Durée: 12 mois
Rubrique: Architecte cybersécurité
La leçon 5.1 concerne la "Collecte et préservation des preuves". Dans le contexte d'un incident de sécurité informatique, la collecte de preuves est une étape cruciale. Ceci comprend, mais n'est pas limité à, l'acquisition de données de journaux systèmes, de captures de réseau, de mémoire volatile (RAM), d'images de disque, d'informations sur les processus en cours d'exécution et d'entrées de registre. Il est important que ces données soient collectées de manière sûre, précise et rapide afin qu'elles puissent être utilisées pour déterminer la nature de l'incident.
Cependant, l'acquisition de ces données ne suffit pas. Il est également important de préserver ces preuves, car elles peuvent servir aux futures enquêtes et analyses, et parfois, elles sont requises par la loi. Par conséquent, un certain nombre de précautions doivent être prises lors de la préservation des preuves. Par exemple, les copies de données collectées doivent être conservées dans un endroit sûr, protégé contre toute altération ou destruction. En outre, une chaîne de contrôle doit être établie pour documenter qui a eu accès aux données et quand.
Finalement, il convient de noter qu'il existe des outils et des technologies spécialisés pour faciliter la collecte et la préservation des preuves. Il est essentiel que les responsables de la gestion des incidents soient familiers avec ces outils et comprennent leur fonctionnement.