IR : investigation d'incidents et informatique judiciaire

·

Lorsque l'alarme d'une compromission de sécurité retentit, les premières heures déterminent si l'organisation gère un incident maîtrisé ou une crise ouverte. La réponse aux incidents (Incident Response, IR) et la forensique numérique sont les disciplines qui transforment ce chaos initial en un processus ordonné : contenir les dommages, comprendre ce qui s'est passé et préserver les preuves avec une valeur probatoire. Cet article parcourt le cycle de vie de l'IR, les principes forensiques qui soutiennent la chaîne de custody et les obligations légales qui, en 2026, font de la notification une question réglementée et non facultative.

Le cycle de vie de la réponse aux incidents

Le cadre de référence le plus répandu est celui du NIST, dans son guide SP 800-61, qui structure l'IR en quatre phases itératives : préparation ; détection et analyse ; confinement, éradication et récupération ; et activité post-incident. Le SANS décrit six phases avec un niveau de détail similaire. L'important n'est pas le nombre d'étapes mais de comprendre que l'IR est une boucle : ce qui est appris lors d'un incident alimente la préparation du suivant.

Triage : prioriser sous pression

Le triage est l'art de décider rapidement avec des informations incomplètes. Trois questions guident la priorisation : quels systèmes sont affectés et quelle est leur criticité pour l'activité ?, l'attaquant est-il encore actif à l'intérieur du réseau ?, et des données personnelles ou réglementées sont-elles compromises ? Une infection par ransomware sur un serveur de fichiers de production contenant des données clients est un incident de sévérité maximale ; un signal de balise malveillante sur un poste de test isolé, non. La matrice de sévérité doit être définie en phase de préparation, car la calibrer à chaud conduit à des erreurs coûteuses. Un principe opérationnel clé est de ne pas éteindre les machines compromises immédiatement : le faire détruit la mémoire volatile, où réside souvent la preuve la plus précieuse.

Forensique numérique et ordre de volatilité

La forensique numérique acquiert, préserve et analyse des preuves électroniques de manière à ce qu'elles soient recevables et reproductibles. Son principe directeur est l'ordre de volatilité, défini dans la RFC 3227 : on collecte en premier les données les plus éphémères. La hiérarchie habituelle est la suivante :

PrioritéSource de preuveVolatilitéOutil typique
1Registres CPU, cache, table de routage, connexions réseau activesSecondesCommandes système, scripts de collecte
2Mémoire RAM (vidage complet)Jusqu'à l'extinctionVolatility, FTK Imager, LiME
3Processus en cours d'exécution et fichiers temporairesMinutes à heuresosquery, EDR
4Disque (image bit à bit)Persistantdd, Guymager, write blocker
5Journaux centralisés et sauvegardesJours à moisSIEM, stockage WORM

L'analyse de la RAM avec un framework comme Volatility permet de reconstruire des processus malveillants qui n'ont jamais touché le disque — le fameux malware fileless —, de récupérer des clés de chiffrement en mémoire et de cartographier les connexions de commande et contrôle. L'image disque s'obtient toujours via un bloqueur d'écriture (write blocker) pour garantir que l'original n'est pas altéré pendant la copie.

La forensique ne se limite pas aux disques et à la mémoire des endpoints. Les sources de preuves se sont multipliées : les journaux des proxies et des pare-feux révèlent le trafic d'exfiltration ; les journaux d'authentification de l'annuaire actif montrent les mouvements latéraux et les élévations de privilèges ; dans les environnements cloud, les journaux d'audit de la plateforme — qui a créé quelle ressource, depuis quelle adresse IP et avec quelles informations d'identification — sont souvent la pièce maîtresse pour reconstruire une compromission qui n'a jamais touché de serveur physique. La forensique dans le cloud ajoute un défi particulier : les preuves sont éphémères et partagées, de sorte qu'activer et préserver le journal d'audit avant l'incident est décisif. Une organisation qui découvre, en plein milieu d'une enquête, que ses journaux cloud ne sont conservés que sept jours a perdu la plus grande partie de l'histoire qu'elle avait besoin de reconstituer.

Reconstruction de la chronologie et attribution

Le produit central d'une enquête forensique est la timeline : une chronologie unifiée qui ordonne chaque artefact — création de fichiers, exécutions de processus, connexions réseau, événements d'authentification — en une séquence cohérente. Des outils comme Plaso et son moteur log2timeline fusionnent les horodatages provenant de dizaines de sources dans un fil unique qui permet de répondre aux questions essentielles : quand l'attaquant est-il entré (vecteur initial), qu'a-t-il fait ensuite, quelles données a-t-il touchées et quand a-t-il été détecté. La fiabilité de cette chronologie dépend entièrement de la synchronisation des horloges : si les horloges ne pointent pas vers une source NTP commune, les horodatages de différents systèmes ne peuvent pas être alignés et la reconstruction devient une conjecture.

L'attribution — déterminer qui est derrière l'attaque — est délibérément prudente en forensique sérieuse. Plutôt que de désigner des noms, on cartographie le comportement observé par rapport à des cadres tels que MITRE ATT&CK pour caractériser l'adversaire par ses tactiques et techniques, et on le compare avec le renseignement sur les menaces pour l'associer, avec des degrés de confiance explicites, à des campagnes connues. L'attribution précipitée est un piège courant : elle conduit à des conclusions qui ne résistent pas à un contre-interrogatoire et qui peuvent orienter toute la réponse vers le mauvais suspect.

Chaîne de custody : l'intégrité comme exigence légale

La chaîne de custody est le registre documentaire ininterrompu de qui a eu accès à chaque preuve, quand, où et dans quel but, depuis son acquisition jusqu'à sa présentation. Si elle est rompue, la preuve perd sa valeur probatoire même si elle est techniquement correcte. Les piliers sont :

  1. Hachage cryptographique : un condensé SHA-256 de chaque image est calculé au moment de l'acquisition et vérifié à chaque copie ultérieure. Si le hachage correspond, la preuve est identique à l'original ; dans le cas contraire, elle a été manipulée.
  2. Travail sur des copies : l'analyse n'est jamais réalisée sur la preuve originale, mais sur une copie vérifiée, préservant la source intacte.
  3. Documentation complète : formulaires de custody signés à chaque transfert, avec date, heure et responsable.
  4. Stockage sécurisé : accès restreint et enregistré à la preuve stockée.

Erreurs courantes

La première et la plus grave est d'agir sur le système en activité sans collecter la mémoire : redémarrer ou éteindre efface des preuves volatiles irrémédiables. La deuxième est d'analyser l'original plutôt qu'une image, contaminant ainsi l'unique copie authentique. La troisième est de ne pas synchroniser les horloges : si les horodatages de différents systèmes ne sont pas alignés sur une source NTP fiable, reconstruire la chronologie de l'attaque devient impossible. La quatrième est une mauvaise communication : alerter involontairement l'attaquant (en changeant des mots de passe de manière visible avant d'avoir une vision complète) ou, à l'inverse, notifier trop tardivement les autorités en ne respectant pas les délais légaux.

Obligations de notification : NIS2 et RGPD

En 2026, la notification des incidents n'est plus discrétionnaire. La Directive NIS2 (UE 2022/2555), transposée dans les législations nationales, oblige les entités essentielles et importantes à notifier à leur CSIRT national un incident significatif avec une alerte précoce dans un délai de 24 heures et un rapport complet en 72 heures. Parallèlement, lorsque l'incident implique une violation de données personnelles, le RGPD impose de notifier l'autorité de contrôle compétente dans un délai maximum de 72 heures à compter du moment où l'on en a connaissance, et d'informer les personnes concernées si un risque élevé pour leurs droits existe. Ces délais font de la vitesse du triage une question de conformité légale, et renforcent la nécessité que la phase de préparation inclue des procédures de notification déjà rédigées.

Questions fréquentes

Ai-je besoin d'une équipe forensique interne ou puis-je externaliser ?

De nombreuses organisations combinent un CSIRT interne pour le triage et le confinement avec un prestataire spécialisé pour la forensique approfondie et l'expertise judiciaire. Ce qui est essentiel, c'est que les contrats de rétention soient signés avant l'incident, et non négociés pendant la crise.

Quelle est la différence entre un IOC et un TTP ?

Un indicateur de compromission (IOC) est une donnée concrète — un hachage, une adresse IP, un nom de domaine — qui trahit une intrusion connue. Les tactiques, techniques et procédures (TTP), cataloguées dans des cadres tels que MITRE ATT&CK, décrivent le comportement de l'attaquant et sont bien plus difficiles à contourner qu'un simple changement d'adresse IP.

Combien de temps dois-je conserver les preuves ?

Jusqu'à la prescription des éventuelles actions légales et la clôture des obligations réglementaires, ce qui implique généralement plusieurs années. La politique de conservation doit être définie avec l'appui juridique.

Le chiffrement des disques complique-t-il la forensique ?

Oui, si le système est éteint. C'est pourquoi l'acquisition de la mémoire à chaud est si précieuse : les clés de chiffrement des volumes montés résident généralement en RAM tant que la machine est allumée.

Conclusion

La réponse aux incidents ne se démontre pas le jour de l'attaque, mais durant les mois de préparation silencieuse qui précèdent : playbooks éprouvés, télémétrie déployée, horloges synchronisées et procédures de custody et de notification rédigées. La forensique numérique ajoute la rigueur qui transforme un soupçon en preuve recevable, et la chaîne de custody est ce qui soutient cette preuve devant un juge ou un régulateur. La leçon opérationnelle est sans appel : chaque minute de la première heure consomme des preuves volatiles qui ne reviennent pas, et chaque heure des premières 72 rapproche ou éloigne l'organisation de la conformité avec NIS2 et le RGPD. Chez Summum Systèmes, nous structurons l'IR comme une capacité permanente et non comme une réaction, car la seule réponse aux incidents qui fonctionne est celle qui était prête avant que l'incident ne survienne.