Forensic

01 — DéfinitionQu'est-ce que le forensic ?

Le forensic (ou investigation numérique, inforensique) est la discipline de la cybersécurité qui consiste à collecter, analyser, préserver et présenter les preuves numériques lors d'un incident, d'une intrusion ou d'une enquête, tout en garantissant leur recevabilité juridique.

Le terme vient du latin forensis (« du forum », lieu où se tenaient les débats publics et procès dans la Rome antique). Le forensic est littéralement l'investigation destinée à établir la vérité devant un tribunal. Appliqué au numérique, il conserve cette exigence fondamentale : produire des conclusions étayées, reproductibles et défendables.

Les questions que le forensic cherche à répondre :

• Qui ? Quel acteur de menace a conduit l'attaque.
• Quand ? Chronologie précise des événements — quand la compromission a commencé, les étapes successives.
• Comment ? Techniques et outils utilisés (TTP).
• Quoi ? Quelles données, quels systèmes, quelles informations ont été affectés.
• Pourquoi ? Motivations de l'attaquant (financière, espionnage, sabotage).
• Étendue ? Périmètre exact de la compromission.

En 2026, le terme DFIR (Digital Forensics and Incident Response) est devenu dominant : il fusionne forensic et réponse à incident, reflétant la réalité opérationnelle où les deux sont étroitement liés. Un CSIRT moderne combine systématiquement ces deux compétences.

Le forensic ne vise pas à arrêter l'attaque en cours — c'est le rôle de la réponse à incident. Il vise à comprendre ce qui s'est passé assez précisément pour tirer des leçons, engager des procédures légales si pertinent, et renforcer les défenses.

02 — MéthodologieLes 4 phases de l'investigation

La méthodologie forensic suit quatre phases fondamentales, codifiées par les standards internationaux (ISO/IEC 27037 notamment).

Phase 1 — Identification et préservation

L'objectif : identifier ce qui doit être analysé et préserver les preuves avant toute modification.

• Identifier les sources : machines compromises, comptes utilisateurs, logs réseau, journaux applicatifs, sauvegardes.
• Isoler les systèmes concernés sans les éteindre si possible (débrancher du réseau, bloquer via EDR).
• Documenter l'état initial : qui a accédé, quand, quoi était ouvert, quel était le contexte.
• Décider de la stratégie : live forensic (analyse à chaud) vs post-mortem (après extinction).
• Gel des preuves : ne plus modifier les systèmes, conserver tous les logs, bloquer les suppressions automatiques.

Phase 2 — Acquisition (collecte)

Capture des données à analyser, toujours sur des copies et jamais sur l'original.

• Image disque : copie bit-à-bit de l'intégralité du disque (bit-for-bit image) avec outils comme FTK Imager, dd, guymager.
• Dump mémoire (live) : capture de la RAM pendant que la machine fonctionne, via WinPmem, LiME, AVML. Essentiel pour capturer les processus malveillants en mémoire, les clés de chiffrement actives, les connexions réseau.
• Logs : Windows Event Logs, journaux Linux (syslog, journald), logs applicatifs, SIEM, firewall, proxy, DNS, authentification.
• Trafic réseau : captures PCAP des communications en cours.
• Hashes cryptographiques (MD5, SHA-256) calculés sur chaque artefact acquis pour garantir l'intégrité.
• Chaîne de conservation : documentation stricte de qui a manipulé quoi, quand, comment — indispensable pour recevabilité juridique.

Phase 3 — Analyse

Examen des données acquises pour reconstituer ce qui s'est passé. Travail souvent long (plusieurs jours à plusieurs semaines selon la complexité).

• Timeline analysis : construction d'une chronologie précise en combinant les timestamps des fichiers, logs, événements, registre. Outils : Plaso/log2timeline, Timesketch.
• Analyse de processus : quels processus s'exécutaient, quelles DLL injectées, quelles connexions actives.
• Analyse du registre Windows : clés modifiées qui révèlent la persistance, MRU (Most Recently Used), shellbags.
• Analyse des fichiers : fichiers créés/modifiés/supprimés, analyse des exécutables, signatures YARA.
• Analyse réseau : connexions C2, exfiltration de données, déplacement latéral.
• Analyse des navigateurs : historique, cookies, cache — source majeure d'information sur le comportement utilisateur.
• Analyse anti-forensique : détection des techniques d'effacement utilisées par l'attaquant (suppression de logs, nettoyage de traces).
• Corrélation inter-systèmes : combiner les traces de plusieurs machines, du réseau, des applications cloud.

Phase 4 — Présentation et restitution

Le rapport est le livrable final — il doit être clair, structuré, reproductible.

• Rapport technique détaillé pour les équipes sécurité : chronologie, TTP utilisées, IOC, preuves.
• Rapport exécutif pour la direction : synthèse, impact business, recommandations.
• Rapport judiciaire si procédure engagée : chaîne de conservation, méthodologie, preuves, conformité aux standards.
• IOC structurés (STIX/TAXII, MISP) pour partage avec les CERT et communautés.
• Recommandations d'amélioration : durcissement, évolution des défenses, changements procéduraux.
• Mapping MITRE ATT&CK des techniques observées.

03 — DomainesLes spécialisations du forensic

Disk forensic (analyse disque)

Le plus classique. Analyse d'images disque pour récupérer fichiers supprimés, explorer le système de fichiers, identifier les modifications. Techniques : analyse NTFS/ext4/APFS, carving (récupération de fichiers sans métadonnées), analyse du MFT (Master File Table), journaux $Logfile et $UsnJrnl pour Windows.

Memory forensic (analyse mémoire)

Analyse des dumps RAM. Indispensable pour les malwares modernes qui résident largement en mémoire. Permet d'identifier : processus malveillants cachés, injections, hooks, connexions réseau actives, clés de chiffrement, identifiants en cache. Outil de référence : Volatility (open source, Framework 3 en 2026). Concurrent : Rekall (moins maintenu).

Network forensic (analyse réseau)

Examen des captures de trafic et logs réseau pour reconstituer les communications. Identifie : communications C2, exfiltration de données, déplacements latéraux, scans internes. Outils : Wireshark, tcpdump, Zeek (anciennement Bro), Arkime (anciennement Moloch), NetworkMiner, NetFlow.

Log forensic

Analyse massive de journaux : Windows Event Logs (Security, System, Application, Sysmon), Linux auditd, logs applicatifs, SIEM. La corrélation de logs multi-sources reconstitue des attaques invisibles sur un seul système. Volumes typiques : To de données pour un incident majeur.

Cloud forensic

Spécialisation en forte croissance. Investigations dans AWS, Azure, GCP, Microsoft 365, Google Workspace, Salesforce. Défis : accès aux logs dépendant du provider, rétention variable, absence d'accès disque traditionnel. Techniques spécifiques : analyse des logs CloudTrail (AWS), Azure Activity Log, Unified Audit Log (M365). Références opérationnelles : Kroll, Mandiant, CrowdStrike Services.

Mobile forensic

Extraction et analyse des données de smartphones et tablettes (iOS, Android). Challenges : chiffrement disque par défaut, Secure Enclave, sandbox applicative, accès limité. Outils spécialisés : Cellebrite UFED (référence, utilisé par forces de l'ordre), Magnet GRAYKEY, Oxygen Forensic Suite.

Malware analysis (reverse engineering)

Analyse approfondie des malwares identifiés. Statique (désassemblage, étude du code) et dynamique (exécution en sandbox). Outils : IDA Pro, Ghidra (NSA, gratuit), Binary Ninja, radare2/Cutter, x64dbg. Spécialisation pointue demandant plusieurs années d'expérience.

Email forensic

Analyse d'emails suspects : en-têtes techniques pour tracer l'origine, analyse des pièces jointes en sandbox, vérification d'authentification (SPF, DKIM, DMARC). Particulièrement important pour les cas de fraude BEC et phishing ciblé.

Database forensic

Analyse des bases de données pour détecter modifications non autorisées, fuites de données, accès suspects. Spécifique par SGBD : SQL Server, Oracle, PostgreSQL, MySQL, MongoDB. Logs de transactions, audit trails, timestamps internes.

IoT et embedded forensic

Domaine émergent. Analyse d'objets connectés, voitures connectées, équipements industriels. Challenges : accès physique souvent nécessaire, firmwares propriétaires, stockage limité, outils peu standardisés.

04 — OutilsLogiciels de référence

Suites commerciales complètes

• EnCase Forensic (OpenText) : suite historique de référence, utilisée massivement par les forces de l'ordre et cabinets d'expertise. Analyse disque approfondie, interface complète. Coût : plusieurs milliers d'euros par licence.
• Magnet AXIOM (Magnet Forensics) : moderne, très utilisée pour mobile et cloud forensic. Interface intuitive, analyse multi-sources.
• X-Ways Forensics : alternative allemande puissante et performante, communauté très active, rapport qualité/prix excellent pour les professionnels.
• FTK (Forensic Toolkit) (Exterro, ex-AccessData) : suite historique, forte capacité d'analyse de volume.
• Belkasoft X : acteur croissant, multi-plateforme, bon support cloud.
• Cellebrite UFED : référence mobile forensic, utilisé massivement par les forces de l'ordre.

Outils open source phares

• Autopsy : interface graphique pour le framework The Sleuth Kit. Open source, mature, utilisable en production. Souvent le point de départ des analystes sans budget.
• The Sleuth Kit (TSK) : bibliothèque en ligne de commande pour l'analyse disque. Base d'Autopsy.
• Volatility 3 : référence mondiale en memory forensic. Version 3 stabilisée, plus maintenue et plus performante que la 2.
• Plaso / log2timeline : construction de timelines à partir de multiples sources (disque, logs, registre).
• Timesketch : plateforme collaborative d'analyse de timelines, développée par Google.
• KAPE (Kroll Artifact Parser and Extractor) : collection rapide d'artefacts Windows, très populaire pour l'analyse live.
• Velociraptor : framework DFIR moderne avec capacités d'investigation distantes, en forte croissance.
• Wireshark / tcpdump : analyse réseau classique.
• Zeek : analyse réseau avancée, anciennement Bro.
• YARA : règles de détection de malwares par pattern.
• CyberChef : « couteau suisse » pour décodage, parsing, conversion.

Collecte et imagerie

• FTK Imager : gratuit, référence pour créer des images disque.
• dd et dcfldd : outils Unix historiques.
• Guymager : imageur Linux rapide.
• WinPmem : capture mémoire Windows.
• LiME : capture mémoire Linux.
• AVML : Microsoft, capture mémoire Linux moderne.

Outils cloud et moderne

• AWS Incident Response tools : scripts open source pour AWS.
• Azure AD Investigator : Microsoft.
• Mandiant Attack Lifecycle : framework propriétaire.
• GRR Rapid Response (Google) : investigation distante à grande échelle.

Plateformes DFIR intégrées

Les EDR et XDR modernes intègrent de plus en plus de capacités DFIR : CrowdStrike Falcon Forensic Services, SentinelOne Storyline, Microsoft Defender XDR, Cisco XDR, Trellix. Ces plateformes simplifient la collecte d'artefacts à grande échelle depuis une console centralisée.

05 — Cas d'usageQuand fait-on appel au forensic

Incident ransomware

Cas le plus fréquent. Le forensic reconstitue : point d'entrée initial (phishing, exploit, accès acheté), délai de latence avant action finale (souvent semaines à mois), reconnaissance interne, vol de credentials, déplacement latéral, exfiltration de données avant chiffrement, C2 utilisés, groupe responsable. Alimente la décision de paiement de rançon (ou non), la communication, les notifications obligatoires RGPD/NIS2, et la remédiation complète.

Compromission de compte à privilèges

Un compte admin compromis déclenche typiquement une investigation : quand a eu lieu la compromission, quelles actions ont été exécutées avec ce compte, quelles données consultées ou modifiées, y a-t-il eu persistance. Analyse croisée des logs IAM, logs système, trafic réseau.

Fuite de données (data breach)

Comprendre l'étendue exacte : quelles données ont été exfiltrées, combien de personnes impactées, sur quelle période, via quel canal. Essentiel pour les notifications RGPD (72h pour notifier la CNIL) et éventuelles communications aux personnes concernées.

Fraude interne

Un employé soupçonné de vol de données, sabotage ou fraude financière. Analyse des postes, comptes, emails, accès. Cas délicats impliquant droit du travail, RGPD, représentants du personnel. Nécessite souvent la coopération avec la DRH et le service juridique.

Compromission email (BEC)

Investigation sur une fraude au président ou un détournement de virement suite à prise de contrôle d'un compte email. Analyse des logs Microsoft 365/Google Workspace, règles de transfert créées, emails consultés, géolocalisation des connexions, identification de l'utilisation de services comme evilginx.

Intrusion APT

Attaque ciblée sophistiquée, souvent état-étatique. Investigation très approfondie : plusieurs mois de traces à remonter, techniques d'évasion avancées, déplacements latéraux multiples, implants personnalisés. Missions qui durent typiquement plusieurs semaines voire mois.

Procédure judiciaire

Plainte pénale déposée, réquisition judiciaire, action civile. Exige une rigueur maximale : expert judiciaire inscrit, procédures documentées, chaîne de conservation impeccable, rapport défendable devant le tribunal.

Exigences réglementaires

NIS2 et DORA imposent une analyse documentée des incidents significatifs et des rapports aux autorités compétentes. RGPD impose la notification à la CNIL sous 72h avec description des faits. Le forensic alimente ces obligations.

06 — Cadre légalForensic et justice en France

Standards et normes

• ISO/IEC 27037 : lignes directrices pour l'identification, la collecte, l'acquisition et la préservation des preuves numériques.
• ISO/IEC 27041 : lignes directrices pour l'assurance de l'aptitude et l'adéquation des méthodes d'investigation.
• ISO/IEC 27042 : lignes directrices pour l'analyse et l'interprétation des preuves numériques.
• ISO/IEC 27043 : principes et processus d'investigation d'incident.
• RFC 3227 : lignes directrices pour la collecte et archivage des preuves.

Expert judiciaire en informatique

Statut juridique français. Inscription sur une liste dressée par les Cours d'appel après examen de compétences et d'expérience. Missions : expertise judiciaire sur réquisition, rapport recevable en justice. Obligations : indépendance, impartialité, rigueur méthodologique, respect du secret de l'instruction.

Prestataires PRIS (ANSSI)

L'ANSSI qualifie des Prestataires de Réponse aux Incidents de Sécurité (PRIS) selon un référentiel strict. La qualification PRIS garantit : compétences techniques (dont forensic), processus documentés, confidentialité du personnel habilité, capacité d'intervention 24/7. Une quinzaine de prestataires français sont qualifiés en 2026.

Chaîne de conservation

La chain of custody documente la vie des preuves numériques :

• Qui a collecté quoi, quand, où, comment.
• Transferts successifs entre analystes.
• Stockage sécurisé (coffres, scellés numériques).
• Hashes cryptographiques vérifiés à chaque étape.
• Analyses effectuées, méthodes, logiciels utilisés.

Sans chaîne de conservation rigoureuse, les preuves ne sont pas recevables en justice. La documentation est parfois plus chronophage que l'analyse elle-même.

RGPD et investigation

L'investigation forensic collecte inévitablement des données personnelles (emails, fichiers utilisateurs, logs de connexion). Principes à respecter :

• Base légale : intérêt légitime de l'organisation (sécurité), obligation légale, exécution du contrat.
• Information préalable des collaborateurs (PSSI, charte informatique).
• Consultation du CSE si investigation sur un poste utilisateur.
• Minimisation : collecter uniquement ce qui est nécessaire.
• Durée de conservation limitée et documentée.
• Sécurité des données collectées (les analystes deviennent eux-mêmes détenteurs de données sensibles).

Dépôt de plainte

Les entreprises françaises peuvent déposer plainte pour : accès frauduleux à un système de traitement automatisé de données (art. 323-1 Code pénal), extorsion, escroquerie, atteinte au secret des correspondances. Le dépôt de plainte est obligatoire depuis 2023 pour obtenir indemnisation de rançon par la cyber-assurance (LOPMI). Le forensic produit les éléments matériels nécessaires à la plainte.

Coopération internationale

Les cyberattaques étant majoritairement transnationales, la coopération est essentielle : Europol EC3, Interpol, coopération bilatérale, MLAT (Mutual Legal Assistance Treaty). Le forensic produit les éléments exploitables par les magistrats dans ces cadres.

07 — Bonnes pratiquesPréparer le forensic en amont

08 — FAQQuestions fréquentes

Le forensic peut-il toujours identifier l'attaquant ?

Non. L'attribution (identifier précisément qui est responsable) est l'une des tâches les plus difficiles. Le forensic peut souvent identifier le groupe ou la famille d'attaquants par les TTP, les IOC et les outils utilisés. Mais remonter à des personnes physiques précises demande une coopération internationale poussée et des moyens souvent réservés aux agences gouvernementales. Les rapports Mandiant, CrowdStrike, Microsoft attribuent régulièrement à des groupes (APT29, Lazarus, FIN7) mais rarement à des individus nommés.

Combien de temps dure une investigation forensic ?

Très variable. Un incident simple (un poste compromis, comportement connu) : quelques jours à 2 semaines. Un incident complexe (ransomware avec exfiltration dans une grande organisation) : plusieurs semaines à plusieurs mois. Les APT sophistiquées peuvent demander 6-12 mois d'investigation. Les principaux facteurs : volume de données, profondeur de la compromission, qualité de la journalisation préalable, expertise de l'attaquant.

Doit-on prévenir les autorités dès qu'on découvre une intrusion ?

Obligations :

• CNIL : sous 72h si violation de données personnelles (RGPD art. 33).
• Autorité sectorielle NIS2/DORA : selon le secteur, délais variables (24-72h typiques).
• ANSSI : obligatoire pour OIV et entités essentielles NIS2.
• ACPR : secteur bancaire/assurance.

Facultatif mais recommandé : dépôt de plainte police/gendarmerie (obligatoire pour indemnisation rançon par cyber-assurance). CERT-FR pour accompagnement. Le forensic alimente toutes ces notifications.

Les données effacées sont-elles toujours récupérables ?

Dépend. Sur un disque dur classique, la suppression ne supprime pas les données immédiatement — elles peuvent être récupérées tant qu'elles n'ont pas été réécrites. Sur un SSD moderne, le TRIM/garbage collection efface réellement, rendant la récupération difficile voire impossible. Les systèmes chiffrés (BitLocker, FileVault, LUKS) rendent les données inaccessibles sans la clé. L'effacement volontaire (secure erase, DoD 5220) rend la récupération quasi impossible.

Faut-il du forensic sur le cloud ou juste chez soi ?

Les deux, selon l'incident. Si la compromission touche M365, Google Workspace, des environnements cloud AWS/Azure/GCP, l'investigation doit s'étendre à ces plateformes via les logs d'audit natifs. Les prestataires forensic modernes ont développé des compétences cloud fortes. Attention : les fenêtres de conservation des logs cloud par défaut sont souvent courtes (30-90 jours) — activer l'archivage long terme est indispensable pour préserver les traces.