Méthodologies de Réponse aux Incidents et Standards de Forensique Numérique

PRÉSENTATION DU MODULE

Ce module établit le cadre technique pour la réponse aux incidents et la forensique numérique au sein d’un environnement Centre des Opérations de Sécurité (SOC). Les analystes en cybersécurité de niveau 1 (Tier 1) constituent l’interface principale pour l’identification d’activités potentiellement criminelles et la préservation des preuves requises pour l’attribution des menaces. L’objectif est d’appliquer des méthodologies normalisées, telles que la Publication Spéciale NIST 800-61r2 et la NIST 800-86, afin d’identifier les acteurs de menace, documenter la portée des exploits et maintenir la conformité aux exigences réglementaires.

CONCEPTS FONDAMENTAUX ET DÉFINITIONS

Forensique Numérique et Preuves

La Forensique Numérique est définie comme la récupération et l’investigation d’informations résidant sur des équipements numériques, pertinentes dans le cadre d’activités criminelles ou non autorisées. Les preuves sont identifiées via des Indicateurs de Compromission (IoC), qui comprennent des données sur les supports de stockage, la mémoire volatile et les artefacts réseau tels que les fichiers PCAP et les journaux système.

L’activité cybercriminelle peut provenir de l’intérieur ou de l’extérieur de l’organisation :

Les investigations privées concernent les individus internes à l’organisation (violations de politique, vol de propriété intellectuelle).
Les investigations publiques impliquent les forces de l’ordre lorsque des dispositions pénales sont enfreintes.
Les scénarios d’attaquant externe nécessitent la collecte de preuves forensiques pour documenter l’intégralité de la portée de l’exploit.

Exemple réglementaire — HIPAA : Si une violation implique des informations de santé protégées (PHI) concernant plus de 500 individus dans un État ou une juridiction, l’organisation doit notifier à la fois les individus concernés et les médias. Une investigation forensique numérique est requise pour certifier le nombre exact d’enregistrements affectés.

Chaîne de Custody (Chaîne de Traçabilité)

Pour garantir la recevabilité des preuves dans le cadre de procédures judiciaires, une Chaîne de Custody rigoureuse doit être maintenue. Ce processus implique la documentation exhaustive des éléments suivants :

L’identité de l’individu ayant découvert et collecté la preuve.
Des journaux chronologiques de toutes les manipulations, incluant les horaires, lieux et personnels impliqués.
La documentation de la responsabilité principale et des moments exacts de transfert de custody.
Les journaux d’accès physique restreint aux installations de stockage des preuves.

Conseil d’examen — Quels trois éléments doivent être consignés pour chaque preuve collectée ?

Numéros de série et noms d’hôte des équipements utilisés comme preuves

Heure et date de collecte de la preuve

Localisation de l’ensemble des preuves

Attribution des Menaces

L’attribution des menaces est la tâche technique consistant à déterminer l’entité ou l’individu spécifique responsable d’une cyberattaque. Cela requiert la corrélation des données forensiques avec les Tactiques, Techniques et Procédures (TTPs) connues.

Actions permettant d’identifier un hôte attaquant lors d’un incident de sécurité :

Valider l’adresse IP de l’acteur de menace afin de déterminer si elle est viable.
Utiliser un moteur de recherche Internet pour obtenir des informations supplémentaires sur l’attaque.
Surveiller les canaux de communication utilisés par les attaquants (ex. : IRC).
Développer des critères d’identification pour chaque preuve : numéro de série, nom d’hôte et adresse IP.

TAXONOMIE TECHNIQUE ET CLASSIFICATION

Le Processus de Forensique Numérique (NIST 800-86)

Les investigations forensiques numériques sont exécutées selon une méthodologie technique en quatre phases. Le processus transforme les données brutes : média → données → information → preuve.

Phase	Objectif Technique	Détail Clé
1. Collecte	Identification des sources de données potentielles et acquisition, manipulation et stockage sécurisés de ces données.	Critique : ne pas endommager, perdre ou omettre de données.
2. Examen	Évaluation et extraction des informations pertinentes à partir des jeux de données collectés.	Peut impliquer la décompression ou le déchiffrement ; suppression des données non pertinentes.
3. Analyse	Processus permettant de tirer des conclusions techniques à partir des données.	Comprend la corrélation d’événements, d’horodatages et de caractéristiques saillantes issues de sources multiples.
4. Rapport	Préparation et présentation impartiale des résultats.	Doit inclure les limites, les explications alternatives et les recommandations pour la suite.

Distinction critique — Examen vs. Analyse :

Examen = extraction des informations pertinentes à partir des données.

Analyse = formulation de conclusions à partir de ces données.

Classification des Preuves

Les preuves sont catégorisées selon leur origine et le degré de certitude qu’elles apportent à une investigation :

Type de Preuve	Définition Technique
Preuve Originale (Best Evidence)	Information dans son état original, non altéré (ex. : équipement de stockage original ou image bit-à-bit vérifiée).
Preuve Directe	Preuve qui se trouvait indiscutablement en possession de l’accusé, ou témoignage oculaire d’un comportement criminel.
Preuve Indirecte	Également appelée preuve circonstancielle ; établit une hypothèse lorsqu’elle est combinée à d’autres faits.
Preuve Corroborante	Preuve qui étaye une affirmation dérivée d’une preuve originale.

Tableau de Synthèse Rapide

Type de Preuve	Fiabilité	Rôle dans l’investigation
Best	Maximale	Prouve que la source est intègre.
Direct	Élevée	Prouve l’action sans interprétation.
Indirect	Variable	Permet de déduire le déroulement des faits.
Corroborating	Secondaire	Permet de vérifier et renforcer les autres preuves.

La Meilleure Preuve (Best Evidence)

C’est la règle d’or de l’investigation. Elle exige que l’élément présenté soit l’original afin d’éviter toute altération, qu’elle soit accidentelle ou malveillante.

Définition technique : L’objet physique original ou une copie binaire exacte (bit-stream image) dont l’intégrité est certifiée par un hachage cryptographique (SHA-256).
Exemples :
- Physique : Le disque SSD NVMe ou la clé USB physique saisis sur les lieux.
- Numérique : Une image disque au format .E01 dont le hash correspond exactement au support source au moment de la saisie.
Objectif : Garantir l’Intégrité. Elle prouve que les données n’ont pas été modifiées depuis leur collecte.

La Preuve Directe (Direct Evidence)

La preuve directe établit un fait de manière indiscutable, sans nécessiter de déduction ou d’interprétation logique supplémentaire.

Définition technique : Information basée sur une observation directe ou des enregistrements qui énoncent explicitement le fait.
Exemples :
- Témoignage : Un analyste SOC déclarant : “J’ai observé l’utilisateur saisir la commande ‘rm -rf’ sur la console de production.”
- Visuel : Un enregistrement de vidéosurveillance montrant un individu manipulant physiquement un serveur à l’heure précise de l’incident.
- Aveu : Une confession signée par l’auteur de l’infraction.
Objectif : Établir la Certitude. Elle répond directement à la question “Qui a fait quoi ?”.

La Preuve Indirecte ou Circonstancielle (Indirect Evidence)

C’est la forme la plus courante en cybersécurité. Elle ne prouve pas le fait directement, mais permet de construire une inférence (une déduction logique).

Définition technique : Ensemble de faits qui, une fois corrélés, suggèrent une conclusion spécifique.
Exemples :
- Journaux (Logs) : Des enregistrements NetFlow montrant une exfiltration de données vers une IP étrangère via le compte d’un utilisateur. (Cela suggère l’exfiltration, mais ne prouve pas l’identité physique de la personne derrière le clavier).
- Métadonnées : Le nom d’un employé apparaissant dans les propriétés “Auteur” d’un script malveillant.
- Géolocalisation : Les logs de badge montrant qu’un employé était présent dans les bureaux à 2h du matin.
Objectif : Établir la Corrélation. Elle nécessite de “relier les points” pour construire un scénario.

La Preuve Corroborative (Corroborating Evidence)

Elle n’est pas suffisante en soi, mais elle intervient pour renforcer ou confirmer une autre preuve déjà existante.

Définition technique : Preuve supplémentaire de nature différente qui appuie une thèse ou valide une autre preuve.
Exemples :
- Validation : Si une preuve indirecte (logs) montre une connexion suspecte, la découverte de l’historique de navigation correspondant sur le poste de l’employé sert de preuve corroborative.
- Lien Physique/Numérique : Un témoin affirme avoir vu une personne pirater (Direct). La découverte d’outils d’attaque sur le téléphone de cette personne corrobore le témoignage.
Objectif : Assurer la Validation. Elle transforme une hypothèse probable en une certitude quasi-absolue.

Distinction critique — Preuve Originale vs. Preuve Directe :

La preuve originale renvoie à l’état original d’un artefact (ex. : un disque physique).

La preuve directe renvoie à la possession incontestable ou au témoignage oculaire.

Ordre de Volatilité (RFC 3227)

La collecte forensique doit prioriser les données selon leur volatilité afin de prévenir la perte d’artefacts critiques :

Priorité	Type de Données
N1 (Plus Volatile)	Registres CPU et mémoire cache
N2	Tables de routage, caches ARP, tables de processus et RAM
N3	Systèmes de fichiers temporaires et espace de swap
N4	Supports non volatils (disques fixes et amovibles)
N5	Données de journalisation et de supervision distantes
N6 (Moins Volatile)	Topologies réseau physiques et supports d’archivage

ANALYSE OPÉRATIONNELLE

La Cyber Kill Chain

Développée par Lockheed Martin, ce framework identifie sept étapes séquentielles qu’un adversaire doit accomplir pour atteindre son objectif. Les défenseurs peuvent perturber l’attaque en ciblant n’importe quelle étape.

#	Étape	Description	Action du Défenseur
1	Reconnaissance	Collecte de renseignements et sélection de cibles.	Collecter les journaux web ; surveiller les activités de scan.
2	Armement (Weaponization)	Association d’un cheval de Troie d’accès distant avec un exploit pour constituer une charge utile déployable. Utilisation des vulnérabilités découvertes pour construire un outil d’attaque.	Conduire une analyse complète des malwares.
3	Livraison (Delivery)	Transmission de la charge utile armée vers la cible via e-mail, web ou USB.	Analyser le chemin d’infrastructure utilisé pour la livraison.
4	Exploitation	Déclenchement du code pour exploiter des vulnérabilités et prendre le contrôle du système cible.	Conduire des formations de sensibilisation des employés et des tests e-mail.
5	Installation	Établissement d’une porte dérobée persistante ou d’un webshell sur le système cible.	Auditer les terminaux (endpoints) pour déterminer forensiquement l’origine de l’exploit.
6	Commandement et Contrôle (C2)	Établissement d’un canal de communication bidirectionnel (ex. : IRC, DNS, protocoles web) pour la manipulation à distance.	Collecter les journaux e-mail et web pour la reconstruction forensique.
7	Action sur les Objectifs	Atteindre l’objectif final : exfiltration de données, corruption de système, préparation d’une attaque DDoS, etc.	—

Exemples de scénarios d’examen :

Un acteur de menace effectue un scan de ports et identifie une vulnérabilité → l’étape suivante est l’Armement.

Un acteur de menace obtient un accès administrateur et établit un canal CnC pour une future attaque DDoS → Commandement et Contrôle.

Livraison vs. Exploitation : Livraison = transmission de l’arme ; Exploitation = exécution du code pour prendre le contrôle.

Le Modèle Diamant d’Analyse d’Intrusion

Ce modèle corrèle quatre caractéristiques fondamentales d’un événement d’intrusion et apporte une granularité supplémentaire via des méta-caractéristiques.

Caractéristiques Fondamentales

Caractéristique	Description
Adversaire	L’acteur de menace — l’entité conduisant l’intrusion.
Capacité (Capability)	Les outils ou techniques utilisés par l’adversaire pour attaquer une cible (ex. : malwares, exploits).
Infrastructure	Le chemin réseau utilisé pour l’exploit (adresses IP, domaines, serveurs C2).
Victime	La cible de l’exploit (hôte, réseau, organisation).

Les quatre caractéristiques forment un losange : Adversaire ↔ Capacité ↔ Victime ↔ Infrastructure.

Méta-Caractéristiques

Les méta-caractéristiques apportent un contexte supplémentaire pour la classification et la corrélation des événements :

Méta-Caractéristique	Description
Horodatage (Timestamp)	Date et heure de l’événement.
Phase	L’étape du cycle de vie de l’attaque.
Résultat (Result)	Ce que l’adversaire a obtenu de l’exploit (confidentialité compromise, intégrité compromise, disponibilité compromise).
Direction	Le chemin entre les parties du Modèle Diamant utilisé par l’exploit.
Méthodologie	Classification générale de l’intrusion (ex. : phishing, scan de ports).
Ressources	Outils et informations utilisés par l’adversaire : logiciels, identifiants de connexion et base de connaissances.

Conseil d’examen — Distinctions clés du Modèle Diamant :

Adversaire = l’acteur de menace.

Capacité = les outils/techniques utilisés.

Infrastructure = le chemin réseau.

Victime = la cible.

Résultat = ce qui a été obtenu (impact sur la triade CIA).

Direction = le chemin entre les éléments du Modèle Diamant.

Ressources (méta-caractéristique) = logiciels, identifiants, connaissances utilisés par l’adversaire.

Framework MITRE ATT&CK

Le framework MITRE ATT&CK est une base de connaissances sur le comportement des acteurs de menace — documentant les tactiques, techniques et procédures (TTPs) utilisées par des adversaires réels. Il est utilisé pour améliorer la détection des menaces, le threat hunting et la réponse aux incidents.

Il ne constitue pas un ensemble de directives forensiques numériques, ni une base de données d’exploits de malwares.

RÉPONSE AUX INCIDENTS — NIST 800-61r2

Capacité de Réponse aux Incidents de Sécurité Informatique (CSIRC)

La capacité de réponse aux incidents d’une organisation est définie par trois types de documents :

Document	Objectif	Éléments Clés
Politique	Définit l’engagement de la direction et le cadre général.	Stratégie et objectifs ; structure organisationnelle ; rôles, responsabilités et niveaux d’autorité.
Plan	Fournit une feuille de route pour la mise en œuvre du programme de réponse aux incidents.	Définition des incidents et des termes ; métriques pour mesurer l’efficacité ; feuille de route pour faire mûrir la capacité.
Procédure	Détaille comment les incidents doivent être gérés opérationnellement.	Prioritisation et niveaux de sévérité ; checklists ; instructions de traitement étape par étape.

Le Plan : La Mesure et la Maturité (Le “Quoi”)

Le Plan est un document de gestion et de gouvernance. Il ne contient pas d’instructions techniques de terminal, mais définit le cadre permettant de juger l’efficacité de l’équipe de réponse.

Metrics (Métriques) : Définit les indicateurs clés de performance (KPI) tels que le MTTD (Mean Time To Detect) ou le MTTR (Mean Time To Respond). Sans ces indicateurs inscrits dans le Plan, le SOC ne peut pas justifier son efficacité auprès de la direction (Management Commitment).
Roadmap : Prévoit l’évolution capacitaire du SOC.
- Exemple : “D’ici Q3, intégration de l’automatisation SOAR pour les alertes de phishing.”
Definition of Terms : Établit une taxonomie commune. Il fixe la distinction précise entre un “Événement” (observation d’un changement d’état) et un “Incident” (violation de la politique de sécurité).

La Procédure : L’Action et la Gravité (Le “Comment”)

La Procédure (ou Playbook) est un document opérationnel. C’est le guide de référence de l’analyste dès qu’une alerte est déclenchée.

Prioritization & Severity (Priorisation et Sévérité) : Tandis que le Plan définit l’échelle de sévérité (ex: 1 à 5), la Procédure l’applique concrètement aux actifs.
- Le Plan dit : “L’organisation utilise 5 niveaux de sévérité.”
- La Procédure dit : “Une exfiltration sur la base SQL Client = Sévérité 1. Un malware sur un poste isolé (VLAN Stagiaire) = Sévérité 4.”
Checklists / Step-by-step : Fournit les instructions techniques précises pour le confinement et l’éradication.
- Exemple : 1. Isoler le VLAN 10 sur le switch core. 2. Effectuer un dump de la RAM pour analyse forensique. 3. Analyser les flux sortants sur le Firewall (Cisco Firepower/ASA).

Tableau de Synthèse pour l’Examen

Caractéristique	Incident Response Plan	Incident Response Procedure
Niveau	Stratégique / Tactique	Opérationnel / Technique
Focus principal	KPIs, Roadmap, Budget, Gouvernance	Triage, Analyse, Confinement
Élément Clé	Metrics (Efficacité globale)	Checklists (Actions directes)
Objectif	Améliorer la maturité du SOC	Stopper l’attaque en cours

Conseil d’examen — Politique vs. Plan vs. Procédure :

Politique → stratégie & objectifs, structure organisationnelle, rôles & autorité.

Plan → définition des termes, métriques d’efficacité, feuille de route.

Procédure → prioritisation/niveaux de sévérité, checklists, modalités de traitement des incidents.

L’objectif de l’élément politique est de définir l’engagement de la direction et d’établir le cadre général de réponse aux incidents — il ne détaille pas la manière dont les incidents sont traités (c’est le rôle de la procédure).

Cycle de Vie des Incidents NIST 800-61r2

La réponse opérationnelle est divisée en quatre phases cycliques :

Préparation → Détection & Analyse → Confinement, Éradication & Rétablissement → Activité Post-Incident
        ↑_________________________________________________________________________|

Phase	Activités Clés
1. Préparation	Formation du CSIRT ; établissement des outils et kits d’intervention ; définition des politiques et procédures.
2. Détection & Analyse	Identification des précurseurs et indicateurs d’un incident de sécurité ; validation des alertes.
3. Confinement, Éradication & Rétablissement	Limitation de la portée ; suppression de la menace ; restauration des systèmes.
4. Activité Post-Incident	Revues de retours d’expérience ; collecte et conservation des données ; rapports.

Confinement, Éradication et Rétablissement

Confinement

Déconnecter ou désactiver les adaptateurs réseau affectés si nécessaire.
Limiter la propagation de l’incident aux systèmes non affectés.

Éradication

Après identification de tous les hôtes nécessitant une remédiation, les étapes suivantes doivent être effectuées :

Reconstruire les systèmes impactés (ex. : serveurs DHCP) à l’aide de supports d’installation propres.
Mettre à jour et appliquer les correctifs des systèmes d’exploitation et de tous les logiciels installés sur l’ensemble des hôtes.
Changer tous les mots de passe des comptes compromis et des systèmes critiques.
Rétablir les hôtes à partir de sauvegardes vérifiées, propres et récentes, ou les reconstruire si aucune sauvegarde n’est disponible.

Conseil d’examen : « Déconnecter ou désactiver tous les adaptateurs réseau filaires et sans fil » est une action de confinement, et non d’éradication. « Changer les noms attribués » n’est PAS une étape d’éradication standard — ce sont les mots de passe qui doivent être changés.

Rétablissement

Valider et renforcer la sécurité réseau, les stratégies de sauvegarde et les politiques de sécurité.
Surveiller une éventuelle nouvelle attaque utilisant des vecteurs similaires.
Prioriser les systèmes et opérations critiques.

Activités Post-Incident

Après résolution de l’incident, les organisations doivent :

Organiser une réunion de retour d’expérience avec toutes les parties impliquées.
Analyser ce qui a bien fonctionné, ce qui a mal fonctionné et ce qui peut être amélioré.
Collecter et conserver les données d’incident pour les métriques, la budgétisation et l’évaluation de l’efficacité du CSIRT.
Réaliser des évaluations objectives et subjectives de la réponse à l’incident.

Facteurs de Conservation des Preuves

Facteur	Considération
Poursuites Judiciaires	Conserver jusqu’à la clôture de toutes les actions judiciaires (de quelques mois à plusieurs années). Ne jamais supprimer.
Type de Données	E-mail/texte : ~90 jours. Données de réponse aux incidents (sans action judiciaire) : 3+ ans.
Coût	Le stockage à long terme du matériel et des supports obsolètes peut s’avérer coûteux.

Exigences de Reporting et Partage d’Informations

Recommandations NIST pour le partage des informations relatives aux incidents :

Planifier la coordination des incidents avec des parties externes avant leur survenance.
Consulter le département juridique avant d’initier des efforts de coordination.
Effectuer le partage d’informations tout au long du cycle de vie complet de la réponse aux incidents.
Tenter d’automatiser au maximum le processus de partage.
Consigner les incidents dans des bases de données communautaires telles que la base de données communautaire VERIS.

RÉFÉRENCE RAPIDE D’EXAMEN

Cyber Kill Chain — Tableau d’Identification des Étapes

Scénario	Étape
L’acteur de menace scanne un réseau et sélectionne des cibles	Reconnaissance
L’acteur de menace construit un outil d’exploit à partir de vulnérabilités découvertes	Armement
La charge utile malveillante est envoyée via une pièce jointe e-mail	Livraison
La vulnérabilité est déclenchée ; l’acteur de menace prend le contrôle	Exploitation
Une porte dérobée persistante ou un webshell est installé	Installation
Un canal IRC ou DNS est établi pour des commandes à distance	Commandement & Contrôle
Des données sont exfiltrées ou une attaque DDoS est lancée	Action sur les Objectifs

Modèle Diamant — Tableau d’Identification des Caractéristiques

Question	Réponse
Qui est l’acteur de menace ?	Adversaire
Quels outils/techniques sont utilisés ?	Capacité
Quel chemin réseau est utilisé ?	Infrastructure
Qui est la cible ?	Victime
Qu’a obtenu l’attaquant ? (impact CIA)	Résultat (méta-caractéristique)
Quel chemin existe entre les éléments du Diamant ?	Direction (méta-caractéristique)
Quels logiciels/identifiants l’attaquant a-t-il utilisés ?	Ressources (méta-caractéristique)

Processus Forensique NIST 800-86 — Rappel Rapide

Phase	Définition en Une Ligne
Collecte	Identifier les sources ; acquérir, manipuler et stocker les données
Examen	Extraire et évaluer les informations pertinentes à partir des données
Analyse	Tirer des conclusions ; corréler les données issues de sources multiples
Rapport	Préparer et présenter des résultats impartiaux avec des recommandations

Types de Preuves — Rappel Rapide

Type	Expression Clé
Preuve Originale	État original, non altéré (disque original)
Preuve Directe	Indiscutablement en possession de l’accusé / témoin oculaire
Preuve Indirecte	Circonstancielle ; étaye une hypothèse avec d’autres faits
Preuve Corroborante	Étaye les affirmations issues d’une preuve originale

Types de Documents de Réponse aux Incidents — Rappel Rapide

Document	Éléments Clés
Politique	Stratégie & objectifs ; structure organisationnelle ; rôles & autorité
Plan	Définition des termes ; métriques ; feuille de route
Procédure	Prioritisation & sévérité ; checklists ; modalités de traitement des incidents