Durée: 12 mois
Rubrique: Architecte cybersécurité
Dans le domaine de l'analyse forensic, la collecte des preuves est une étape cruciale. Il s'agit de documenter et de recueillir toutes les informations pertinentes qui peuvent aider à enquêter sur un incident. Plus précisément, cela peut signifier rassembler des logs, des données de réseau, des captures d'écran, des informations sur le matériel et le système d'exploitation, et divers autres types de données.
Il existe plusieurs méthodologies de collecte des preuves qui varient en fonction du type d'incident, de l'environnement, des actifs impliqués, et des directives organisationnelles. Il est important de noter que tout au long de ce processus, l'intégrité des preuves doit être préservée, et cela peut nécessiter l'utilisation de techniques spécifiques et d'outils comme les images disques, par exemple.
Les méthodologies de collecte des preuves comprennent souvent des étapes comme la préparation de l'investigation, l'identification et l'isolement de l'actif, la documentation du système et de l'état de l'actif, l'acquisition de l'image disque, l'analyse de l'image, et le suivi des preuves.
Le processus commence généralement par la préparation de l'investigation, qui comprend la détermination des ressources nécessaires, l'élaboration d'un plan, et l'obtention des autorisations nécessaires. Il est suivi par l'identification et l'isolement de l'actif, qui comprend la localisation physique ou virtuelle de l'actif, l'isolement du réseau, et l'arrêt de l'actif si nécessaire.
La prochaine étape est la documentation du système et de l'état de l'actif, qui comprend la documentation de l'état du matériel, des logiciels, des réseaux, et du système d'exploitation. Après cela, l'acquisition de l'image disque est réalisée, ce qui implique la création d'une copie identique du disque dur de l'actif. Ensuite, l'analyse de l'image est réalisée, pendant laquelle l'image disque est examinée pour extraire de l'information utile.
Enfin, pendant le suivi des preuves, un système est mis en place pour suivre la preuve à travers le processus, de la collecte à l'analyse, à la présentation, et audelà. Ce processus comprend la documentation du transport, du stockage, et de l'analyse de la preuve.