Informatique légiste, les bonnes pratiques

Des bonnes pratiques, pour partie transposées des techniques d’enquête de police, existent (publication dédiée du National Institute of Standards and Technology américain notamment), mais elles restent méconnues des DSI, juristes d’entreprise et autres auditeurs internes.
Il est évidemment primordial de disposer d’une connaissance claire et à jour de ses systèmes d’information et de leurs différentes chaînes de liaison applicatives, système et réseau. Elle facilitera d’autant l’identification des données à collecter et leur analyse.

Dans la même ligne, la mise en œuvre préalable d’une politique de gestion des logs, garantissant l’activation, la collecte et la conservation des éléments de traçabilité nécessaires à la constitution ultérieure de preuves assurera le moment venu la disponibilité de traces indispensables aux analyses légistes.
Au rang des pré-requis utiles viennent s’ajouter, d’une part, le fait d’avoir défini une check-list des données système les plus volatiles, devant être collectées avant que le serveur ou le poste de travail ne soit arrêté (processus en cours, connexions réseau récentes et en cours, fichiers ouverts, etc.) ; d’autre part, celui de disposer d’un kit d’informatique légiste pouvant être lancé depuis un support externe et rassemblant l’ensemble des utilitaires nécessaires à la collecte et à l’analyse des données (gestionnaire de commande depuis lequel les autres outils du kit peuvent être lancés, visionneuse de dossiers, outil de décompression, outil permettant de représenter graphiquement des arborescences de fichiers, solutions permettant la recherche sur des chaînes de caractères et le pattern matching, utilitaire d’extraction des métadonnées de fichier, utilitaire de calcul d’empreinte, etc. ).

Concernant, l’analyse en elle-même, travailler en priorité sur des copies de disque et pas directement sur le serveur ou le poste de travail saisi est capital ; idéalement une image « bit-à-bit » avec utilisation de solution garantissant la non-modification du support initial et contrôle d’intégrité de la copie par rapport au support initial. Les analystes doivent de plus tenir une main courante de l’ensemble des opérations réalisées sur les différents supports manipulés afin d’assurer la continuité de la chaîne de preuve.

Disposer d’une solution de gestion des incidents et événements de sécurité (SIEM) ou d’une solution plus généraliste de datamining facilitant l’analyse de volumes de données importants constitue un plus appréciable. Ces solutions ne sont cependant pas indispensables dans un contexte où la durée de l’analyse n’est pas la contrainte première (au contraire d’une résolution d’incident réseau par exemple).

De l’intérêt d’être prêt

L’expérience montre qu’en cas de délinquance informatique suspectée ou avérée, l’absence de procédures claires et d’un outillage adapté font perdre un temps précieux aux « enquêteurs » de l’entreprise. Ce temps perdu, une certaine désorganisation et le manque de rigueur allant avec sont autant de préjudices à la qualité des preuves qui seront produites in fine et donc à la défense des intérêts juridiques et économiques de l’entreprise.
Il est par conséquent vital pour les entreprises de développer aujourd’hui ce type de compétences et de s’équiper correctement. Si certains peuvent s’interroger sur le retour sur investissement réel de ce travail, ils ne doivent perdre de vue ni les risques encourus « en ne faisant pas », ni la valeur ajoutée d’une partie de ces techniques dans des situations plus opérationnelles : gestion d’incident, suivi des usages, récupération de données, traçabilité des changements, etc.