Forensics numériques : enquêter après une cyberattaque
Votre entreprise vient de subir une cyberattaque. Les systèmes sont restaurés, l’activité reprend, mais des questions cruciales restent sans réponse. Comment l’attaquant est-il entré ? Quelles données ont été compromises ? Est-il toujours présent dans le réseau ? L’investigation forensique numérique répond à ces questions en analysant méthodiquement les preuves digitales. En 2026, avec un temps moyen de détection de 204 jours selon IBM, la forensique est indispensable pour comprendre l’ampleur réelle d’une compromission.
Qu’est-ce que la forensique numérique
La forensique numérique (ou digital forensics) est la science de la collecte, de la préservation et de l’analyse des preuves numériques dans le cadre d’une investigation. Elle s’applique après une cyberattaque, une fraude interne, un vol de données ou toute activité suspecte sur les systèmes informatiques. L’objectif est triple : comprendre ce qui s’est passé, déterminer l’étendue de la compromission, et collecter des preuves exploitables en justice.
Les étapes d’une investigation forensique
1. Identification et préservation : identifier les systèmes affectés et préserver les preuves en l’état. Ne jamais éteindre un ordinateur compromis car la mémoire vive contient des informations volatiles précieuses. Créer des copies bit-à-bit des disques durs avec des outils comme FTK Imager ou dd. 2. Collecte : récupérer les journaux système (logs), les captures réseau, les dumps mémoire, les fichiers modifiés et les artefacts système. 3. Analyse : examiner les preuves pour reconstituer la chronologie de l’attaque, identifier les techniques utilisées et les données compromises. 4. Documentation : rédiger un rapport détaillé exploitable par la direction, les assureurs et potentiellement la justice.
Les sources de preuves numériques
Journaux système et applicatifs : les logs Windows Event Log, syslog Linux, logs de pare-feu et logs applicatifs tracent chaque action sur les systèmes. Mémoire vive (RAM) : contient les processus en cours, les connexions réseau actives, les clés de chiffrement et les traces de malwares fileless. Disques durs : fichiers modifiés, supprimés (récupérables), historique de navigation, fichiers temporaires, registre Windows. Trafic réseau : captures PCAP, logs DNS, logs de proxy révèlent les communications avec les serveurs de l’attaquant.
Outils de forensique numérique
Autopsy (open source) est la plateforme de forensique la plus utilisée pour l’analyse de disques durs : récupération de fichiers supprimés, analyse de la timeline, extraction de métadonnées. Volatility (open source) analyse les dumps mémoire pour détecter les malwares, les rootkits et les processus malveillants. Wireshark analyse le trafic réseau capturé. KAPE (Kroll Artifact Parser and Extractor) automatise la collecte d’artefacts forensiques Windows. Ces outils nécessitent une expertise technique mais permettent des investigations approfondies.
Préserver les preuves pour une action en justice
Si vous envisagez des poursuites judiciaires, la chaîne de preuve doit être irréprochable. Chaque copie de disque doit être vérifiée par son hash cryptographique (SHA-256). Chaque manipulation doit être documentée avec date, heure et opérateur. Les preuves originales ne doivent jamais être modifiées, l’analyse s’effectue toujours sur des copies. Un huissier peut être présent pour certifier la collecte. Sans ces précautions, les preuves seront contestées et rejetées par le tribunal.
Préparer votre entreprise à l’investigation forensique
La forensique est bien plus efficace si l’entreprise est préparée. Activez la journalisation avancée sur tous vos systèmes critiques. Centralisez les logs dans un SIEM (Security Information and Event Management) avec une rétention d’au moins 12 mois. Déployez un EDR (Endpoint Detection and Response) sur tous les postes pour enregistrer les événements système en continu. Intégrez la forensique dans votre plan de réponse aux incidents. Sans logs ni monitoring, l’investigation post-incident se résume à chercher une aiguille dans une botte de foin.
Odyssix : investigation et réponse aux incidents
Odyssix propose des services de réponse aux incidents et d’investigation forensique pour les PME. Notre équipe intervient rapidement après une cyberattaque pour contenir la menace, préserver les preuves et mener l’investigation. Notre service de surveillance IT et nos solutions de sauvegarde garantissent que votre entreprise est préparée. Contactez-nous pour un plan de préparation forensique.
À découvrir aussi
Questions fréquentes
Une investigation simple (un poste compromis) prend 2 à 5 jours. Une investigation complexe (ransomware ayant touché le réseau entier) peut durer 2 à 6 semaines. Le temps dépend de la taille de l'infrastructure, de la qualité des logs disponibles et de la sophistication de l'attaque.
Les tarifs varient de 3 000 à 10 000 euros pour une investigation simple à 20 000 à 100 000 euros pour une investigation complexe impliquant plusieurs systèmes. Certaines assurances cyber couvrent ces frais. Le coût de ne pas investiguer (attaquant toujours présent, données compromises non identifiées) est souvent bien supérieur.
Oui, si des données personnelles ont été compromises, la notification à la CNIL est obligatoire dans les 72 heures suivant la découverte de la violation (article 33 du RGPD). Si le risque pour les personnes est élevé, vous devez aussi les informer directement (article 34). L'investigation forensique permet de déterminer précisément quelles données ont été affectées.
Rédigé par l'équipe Odyssix
Experts IT, Cybersécurité & Digital depuis 2018
Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.
Besoin d'en savoir plus ?
Contactez nos experts pour une démonstration personnalisée.
