Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ArxSys : investigation numérique légale, quels rôles et moyens pour la DSI ?

juin 2011 par Emmanuelle Lamandé

Lorsqu’une infraction implique un support informatique, une intervention rapide et méthodique doit être engagée afin de délimiter et préserver la scène du cybercrime. Ces procédures sont indispensables, avant toute analyse, pour garantir la maîtrise et la recevabilité des informations collectées et traitées en cas de poursuites judiciaires. Mais comment préserver l’intégrité des informations ? Quelles sont les phases qui incombent à la DSI ?... Autant de points abordés lors d’un débat d’experts organisé par ArxSys, la première entreprise française spécialisée dans la conception de logiciels dédiés à l’informatique légale.

Jérémy Mounier, Dirigeant associé d’ArxSys

Avant de nous présenter plus en détails l’offre d’ArxSys, Digital Forensics Framework (DFF), Jérémy Mounier, Dirigeant associé d’ArxSys, est revenu sur les principes fondamentaux de l’investigation numérique légale.

« L’investigation, c’est une espèce de quête où l’esprit suit à la piste les traces d’une cause ou d’un effet, présent ou passé » (Denis Diderot)

L’investigation numérique légale est l’ensemble des techniques et protocoles mis en œuvre pour établir la preuve d’un délit ou d’un crime et d’en identifier son auteur.

L’informatique légale est apparue en 1978. Il s’agit principalement de la recherche de traces sur les ordinateurs (analyses de disques durs, disques amovibles…), sur les smartphones, PDA, …, de virus, rootkits …, ou encore de captures réseaux.

La collecte et l’exploitation des traces doivent se faire dans le respect de la législation en vigueur et être conformes à l’état de l’art technique du moment. L’exploitation ne doit, en outre, pas modifier l’élément de preuve. Enfin, une contre-expertise doit pouvoir retrouver les mêmes résultats.

En entreprise, l’investigation numérique peut intervenir dans différents contextes :
- La réponse sur incident, dans le cas d’infractions spécifiques aux TIC, telles que les intrusions systèmes, les attaques par dénis de service, les atteintes aux systèmes de traitement automatisé de données personnelles, ...
- Les litiges et fraudes, dont les infractions sont liées aux TIC : atteintes aux biens ou aux personnes, ... L’entreprise doit d’ailleurs être préparée à la production éventuelle d’éléments numériques.
- Les audits de sécurité : comment réagir lorsqu’une brèche est détectée ?

Seulement, en la matière, l’entreprise doit faire face à différents enjeux techniques : des volumes de données à traiter toujours croissants, une diversité technologique, qui plus est en constante évolution, ou encore une dispersion des informations.

Digital Forensics Framework : première offre française à adresser l’informatique légale

C’est dans ce contexte que la société ArxSys a développé en 2009 l’offre Digital Forensics Framework (DFF), une plateforme complète dédiée à l’investigation numérique légale. Ce logiciel open source est conçu pour la collecte, la recherche, l’analyse et l’extraction d’éléments de preuve numérique. Il permet à la fois la récupération de données sur différents types de supports (disques durs, téléphones portables, clés USB...), la recherche et l’analyse de preuves numériques en cas d’incidents.

Le logiciel d’ArxSys offre la possibilité d’automatiser les tâches d’analyse et de récupération de données. DFF est, en outre, capable de corréler les éléments de preuves retrouvés sur différentes sources, permettant à l’utilisateur d’obtenir rapidement un rapport technique.
Développé en Open Source, DFF repose sur une architecture modulaire, automatisable, portable et multiplateforme. Sa conception orientée framework permet l’ajout de diverses fonctionnalités venant se greffer sur l’application principale. En outre, l’ouverture du code permet à l’outil de bénéficier d’une communauté mondiale de contributeurs et d’utilisateurs lui assurant une évolution constante.

ArxSys est la première entreprise française spécialisée dans la conception de logiciels dédiés à l’informatique légale. Son logiciel a d’ailleurs obtenu le Prix de l’Innovation des Assises 2010 de la Sécurité et des Systèmes d’Information à Monaco.

Pour que la preuve soit recevable, elle doit être collectée dans les règles de l’art

De plus en plus d’entreprises sont aujourd’hui victimes d’attaques. Toutefois, une majorité d’entre elles ne le savent pas ou, quand bien même, n’en comprennent pas les objectifs. Difficile alors d’appréhender les risques et de réagir de manière appropriée en cas d’incident. Pourtant si l’on veut garantir la maîtrise et la recevabilité des informations collectées et traitées en cas de poursuites judiciaires, une intervention rapide et méthodique doit être engagée afin de délimiter et préserver la scène du « cybercrime ». Quelle est la marche à suivre ? Comment faire pour préserver l’intégrité des informations ?

Patrick Langrand, Stéphane Betaille, Frédéric Baguelin et Alan Walter

Patrick Langrand, RSSI, La Poste, observe une interrogation croissante sur ce qu’il est convenu de faire ou non en entreprise, ce qui est légal et ce qui ne l’est pas, notamment sur deux points précis :
- La question de la violation de la correspondance : ai-je le droit d’aller sur le poste de quelqu’un qui est absent ? De lire ses mails en cas de besoin ?...
- Les entreprises subissent des intrusions, mais que peuvent-elles faire en cas d’attaque ?

La question de la violation de la correspondance du salarié en entreprise touche aux problématiques de droit à la vie privée et de traitement des données à caractère personnel, explique Alan Walter, Avocat spécialisé NTIC. En la matière, force est de constater que la jurisprudence est fluctuante. C’est pourquoi, il vaut mieux bien préparer son intervention avant d’accéder aux données, de manière à pouvoir les collecter et les traiter légalement. Il conseille pour cela de toujours demander l’autorisation du juge et donc de passer par une ordonnance.

En cas d’intrusion ou de malveillance, le fait de porter plainte offrira à l’entreprise la possibilité d’être assistée par une force de frappe et des moyens d’investigation qu’elle ne pourrait pas avoir elle-même.

Pour l’Adjudant Stéphane Betaille, Unité Traitement de l’Information, Institut de Recherche Criminelle de la Gendarmerie Nationale (IRCGN), les outils, quels qu’ils soient, sont un moyen de sortir un résultat, mais n’apportent pas de valeur légale. Si vous engagez une action, il faut donc se préparer juridiquement. Pour ce faire, il souligne l’importance du conseil juridique. De plus, il est nécessaire de connaître le fonctionnement de l’entreprise et le contexte dans lequel l’outil intervient.

Un outil comme DFF, souligne Alan Walter, est capable d’expliquer le raisonnement de l’outil et de prouver que l’intégrité des preuves est garantie. Il permet, en outre, de procéder à une contre-expertise, même quelques années après, et d’expliquer quelle a été la démarche, complète Frédéric Baguelin, Fondateur associé d’ArxSys. L’aspect traçabilité s’avère fondamental sur ce type de problématiques.

Etre en mesure de savoir si l’entreprise a été victime d’une intrusion, d’une fuite d’information, …, et conserver les éléments de preuve représente une première étape fondamentale dans d’éventuelles poursuites ou dans une approche globale de gestion de risques. Toutefois, il faut garder en mémoire que votre champ d’action potentiel a aussi ses limites, et que la réponse à la question « Qui est l’auteur de cette attaque ? », par exemple, n’est plus de votre ressort…




Voir les articles précédents

    

Voir les articles suivants