Les cybercrimes montent en flèche. Et malheureusement, il n’est pas toujours possible de les stopper à temps. Une fois qu’ils se sont produits, mieux vaut comprendre les actions effectuées pour identifier les failles, voire pour engager une procédure judiciaire. C’est là que l’analyse forensique entre en jeu. Alors de quoi s’agit-il ? Pourquoi mener une telle investigation ? Et surtout comment ? DataScientest répond à vos questions.
Qu’est-ce qu’une analyse forensique ?
Une analyse méthodique des événements cyber
L’analyse forensique (ou juste forensic) est une investigation méthodique et approfondie des systèmes d’information après un incident cyber, comme un piratage ou un vol de données. L’objectif est d’analyser l’ensemble des données du SI pour comprendre ce qu’il s’est passé et en tirer les conditions adéquates.
Les objectifs sont doubles : identifier les vulnérabilités ayant rendu possible l’attaque et réunir des preuves avant le lancement d’une procédure judiciaire.
Parmi les preuves, l’analyse forensique permet de collecter : des fichiers effacés, des disques durs, des sauvegardes, des logs et tentatives de suppression, des sites internet visités, des programmes de piratage, des mots de passe volés, des messages envoyés, etc.
Pour réunir toutes ces preuves numériques, l’expert cyber peut analyser tous types de support informatique. Selon les systèmes, le type de forensic varie.
4 types d'analyse forensique
Au vu de la variété de supports informatiques, les analystes cyber peuvent réaliser plusieurs types d’investigations :
- Analyse forensique numérique : c’est la plus courante, puisqu’il s’agit d’analyser les disques durs, les supports de stockage, les serveurs ou les systèmes de fichiers.
- Analyse forensique de réseaux : cette investigation porte sur le trafic réseau pour détecter des activités malveillantes ou non autorisées.
- Analyse forensique mobile : sur les smartphones, tablettes, et autres dispositifs portatifs. Elle est souvent utilisée dans les cas de fraude, de harcèlement, de crimes impliquant des communications mobiles.
- Analyse forensique de la mémoire : comme la mémoire RAM et les processus en cours. Particulièrement utile pour les analyses d’attaques en temps réel afin de récupérer des données volatiles non stockées sur le disque dur.
Pourquoi faire une analyse forensique ?
La science forensic répond à deux objectifs.
Le forensic technique
Le forensic judiciaire
L’objectif est de récupérer des preuves d’intrusion. L’organisation victime d’une cyberattaque peut ainsi monter un dossier contre le hacker informatique. Ce dossier sera ensuite remis auprès d’un avocat ou d’un huissier dans le cadre d’une action en justice.
Bon à savoir : à ce titre, de nombreux analystes forensiques travaillent dans la police scientifique. Ils sont alors spécialisés dans la résolution d’affaires pénales et criminelles. Et pour cela, ils utilisent les données.
Comment se déroule une investigation forensique ?
L’analyse forensique se déroule en 3 grandes étapes.
La collecte des preuves
Pour commencer une investigation forensique, il faut collecter l’ensemble des données numériques relatives à l’attaque. Par exemple, les fichiers supprimés ou les fichiers logs sur les équipements réseau, les archives, etc.
Il existe plusieurs manières de récupérer les données :
- L’analyse à froid ou dead forensics : il s’agit de copier toutes les données brutes du SI sur un autre support (par exemple une clé USB ou un disque dur externe). Cela évite d’endommager le système existant.
- L’analyse à chaud ou live forensics : c’est la méthode utilisée dans le cadre d’une analyse de la mémoire. L’expert cyber récupère les données du système d’information avant de les installer dans un système en cours de fonctionnement.
- L’analyse en temps réel : pour récupérer les informations relatives au trafic réseau.
L’analyse des preuves
Une fois toutes les données collectées, il convient de comprendre le cours des événements et de monter un dossier. Pour cela, l’analyste cyber va souvent établir et tester des scénarios à partir des données collectées. Progressivement, il peut déduire la suite logique des événements, jusqu’à comprendre précisément comment s’est déroulée l’attaque.
Bon à savoir : après cette phase, il y a souvent une étape intermédiaire de remédiation dans le cadre de l’analyse forensic technique. L’idée est alors de s’assurer que toutes les vulnérabilités soient bel et bien corrigées.
La remise du rapport
Si les experts cyber réalisent une analyse forensique, les résultats intéressent tout un tas de parties prenantes, comme des avocats, des juges, les décisionnaires d’une organisation, etc. Or, ce ne sont pas des experts data. Il convient donc de remettre un rapport clair et concis, compréhensible par tous.
Ce rapport permettra ensuite de prendre les bonnes décisions (pour un forensic technique) ou de monter un dossier judiciaire.
Un besoin croissant d’analyste cyber
Avec la montée en puissance des attaques informatiques, les entreprises ont plus que jamais besoin d’experts cyber capables de réaliser des analyses forensiques. Ces dernières permettent non seulement d’améliorer le système de sécurité informatique en identifiant les failles, mais aussi et surtout, de réunir des preuves contre les cybercriminelles.
Vous souhaitez aider les organisations à lutter contre les attaques informatiques ? Formez-vous avec DataScientest.
