La norme ISO 27043 propose des lignes directrices pour élaborer des processus d’investigation sur incident impliquant des preuves numériques. L’investigation numérique utilise des méthodes scientifiques éprouvées pour procéder à l’identification, la collecte, le transport, le stockage, l’analyse, l’interprétation, la présentation, la distribution et éventuellement la destruction de preuves numériques. Les investigations numériques font partie du processus de réponse aux incidents de cybersécurité, pour lequel la série de normes ISO 27035 fournit des bonnes pratiques. Les investigations numériques comportent des exigences légales relatives notamment à la recevabilité des preuves devant une cour de justice. Si les exigences de recevabilité varient entre les juridictions, deux éléments fondamentaux sont la pertinence des preuves par rapport aux faits et l’authenticité, en démontrant que les preuves sont ce qu’elles sont censées être. Par exemple le juge pourra demander la garantie démontrable qu’un disque provient bien d’un serveur donné et qu’il n’a pas été modifié depuis sa collecte.