Les investigations numériques

La détection des événements suspects et la qualification des incidents de sécurité sont des éléments clés du processus de réponse aux incidents de sécurité (voir quelques recommandations ici et ici), que l’on retrouve dans la série de normes ISO 27035. Les CISO/RSSI doivent intégrer cette capacité de détection et de réponse à leur politique de sécurité. L’investigation numérique ou « digital forensics » est une discipline spécifique de la cybersécurité, avec ses compétences et ses outils. Cet article dresse un aperçu des bonnes pratiques disponibles dans cette matière qui, si elle reste très ardue techniquement doit être mieux comprise et intégrée aux processus de réponse et réaction aux incidents.

ISO 27037 pour le traitement des preuves

Cette norme fournit des recommandations pour traiter les preuves numériques : identification, collecte, acquisition et préservation. En cas de procédure administrative ou judiciaire, ces éléments sont susceptibles de présenter une valeur probatoire. En dehors de ces procédures, une enquête interne doit aussi rassembler des éléments de preuve suffisamment forts pour prendre des décisions (fraude interne ou enquête dans le cadre de la divulgation de données sensibles par exemple). On retrouve dans le document les caractéristiques d’une preuve et de son traitement : pertinence, fiabilité, suffisance, vérifiabilité, répétabilité, reproductibilité, justification. La chaîne de contrôle est un des éléments les plus sensibles. Il faut par exemple être en mesure de disposer d’identifiants uniques de preuves, tracer les personnes qui ont accédé aux preuves, les raisons d’accès et documenter les changements éventuels inévitables. Les compétences des enquêteurs, que l’on retrouve d’ailleurs dans les référentiels de compétences cyber font l’objet de recommandations.

ISO 27041 pour l’investigation

Cette norme donne un cadre pour apporter des garanties que les méthodes d’investigation sur incident sont fiables. On parle parfois dans ce cadre de garantie d’aptitude à l’emploi. Par exemple, une méthode pour créer de manière fiable et contrôlée pendant une investigation une image « disque » : instructions, plan de validation, preuve de validation et déclaration de confirmation.

Cette norme est complétée par l’ISO 27043 sur les grandes méthodes d’investigation.

Autres référentiels utiles

Cette liste, non exhaustive, donne un aperçu des autres documents disponibles :

  • ISO 27038 : méthodes d’expurgation numérique.
  • ISO 27040 : recommandations techniques sur la sécurité du stockage.
  • ISO 27042 : méthodes d’investigation.
  • ISO 27050 : activités de découverte de preuves numériques.
  • ISO 30121 : cadre de gouvernance pour les investigations.

Citons aussi le document du NIST SP 800-86 qui donne des recommandations pour intégrer les investigations numériques dans son processus de réponse aux incidents. Retrouvez notre formation de deux jours sur la réponse aux incidents de sécurité.

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Cybersécurité, SOC, InvestigationsNumériques, ISO27035, RéactionIncidents, RéponseIncidents, CERT