Principes d’investigation sur incident
La norme ISO 27043 propose des lignes directrices pour élaborer des processus d’investigation sur incident impliquant des preuves numériques. L’investigation numérique utilise des méthodes scientifiques éprouvées pour procéder à l’identification, la collecte, le transport, le stockage, l’analyse, l’interprétation, la présentation, la distribution et éventuellement la destruction de preuves numériques. Les investigations numériques font partie du processus de réponse aux incidents de cybersécurité, pour lequel la série de normes ISO 27035 fournit des bonnes pratiques. Les investigations numériques comportent des exigences légales relatives notamment à la recevabilité des preuves devant une cour de justice. Si les exigences de recevabilité varient entre les juridictions, deux éléments fondamentaux sont la pertinence des preuves par rapport aux faits et l’authenticité, en démontrant que les preuves sont ce qu’elles sont censées être. Par exemple le juge pourra demander la garantie démontrable qu’un disque provient bien d’un serveur donné et qu’il n’a pas été modifié depuis sa collecte.
Processus d’investigation numérique
Le processus d’investigation numérique préconisé par la norme comprend les phases suivantes :
- Préparation. Cette étape traite de l’organisation et des moyens pour s’assurer que les systèmes sont en place et que le personnel impliqué dans les investigations a les bonnes compétences.
- Initialisation. Il s’agit de définir comment doit démarrer l’investigation.
- Acquisition. Cette partie consiste à identifier acquérir et transporter les preuves.
- Investigation. Cette étape comprend l’analyse, l’interprétation et la présentation des preuves.
Bonnes pratiques d’investigation
L’analyse des preuves requiert la maitrise de nombreuses techniques. En raison du volume, de la diversité et de la complexité des données, des outils et des méthodes automatisées accréditées sont généralement employés.
L’interprétation des preuves dépend des informations disponibles concernant les circonstances entourant la création des éléments de preuve. Afin de pouvoir réaliser une interprétation correcte des informations, les personnes impliquées dans l’exploitation des systèmes en cours d’investigation sont souvent requises.
Cette interprétation doit être formalisée dans un rapport clair et concis ne comportant aucune ambiguïté dans ses déclarations. Il doit être compréhensible par un public de non spécialistes comme des juges, des jurés, des accusés, des avocats, des procureurs, des actionnaires, des employés etc.
La présentation de ce rapport doit réaliser une démonstration des résultats du rapport. Cette démonstration peut être sous forme de questions-réponses, de présentation orale ou de témoignage d’un témoin expert. Le processus de présentation inclut également la démonstration de la validité de l’hypothèse en cas de contestation.
La clôture de l’investigation doit comprendre la consignation dans un rapport de l’acceptation ou du rejet de l’hypothèse, le retour ou la destruction des preuves et la communication vers les parties prenantes. Il est également recommandé d’inclure une réunion d’information sur le projet et les enseignements tirés.
Autres normes
Les autres normes liées à la norme ISO 27043 sont les suivantes :
- ISO 27035 (série) : gestion des incidents de sécurité.
- ISO 27037 : identification collecte acquisition et préservation de preuves.
- ISO 27038 : spécifications concernant l'exploitation numérique.
- ISO 27040 : sécurité de stockage.
- ISO 27041 : préconisations concernant la garantie d’aptitude à l’emploi et d’adéquation des méthodes d’investigation sur incident.
- ISO 27042 : analyse et interprétation des preuves numériques.
- ISO 27044 : Mise en œuvre d’un SIEM (Security Information and Event Management).
- ISO 27050 : découverte électronique.
- ISO 3021 : gouvernance du cadre de risques foraines site numériques.
Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :
