incident de sécurité, la moindre manipulation peut mettre en cause l’ensemble de votre enquête. Ne prenez pas de risque, assurez-vous de respecter toutes les exigences en faisant appel à des spécialistes!

Et entre temps, faites le bilan de santé de la sécurité de votre entreprise en consultant nos recommandations. De cette manière, vous n’aurez peut-être jamais à vous soucier des processus d’enquête!

***

Suivez-nous sur LinkedIn

Notre page Facebook