Recherche de preuves numériques

Analyse de supports, recherche de preuves numériques.

Vous recherchez la présence d’éléments précis (mail, type de fichiers, images) ou d’une suspicion (incident de sécurité informatique, vol de données d’entreprise, brevets, destruction, usurpation d’identité…).

Nous réalisons une analyse de tous les supports existants, quel que soit le système d’exploitation. Nous mettons tout en œuvre afin de localiser les éléments que vous recherchez dans le but d’extraire les preuves numériques et de vous fournir un rapport détaillé.

Nos interventions peuvent être de la recherche privée émanant d’une entreprise ou d’un particulier, ou bien de la recherche pour expertise judiciaire.

Engagement de moyens et traçabilité :
Nos recherches de preuves numériques sont effectuées dans les règles de l’art en respectant la chaîne de sécurité et les procédures légales afin que ces preuves soient recevables par un jury et donc utilisables dans le cadre d’une enquête judiciaire ou d’un procès.

Intervention sur devis uniquement.

Détaillez précisément la nature des supports à analyser (NAS, SAN, RAID, disques durs, SSD, GPS, SD, téléphone, etc.) ainsi que les éléments qui sont à rechercher sur les médias (éléments clés, types de fichiers, textes à rechercher, dates, hash de fichiers, etc.).

L’investigation numérique est encore appelée analyse forensique, digital forensics, inforensique ou informatique légale.
En savoir plus sur l’informatique légale

Cadre privé

Cela concerne les entreprises lors de réponse à incident, par exemple suite à une attaque de leurs systèmes d’information. Le plus souvent, lors d’une cyberattaque par crypto-locker ou extorsion.

Dans ce cas, il faut focaliser les recherches sur les parties prioritaires pour le client. Il faut trouver la méthode d’attaque (qui, quoi, quand et comment), pour pouvoir bloquer la brèche avant de tenter de reprendre une activité.

Tout fichier trouvé durant les investigations (même hors des critères de recherche) qui serait pénalement répréhensible ou non conforme à la charte informatique de l’entreprise sera porté à la connaissance de la direction.

Cadre judiciaire

Dans le cadre d’une affaire judiciaire suite à une perquisition de supports numériques, un juge peut solliciter un expert judiciaire pour “analyser” leurs contenus, pour l’aider dans sa prise de décision. L’avis de l’expert judiciaire ne s’impose pas au juge, qui reste libre dans l’appréciation des éléments de preuves. C’est un professionnel dans un domaine technique particulier, spécialement habilité par un tribunal.

Le juge donne les axes de recherche comme : “Qui ? Quoi ? Où ? Quand ?”. L’expert analysera puis établira un rapport avec toutes les preuves trouvées, leurs historiques et leurs relations, ou parfois à l’inverse l’absence totale de preuve.

Il existe une seule exception aux règles de confidentialité, dans le cas où l’expert trouve des éléments qui sont pénalement répréhensibles (pédopornographie, atteinte à la sûreté de l’État, etc.). L’expert a le devoir de les porter à la connaissance du juge, même si celui-ci n’avait pas orienté les recherches sur ces éléments découverts durant l’investigation.

Afin de ne pas endommager les preuves, la rapidité d’intervention et le respect de certains protocoles sont primordiaux.

Quelles différences y a-t-il entre Cadre privé et Cadre judiciaire ?

La finalité et les questions

Pour les deux types, les expertises se dérouleront de manière quasiment identique, car les principales étapes ne peuvent être contournées. C’est plutôt sur le contenu du rapport qu’il peut y avoir des différences. Les questions auxquelles, il doit répondre n’ont pas le même but. Il est normal, qu’un juge ne demande pas les mêmes questions, qu’un professionnel ou qu’un particulier.
Une expertise judiciaire peut toutefois être demandée suite à une plainte (par exemple : intrusion puis vol d’une base de données), dans ce cas-là le type de rapport sera très similaire dans son contenu et dans les preuves présentés.