L'analyse forensique consiste à collecter et examiner les traces laissées par un incident informatique pour reconstituer ce qui s'est passé, avec une rigueur suffisante pour que ces éléments tiennent devant un tribunal. C'est une enquête post mortem : elle intervient après une attaque, une fuite de données ou une intrusion, quand il faut comprendre comment l'attaquant est entré, ce qu'il a touché, et ce qu'il faut corriger. Sur le terrain, j'ai vu des dirigeants découvrir l'existence de cette discipline le pire jour possible : celui où un ransomware avait chiffré leurs serveurs et où l'assureur réclamait un rapport circonstancié avant d'indemniser. Comprendre à froid ce qu'est l'analyse forensique, c'est s'éviter d'apprendre sa logique dans l'urgence.
Qu'est-ce que l'analyse forensique en cybersécurité ?
Le terme vient du latin forensis, ce qui relève du tribunal. L'idée centrale est là : il ne s'agit pas seulement de comprendre un incident, mais de le documenter d'une manière qui résiste à la contestation. Une analyse forensique en cybersécurité (parfois appelée investigation numérique, ou digital forensics) vise à récolter, préserver et analyser des données numériques pour en extraire des preuves exploitables, sur le plan technique comme juridique.
La différence avec un simple dépannage est fondamentale. Quand un technicien remet un serveur en route après une panne, son objectif est de restaurer le service. Quand un analyste forensique intervient, son objectif est d'abord de préserver les indices, quitte à ne rien toucher dans l'immédiat. Effacer, redémarrer ou réinstaller trop vite détruit des traces irrécupérables.
Comment se déroule une investigation numérique après un incident ?
Une investigation sérieuse suit une méthode, et c'est cette méthode qui donne aux conclusions leur valeur. Improviser la collecte, c'est rendre les preuves inutilisables. Le déroulé tient en cinq grandes phases.
- Identification et gel de la scène. On délimite les systèmes touchés et on stoppe la propagation, sans pour autant détruire les traces. C'est l'équivalent numérique de la mise sous scellés.
- Acquisition des données. On réalise des copies exactes des disques et de la mémoire, bit à bit. On travaille toujours sur la copie, jamais sur l'original, qui est conservé intact.
- Préservation et chaîne de conservation. Chaque pièce est horodatée, scellée par une empreinte numérique (un hash, sorte de signature unique du fichier), et tracée. Si l'on ne peut pas prouver que la preuve n'a pas été altérée, elle perd sa valeur devant un juge.
- Analyse. On reconstitue la chronologie : point d'entrée, déplacements de l'attaquant, données consultées ou exfiltrées, mécanisme utilisé.
- Rapport. On rédige un compte rendu clair, compréhensible par un non-technicien, qui pourra servir à la direction, à l'assureur ou à la justice.
La méthodologie d'extraction compte autant que le résultat. Une preuve obtenue dans le désordre, sans traçabilité, sera contestable, et donc souvent écartée. Il faut aussi se référer à la législation locale : ce qui est admissible varie selon le pays et le contexte.
À retenir : la valeur d'une investigation ne tient pas à la puissance des outils, mais à la rigueur de la collecte. Une copie disque mal réalisée vaut moins qu'une copie modeste mais irréprochable sur le plan de la traçabilité.
Quels outils sont utilisés pour l'analyse forensique ?
L'outillage va du logiciel gratuit au matériel professionnel dédié. Ce qui distingue un amateur d'un professionnel, ce n'est pas tant l'outil que la manière de s'en servir. Voici les familles de solutions qui reviennent le plus souvent.
| Catégorie | Rôle | Exemples |
|---|---|---|
| Suites d'investigation poste de travail | Analyser disques, mémoire et activité d'un ordinateur | Magnet AXIOM, Forensic Explorer |
| Forensique mobile | Extraire et décrypter les données de smartphones | Passware Kit Mobile |
| Collecte et réponse à incident | Rassembler rapidement les artefacts d'un système compromis | DFIR ORC, Recon ITR |
| Analyse réseau | Examiner les flux et détecter les communications suspectes | Outils de capture et d'analyse de trafic |
À noter, beaucoup de ces suites professionnelles se vendent sous licence annuelle, de quelques centaines à plusieurs milliers d'euros par poste. C'est l'une des raisons pour lesquelles la plupart des PME ne s'équipent pas en interne et font appel à un prestataire le jour où le besoin se présente.
Quand faut-il faire appel à un expert forensique ?
Toutes les pannes ne justifient pas une investigation. Le réflexe à acquérir est de distinguer l'incident technique banal de l'incident qui appelle des preuves. La vraie question n'est pas « est-ce grave techniquement », mais « vais-je devoir prouver quelque chose à quelqu'un ».
Concrètement, pour une entreprise, l'analyse forensique se justifie dans plusieurs cas. Une attaque par rançongiciel pour laquelle l'assureur ou la justice exigera un rapport. Une suspicion de vol de données par un salarié ou un prestataire, où la preuve conditionnera une procédure prud'homale ou pénale. Une fuite de données personnelles soumise à obligation de notification, où il faut documenter l'étendue de l'atteinte. Ou encore une intrusion répétée dont on ne comprend pas le point d'entrée et qu'il faut élucider pour la stopper durablement.
Dans tous ces cas, le bénéfice n'est pas seulement de comprendre. C'est de pouvoir défendre une position : justifier une indemnisation, étayer un licenciement, démontrer sa diligence auprès d'un régulateur. Une investigation bien menée alimente aussi la prévention, en révélant la faille à corriger pour éviter la récidive.
Combien coûte une analyse forensique en entreprise ?
Le coût varie fortement selon l'ampleur de l'incident, mais quelques repères aident à anticiper. Une investigation ciblée sur un poste ou un incident simple se chiffre généralement de quelques milliers à une dizaine de milliers d'euros. Un incident majeur, touchant plusieurs serveurs avec exfiltration de données, peut dépasser largement ces montants une fois additionnés l'intervention d'urgence, l'analyse et la rédaction du rapport.
Ce que les fournisseurs oublient parfois de préciser, ce sont les coûts indirects. Le coût caché, c'est l'immobilisation : pendant l'acquisition des preuves, certains systèmes restent figés et ne peuvent pas être remis en production tant que les copies ne sont pas réalisées. À cela s'ajoute le temps interne mobilisé pour répondre aux questions de l'analyste et fournir les accès.
Repère pour arbitrer : souscrire en amont un contrat de réponse à incident, ou vérifier que votre cyber-assurance inclut une prestation forensique, coûte bien moins cher que de chercher un prestataire en urgence, un dimanche, serveurs chiffrés. La négociation à froid est toujours plus favorable que l'achat dans la panique.
Faut-il internaliser ou externaliser cette compétence ?
Pour la grande majorité des PME, la réponse est claire : externaliser. Maintenir en interne un analyste formé, des outils sous licence et une veille à jour ne se justifie qu'à partir d'un certain volume d'incidents, que la plupart des entreprises n'atteignent heureusement jamais. Devenir expert forensique demande un socle solide en systèmes, en réseau, en droit du numérique, et une formation spécialisée. C'est un métier à part entière, pas une casquette qu'on ajoute à un administrateur déjà débordé.
Ce qui relève en revanche du bon sens interne, c'est la préparation. Savoir qui appeler, avoir les coordonnées d'un prestataire identifié, et surtout connaître les premiers gestes : isoler sans éteindre, ne rien réinstaller, consigner l'heure et les symptômes. Ces réflexes simples préservent les preuves en attendant les spécialistes.
Ce qu'il faut retenir
L'analyse forensique n'est pas un luxe d'expert, c'est l'assurance de pouvoir prouver ce qui s'est passé quand un incident dépasse le simple dépannage. Sa valeur tient à la rigueur de la collecte bien plus qu'à la sophistication des outils. Pour un dirigeant, l'enjeu se résume à deux décisions prises à froid : identifier en amont à qui faire appel, et former ses équipes aux premiers gestes pour ne pas détruire les preuves par précipitation.
La prochaine étape utile n'est pas d'acheter un logiciel. C'est de vérifier ce que couvre votre cyber-assurance ou votre contrat d'infogérance en matière de réponse à incident, et de poser noir sur blanc la procédure à suivre le jour où une machine se comporte anormalement. Ce document, préparé tranquillement, vaudra de l'or le jour où vous en aurez besoin.
