Le blog des experts formation d'ORSYS

Accueil » Technologies numériques » L’analyse forensique : enquêtes spéciales [interview]

L’analyse forensique : enquêtes spéciales

[interview]
16 mai 2019

L’analyse forensique

Dans un contexte où les cyberattaques deviennent la norme, la « résistance » s’organise sous la

forme de différentes prestations en sécurité. Parmi celles-ci, encore méconnue en France,
s’impose pourtant l’analyse forensique, outil de prédilection de l’enquêteur informatique.
Stéphane Reytan*, expert en cybersécurité et formateur ORSYS, a accepté de répondre à nos
questions pour nous faire découvrir les réalités d’un métier.

Quelle est la différence entre investigation numérique et

analyse forensique ?
L’analyse forensique fait référence à quelque chose de très
technique. Tout administrateur est
amené à faire de l’analyse forensique. La
plupart du temps, cela revient à détecter comment un
virus s’est infiltré ou
comment des documents sont sortis de la société. (…) Les clients ont
besoin de
comprendre d’où est venue l’infection pour être capable de la cloisonner,
d’améliorer sa
sécurité pour éviter que ça se reproduise et, bien sûr, de
s’assurer qu’il n’y a pas eu de
propagation au reste du système informatique.
Et [une attaque] ne va pas nécessairement
déclencher un dépôt de plainte.

L’investigation numérique fait quant à elle référence de façon globale aux enquêtes, et surtout
aux enquêtes policières. Même si ce sont des sujets qui sont assez connexes, il y a quand même
des nuances.

Si le but est également d’améliorer sa sécurité, quelles sont les

différences avec le pentest ?
C’est totalement différent. Le pentester se fait passer pour un attaquant pour effectuer un test
d’intrusion. Par exemple, le client va lui donner un périmètre très réduit, comme un site Web, et il
va simuler une attaque sur ce site. C’est une prestation spectaculaire, qui permet souvent de
valider de façon très fiable un niveau de sécurité sur un périmètre très réduit.

Alors que dans le cas de l’analyse forensique, une attaque a réussi et on essaie de comprendre
par où est passé l’attaquant, ce qu’il a fait, ce qu’il cherchait, quelles étaient ses motivations, est-
ce qu’il est toujours là, et quelles sont les techniques qu’il a utilisées. En résumé, le forensique,
c’est un peu Les experts à Miami… C’est la collecte des traces et une tentative de reconstitution
d’une attaque. (…)

L’objectif est-il de faire un recours en justice ?

Oui, et non. Dans l’immense majorité des cas, il n’y a pas de
suites judiciaires. Si vous avez été
victime d’un virus, vers qui allez-vous
vous tourner ? On va peut-être déposer une plainte pour des
questions d’assurance,
mais le forensique va surtout vous aider à comprendre par où c’est arrivé
pour
éviter que cela se reproduise. (…)
Le forensique est, par définition, une analyse des traces numériques. Même si, parfois, il n’y a pas
de traces. Par exemple, encore récemment, chez des clients, des serveurs ont été entièrement
infectés… Les serveurs ont été éteints, mais il est maintenant impossible de les redémarrer parce
que le disque dur est complètement détruit. C’est donc assez compliqué après de retrouver par
où et comment ils se sont fait hacker.

Quelles sont les techniques principales d’un enquêteur pour

retrouver ces traces numériques ?
Il y a des procédures de respect de l’intégrité des preuves à
suivre. La technique la plus connue,
par exemple, consiste à faire des copies du
disque dur, ou de la mémoire. Et ensuite, on va
travailler sur la copie.

On peut aussi obtenir les logs, c’est-à-dire les journaux

d’événements sur certains équipements
qui n’ont peut-être pas été touchés, mais
qui étaient dans le périmètre de l’attaque. (…) Dans le
cas d’un ransomware,
souvent, vous avez une demande de rançon à l’écran. En faisant une
capture de
cette demande de rançon, on peut parfois identifier le ransomware par la suite
dans
une librairie d’anti-virus et donc d’en déduire le type d’attaque qui se
cache derrière, et quelles
étaient les motivations.

Et puis il y a toute une partie organisationnelle, ou tout simplement humaine. D’ordinaire, les
intrusions sont détectées par les administrateurs ou les utilisateurs, donc on leur demande ce
qu’ils ont touché avant de nous appeler.

Comme lors d’une enquête criminelle…

Oui, c’est exactement ça. C’est vraiment comme à la télé où les
gens [marchent] sur la scène du
crime [et effacent les empreintes] ! Souvent,
malheureusement, plusieurs jours ont passé et il y a
eu un certain nombre de
manipulations. On pense pouvoir s’en sortir tout seul. Et puis on ne se
dit pas
forcément qu’il y a eu une intrusion. Les gens peuvent se dire qu’il y a un
dysfonctionnement et rebooter l’ordinateur… Sauf que certains virus ne restent
qu’en mémoire
RAM, alors si vous rebootez, le virus disparaît. (…) La détection
peut prendre beaucoup de temps.

Le temps moyen est souvent, entre la véritable intrusion et sa détection, de plusieurs centaines
de jours. Et c’est sans compter les vols de bande passante, d’espace de stockage… Ou encore du
vol de bandeaux publicitaires : les pirates s’introduisent sur des sites et modifient les panneaux
publicitaires de façon à récolter l’argent des publicités. Bref, pas mal de motivations.

Et des cas d’espionnage, également ?

Tout à fait. Et qui sont plus difficiles à détecter encore. (…) Dans certains cas, certains SIIV
(Systèmes d’Information d’Importance Vitale) qui font partie d’OIV (Organismes d’Importance
Vitale) sont surveillés de très près par l’ANSSI. Et quand on constate une intrusion ou un incident
de sécurité, il faut contacter et remonter un rapport circonstancié à l’ANSSI.

Cela concerne les systèmes sensibles à l’échelle nationale : énergie, télécoms, transports… Mais
il y a également toute la partie RGPD. Si l’on s’est fait dérober des données personnelles
(adresses, noms, numéros de téléphone…), en France, on est supposé contacter la CNIL, et
également avoir fait une enquête pour essayer de comprendre quand a eu lieu le vol, par quels
moyens, et à quelle ampleur… D’où le forensique.

Quelles compétences sont donc requises pour suivre une

formation en analyse forensique ?
Dans la partie forensique, plusieurs thèmes peuvent être abordés. On a d’un côté les forensiques
assez classiques sur les systèmes, Linux et Windows, pour lesquels il faut donc avoir de bonnes
connaissances en administration. Et on a également du forensique mobile/tablette, qui nécessite
des compétences Android ou iPhone. Ce sont généralement des spécialités très pointues, qui
demandent un certain nombre de compétences mais aussi des connaissances des procédures,
des tactiques, des outils, et des procédures de la cybercriminalité.

Pourtant, la prestation de pentest semble plus reconnue que

celle d’analyse forensique. Est-ce qu’il y a une raison à cela ?
Le marché est beaucoup moins gros. Mais il a quand même tendance à grossir. Et si on prend
l’exemple de l’ANSSI, la plupart des organismes du CAC40 sont soumis à la réglementation de la
loi de programmation militaire. Ils doivent soit implémenter en interne ou acheter auprès de
prestataires des PDIS (prestations de détection d’incidents) et PRIS, (prestations de réponse à
incidents), qui comprennent la partie forensique. On voit bien que c’est encore un projet
embryonnaire, puisque moins de sociétés sont spécialisées là-dedans, mais c’est en train de
changer…

Nos formations dans ce domaine : *Stéphane REYTAN

Ingénieur diplômé de Télécom

Bretagne, expert en Réseau et
en Sécurité, il est le fondateur-
dirigeant du cabinet de conseil
RANDCO, spécialisé en
Infrastructures IT. Depuis
 1998, il participe à de
Analyse forensic et multiples projets d’envergure
réponse à incidents de pour des organismes
sécurité (AFR) financiers et sociétés de toute

CLFE, Certified Lead taille, en les accompagnant

Forensics Examiner, sur des mutations

certification (CLF) technologiques d’avant-garde.

Analyse forensic (ANF)

Investigation numérique,
synthèse (IVN)

  J'aime  

Parcourir les articles

← Les objets connectés, maillons faibles de la cybersécurité ?

Stress et absentéisme au travail →

Rechercher sur le blog...

Rejoignez-nous !

 Nos autres sites

› ORSYS France
› ITTCERT by ORSYS
› ORSYS Belgique
 › ORSYS Luxembourg
› ORSYS Suisse

Consultez nos formations

♦ Technologies numériques

♦ Management - Développement personnel

♦ Compétences métiers

 nos articles récents

›
PME : la formation, remède à la crise ?
›
Pourquoi et comment clôturer un projet efficacement ?
›
L’offboarding ou outboarding pour bien gérer les départs
›
Développement de produit : Scrum, la redécouverte
›
Gestion de production : comment améliorer sa performance client ?

 catégories
Sélectionner une catégorie

 Rechercher

Rechercher

· © 2023 Le blog des experts formation d'ORSYS · Propulsé par  · Réalisé avec the Thème Customizr ·