SANS FRAIS 1 877-777-6412

Comment gâcher une preuve numérique en 5 étapes lors d’un incident de sécurité

preuve numérique

Si vous êtes victime d’un incident de cybersécurité, faites très attention à la preuve numérique associée! Un incident de sécurité peut se rendre au tribunal et mener à des accusations au criminel; il faut alors réaliser une enquête pour prouver qui est le responsable de celui-ci. Une preuve est toujours à la base d’une enquête (sans arme du crime, le crime peut difficilement être prouvé!)

Il y a cependant, une différence de taille lorsqu’on parle d’incidents de cybersécurité et non pas d’incidents traditionnels; c’est que la preuve est maintenant de nature numérique (ordinateur, disque dur, serveur, clef USB…), ce qui demande une expertise très ciblée afin de pouvoir la traiter.

Nous avons justement eu la chance de parler avec Michel Cusin, consultant en sécurité et membre du réseau CyberSwat. Il nous a expliqué plus en détail comment ce type d’enquête fonctionne. Michel œuvre dans le domaine de la sécurité de l’information depuis plus de 17 ans. Il a organisé dans le passé, des journées de conférences et d’échanges sur la sécurité à Québec. Il a surtout une forte expertise en tests d’intrusion et en gestion d’incidents et est souvent amené à réaliser des enquêtes forensiques suite à des incidents de sécurité survenus chez ses clients.

Michel Cusin

Or, il nous a précisé que dès qu’il y a mauvaise manipulation, la preuve numérique peut être discréditée par le juge lors d’un procès. Ce qui veut dire que même si une personne est coupable, elle pourrait être disculpée faute de preuve admissible! Quelle frustration cela doit être!

Qu’est-ce qu’exactement un incident de sécurité qui pourrait demander une enquête judiciaire? Michel nous a donné un exemple fictif très flagrant, afin d’aider à mieux comprendre. Imaginez une négociation en cours entre un patron et un syndicat. Tout d’un coup, le patron se rend compte que les membres du syndicat semblent détenir de l’information qu’ils ne devraient pas avoir et l’utilisent pour gagner les négociations. Le patron a déjà une petite idée de qui a pu donner l’information, mais il ne peut le prouver. Il soupçonne qu’un employé a envoyé de l’information de son portable de travail. Il lance donc une enquête.

Voici comment ce patron aurait pu gâcher sa seule preuve numérique en 5 étapes (et comment ne pas faire l’erreur de votre côté)!

1. Ne pas protéger la scène de crime

Dès que vous vous rendez compte de l’incident, il faut tout de suite prendre possession du support numérique qui a servi selon vous, à provoquer l’incident (dans le cas de notre exemple, un portable). De la même manière que lorsqu’un crime survient, les policiers entourent le lieu du crime d’un ruban de protection pour empêcher toute personne qui n’est pas un enquêteur, à toucher aux objets. Vous devez prendre possession de l’ordinateur, le débrancher du réseau sans toutefois couper l’alimentation électrique et faire en sorte que plus personne n’y accède.

2. Ne pas noter toute manipulation de la preuve

Dès que le portable est entre vos mains, vous devez tout noter dans un cahier de notes (date, heure, lieu, votre nom). Il faut toujours en tout temps, savoir qui est responsable de la preuve numérique et où elle se trouve. Nous appelons cela « la chaîne de possession ». Il faut donc également consigner qui est en possession des éléments de preuve saisis dans le temps, sur le document de chaîne de possession. Ce dernier doit suivre la preuve numérique en tout temps. De cette façon, il est facile de déterminer qui en était responsable lorsque c’est arrivé.

3. Continuer à utiliser la preuve numérique

Il ne faut surtout pas continuer à utiliser le portable, même via une session à distance (qui laissera des traces) pour ne pas contaminer la preuve ou risquer d’effacer un élément important pour l’enquête. Ne l’allumez pas. Ne l’éteignez pas s’il est ouvert. Il doit rester tel que vous l’avez récupéré.

4. Copier le contenu de la preuve numérique sans respecter de procédure

Une fois qu’un spécialiste récupérera le portable, il va copier tout le contenu sur un autre disque afin d’effectuer ses recherches. Il ne fait jamais de recherches directement sur l’original. Seulement, la procédure à suivre pour effectuer la copie est très stricte. Par exemple, il faut couper l’alimentation électrique du système en retirant le câble d’alimentation pour figer la preuve dans le temps. Il faut également utiliser un logiciel reconnu dans le marché, copier l’intégralité du contenu (même les fichiers effacés) et s’assurer que l’intégrité soit respectée dans la copie. Michel a souvent entendu ses clients lui dire qu’ils avaient fait des copies des fichiers  en mode de copie de sauvegarde (backup)  sur une clef USB sans aucune réelle méthodologie. Ce type de copie sera invalidée en cour en un rien de temps!

5. Ne pas attendre un spécialiste pour analyser la preuve

Si vous n’avez pas d’expertise en enquête forensique ou n’êtes pas en mesure d’établir votre crédibilité en cour, ne touchez plus à rien et appelez un spécialiste! Toutes les actions que vous pourriez faire risquent d’altérer la preuve numérique et permettre au coupable de s’en tirer en toute impunité!

 Lorsqu’un sinistre en cybersécurité survient, le temps joue contre vous. Il faut contenir l’incident afin d’en garder le contrôle tout en favorisant un retour à la normale dans les plus brefs délais. Le Groupe CyberSwat, c’est la force d’un réseau partout en province! Nul besoin de réaliser des démarches auprès de multiples entreprises pour offrir une couverture géographique complète.

Merci à Michel Cusin d’avoir pris le temps de nous vulgariser ces concepts d’informatique judiciaires

Vous avez été victime d’un incident de sécurité dans le passé et vous désirez savoir comment mieux vous protéger dans le cas d’un incident? Contactez-nous pour en savoir davantage sur le fonctionnement de notre service de gestion en incident de cybersécurité.

SANS FRAIS 1 877-777-6412

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.