Société d’investigations numériques Analyses de données Audits de systèmes de sauvegardes Conseils et remédiations sur cyberattaques
Je vais attentivement écouter votre demande. Cela débouchera certainement sur plusieurs questions pour être sûr de bien couvrir le champ complet d’investigation et de pouvoir répondre le mieux possible à vos attentes. Cette étape est importante pour être sûr de ne pas oublier un canal d’analyse (un support de stockage, un système de messagerie, des logs de pare-feu, un service cloud…).
Je vous donnerai alors les conseils adaptés pour ne pas ‘endommager’ les preuves potentielles.
C’est seulement après cette étape préliminaire que je pourrai déterminer le type de facturation (au coût horaire ou au forfait). Cette étape peut, elle aussi, être payante, suivant la complexité et l’urgence de la demande.
Une décharge sera demandée où il sera demander de certifier le fait que le(s) support(s) à examiner ainsi que les données contenues vous appartiennent (ou à la société dont vous avez la responsabilité).
Un contrat de confidentialité(*) peut-être, lui aussi, demandé par une des deux parties.
Un acompte sera demandé.
(*) voir exception dans la page services
Une identification précise du matériel sera réalisée lors de la prise en charge de vos supports numériques à analyser.
Si l’appareil est encore en fonctionnement, une capture de la mémoire vive (RAM) sera effectuée. Celle-ci servira si nécessaire à faire une analyse supplémentaire permettant de lister les processus en cours d’exécution. Cela permet de trouver de potentiels malwares en cours d’exécution.
Une double duplication intégrale des supports de stockages (disque dur, ssd, …) sera réalisée via du matériel spécialisé avec des bloqueurs en écriture. Une somme de contrôle (‘Hash’) de chaque support sera aussi calculée. Cette empreinte unique doit toujours correspondre parfaitement à l’original. Cela permet de vérifier à tout moment qu’aucun des supports ne sera modifié et que son contenu correspond bien au support source. Il est impératif de faire deux copies des disques d’origine et de ne jamais travailler directement sur le disque d’origine. Une seule de ces copies servira ensuite d’analyse ‘à froid’. L’autre servira de secours en cas de dysfonctionnement de la première copie.
L’étape de vérification de ‘hash’ est réalisée immédiatement après la duplication.
L’investigation est une véritable enquête minutieuse. Je vais procéder à plusieurs passes clés pour fouiller et trouver les réponses aux questions demandées. Pour ce faire, je procéde comme suit.
Je rédige un rapport qui répond à vos questions initiales. Ce rapport démontre un scénario par la succession de traces numériques. Ce rapport doit être clair et précis, car les décisions qui peuvent en découler peuvent être lourdes, notamment dans le cadre d’un procès.
Dans le cas d’une réponse à un incident, des mesures de protection, si elles existent, peuvent aussi être proposées.