Académique Documents
Professionnel Documents
Culture Documents
INVESTIGATIONS NUMÉRIQUES
(IN)
Anissa KPAKPABIA
Comprendre les techniques et les méthodes utilisées par les attaquants pour éviter
les poursuites et les surmonter (anti-forensics)
Récupérer les fichiers supprimés, les fichiers cachés et les données temporaires qui
peuvent être utilisés comme preuves
Effectuer une réponse aux incidents (RI) pour éviter toute perte supplémentaire de
propriété intellectuelle, de finances et de réputation lors d'une attaque
Connaître les lois des différentes régions et zones, car les crimes numériques sont
répandus et géographiquement éparses
Connaître le processus de traitement selon les plateformes, de types de données et
de systèmes d'exploitation multiples.
LES OBJECTIFS DES IN
Carte à puce
La preuve est trouvée en reconnaissant ou en authentifiant
Dongle les informations de la carte et de l’utilisateur, par le niveau
d’accès, les configurations, les autorisations et dans l’appareil
Scanner biométrique lui-même.
LES SOURCES DE PREUVES NUMÉRIQUES
Enregistrements vocaux tels que les messages supprimés, le
Répondeur
dernier numéro appelé, le mémo, les numéros de téléphone et
les bandes
Caméra numérique /
Images, cartouches amovibles, vidéo, son, horodatage, etc.
caméras de surveillance
Mémoire vive (RAM) et La preuve est localisée et peut être acquise à partir de la
stockage volatile mémoire principale de l’ordinateur
La preuve est trouvée dans le carnet d’adresses, les notes, les calendriers
Montres connectées
de rendez-vous, les numéros de téléphone, les courriels, etc.
Télécopieurs Les preuves sont trouvées dans les documents, les numéros de téléphone,
les cartouches de film, les journaux d’envoi ou de réception
Systèmes de
positionnement global Les preuves sont trouvées à travers les destinations précédentes, les
(GPS) points de cheminement, les itinéraires, les journaux de voyage, etc.
LES RÈGLES DES PREUVES NUMÉRIQUES
Compréhensible
• Présenter les preuves de manière claire et compréhensible
• Obtenir l'avis d'experts pour confirmer le processus d'enquête
Admissible
• Pertinentes pour l'affaire
• Servir à soutenir le client qui les présente
• Être bien communiquées et sans préjugés
Fiabilité
• Extraire et manipuler les preuves tout en tenant un registre des tâches effectuées
• Menées les investigations uniquement sur des copies de la preuve
Complète
• Soit prouver soit réfuter le fait
LA RÈGLE DE LA MEILLEURE PREUVE
La règle de la meilleure preuve
• Le tribunal n'autorise que la preuve originale d'un document, d'une
photographie ou d'un enregistrement lors du procès et non une copie
• Le duplicata peut être accepté comme preuve, à condition que le tribunal
estime que les raisons invoquées par la partie pour présenter le duplicata
sont authentiques
• Si une preuve est détruite ou perdu ou inaccessible une copie pourra être
acceptée sur déposition d’un témoin
LA PRÉPARATION À L’IN
LA PRÉPARATION À L’IN
Capacité à utiliser de manière optimale les preuves numériques dans un
temps limité et avec des coûts d'enquête minimaux
Ensemble d’ actions techniques et non techniques qui maximisent la
compétence d'une organisation à utiliser des preuves numériques
Mise en place de procédures spécifiques de réponses à incident
Équipe qualifiée dédiée à la gestion d’incident
Réaction appropriée à tout incident et traitement approprié des
preuves
Atténuation du risque de menaces grâce à l’état de préparation
Mise en place de mesures préventives
LA PRÉPARATION À L’IN - BÉNÉFICES
Elle facilite la collecte de preuves
Elle permet l'utilisation d'une collecte exhaustive de preuves pour
dissuader les menaces internes et traiter correctement tous les
éléments de preuve
Elle aide l'organisation à mener une enquête rapide et efficace
Elle aide à mettre en place de mesures nécessaires en perturbant le
moins possible les activités quotidiennes de l'entreprise
Elle facilite une approche bien conçue, fixe et structurée du stockage des
preuves de possession
LA PRÉPARATION À L’IN - BÉNÉFICES
Elle étend la protection offerte par une politique de sécurité de
l'information pour couvrir les menaces plus larges de la
cybercriminalité, telles que les vols de propriété intellectuelle, la fraude
ou l'extorsion
Elle démontre la diligence raisonnable et la bonne gouvernance des
actifs informationnels de l'entreprise, selon la norme dite de
« Reasonable Man ». C’est un concept qui cherche à savoir ce que la
norme aurait voulu (Qu’est un individu normal aurait fait?)
Elle garantit que l'enquête répond à toutes les exigences réglementaires
Elle peut améliorer et faciliter les interactions avec les forces de l'ordre
Elle améliore les chances de succès d'une action en justice.
LA PRÉPARATION À L’IN - BÉNÉFICES
Elle peut fournir des preuves pour résoudre des litiges commerciaux ou
relatifs à la vie privée
Elle peut permettre d'imposer des sanctions aux employés, pouvant
aller jusqu'au licenciement, sur la base de preuves numériques (par
exemple, pour prouver la violation d'une politique d'utilisation
acceptable) ou de les disculper le cas non échéant
Elle empêche les attaquants de couvrir leurs traces
Elle limite le coût des exigences réglementaires ou légales en matière de
divulgation des données
Elle permet d'éviter des attaques similaires à l'avenir.
LA PRÉPARATION À L’IN ET LA CONTINUITÉ
D’ACTIVITÉS
Elle permet de:
• Déterminer rapidement les incidents
• Comprendre les informations pertinentes
• Collecter des preuves solides sur le plan juridique et les analyser pour
identifier les attaquants.
• minimiser les ressources nécessaires
• Éliminer la menace d'incidents répétés
• Récupérer rapidement les dommages avec moins de temps d'arrêt
• Rassembler les preuves nécessaires pour réclamer une assurance
• Poursuivre légalement les auteurs et réclamer des dommages et intérêts.
LA PRÉPARATION À L’IN ET LA CONTINUITÉ
D’ACTIVITÉS
La non préparation a pour conséquences:
• La perte de clients en raison de l'atteinte à la réputation de l'organisation
• Un long temps d'arrêt du système
• La manipulation, suppression et vol de données
• L’impossibilité de recueillir des preuves juridiquement valables
LA PLANIFICATION DE LA PRÉPARATION À L’IN
Identifier les preuves potentielles requises pour un incident
• Définir l'objectif de la collecte de preuves
• Rassembler des informations pour déterminer les sources de preuves essentiels
• Concevoir les meilleures méthodes de collecte
• Rédigez une déclaration d'exigences en matière de preuves en collaboration avec
les autres équipes
Les fichiers de preuve possibles comprennent les journaux d'audit informatique et de
périphériques, les journaux de réseau et les données système.