Ajouter un commentaire

Par :
Jean-François Beuze

jeu, 16/10/2014 - 12:59

Il y a aujourd’hui un véritable fossé entre la protection effective des systèmes informatiques, et les possibilités d’enquêter en cas de problème. Plus clairement, les remparts contre les attaques sont nombreux et efficaces, mais il est souvent plus difficile de comprendre pourquoi ils ne fonctionnent pas le cas échéant. Or il s’agit là d’une démarche essentielle : si l’on ne sait pas où se trouve la faille (informatique ou humaine), les attaques continueront. Et cela vaut aussi bien pour un grand groupe que pour une PME, car une cyberattaque ou un acte de malveillance peuvent avoir des conséquences graves quelles que soient la taille et l’activité de l’entreprise.

Un service accessible à toutes les entreprises

Jusqu’ici, la plupart des PME ne faisaient pas d’enquête en cas d’agression, car trop cher et trop complexe. Leur premier réflexe était simplement d’essayer de réparer les dégâts, et de se protéger encore plus. Pourtant, les solutions existent et toutes les sociétés sont capables de collecter des informations grâce à des outils technologiques simples. Mais les outils ne suffisent pas. Le principal problème réside dans la méthodologie : sans protocole d’investigation stricte, les informations obtenues ne sont pas ou peu recevables juridiquement parlant. Quel est alors l’intérêt de faire soi-même une enquête si ses résultats ne peuvent servir devant un tribunal ?

Les services d’investigation numérique, plus communément appelés Forensic, sont proposés par de plus en plus de prestataires et sont sensés palier cette problématique. En confiant l’enquête à un professionnel, la société victime s’assure que tout est fait selon les règles. À priori seulement. Car en effet, force est de constater que nombre de ces prestataires maîtrise les outils certes, mais très peu ont suivi les formations d’expertise technico-légales et connaissent les procédures juridiques. Car le rôle d’un investigateur numérique est d’une part de conduire l’enquête (identifier, réaliser les collectes, analyser et produire), et d’autre part de prouver la validité des preuves collectées tout en respectant la chaîne de contrôle. Or un rapport d’enquête non formalisé remis par une SSII est aussi peu recevable que s’il était établi par l’entreprise elle-même.

Il est donc primordial de faire appel à un prestataire dont les méthodes d’investigation sont les mêmes que celles des autorités. Par ailleurs, de plus en plus de magistrats désignent également des experts en dehors de la liste de la cour d’appel.

Mais que fait la Police ?

Les cyberattaques se multiplient de manière exponentielle et les services de la Gendarmerie ne pourront répondre à eux seuls à l’ensemble des investigations lors de dépôts de plainte. Même en renforçant les équipes dédiées, la collaboration des SSII spécialisées dans la sécurité informatique devient essentielle. Mais pour que ce travail commun soit pertinent, il faut que les preuves produites soient recevables dans le cadre d’une action en justice, au même titre que celles des experts inscrits sur les listes des cours d’appel.

Pour ce faire, la SSII peut utiliser des outils ainsi qu’une méthodologie d’extraction de données similaires à ceux utilisés par les autorités. D’autre part, en prenant certaines précautions, notamment en demandant la présence d’un huissier de justice lors de tout démarrage d’investigation, elle consolide encore la validité des informations recueillies ensuite. Mais comment alors, parmi la pléthore d’offres de services Forensic, reconnaître le bon prestataire appliquant une procédure légale ?

Un label pour les prestataires

L’une des solutions serait de mettre en place un label pour les prestataires hors champ de la liste de la cour d’appel. Il pourrait être délivré par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information, rattachée au Secrétaire général de la défense et de la sécurité nationale) ou par l’OCLCTIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication, créé au sein de la direction centrale de la police judiciaire). En améliorant la qualité des échanges, permettant ainsi d’accélérer les procédures judiciaires, cette démarche serait bénéfique pour tous : SSII, autorités et entreprises.

Le besoin en terme de cyberdéfense a glissé : on sait de mieux en mieux protéger, mais il faut maintenant savoir réagir en cas d’incident, trouver des preuves, des responsables, et sévir. Les services d’investigation numérique se démocratisent et peuvent être réalisés « à la carte » selon les situations. Le coût d’une enquête formalisée avec collecte méthodique de preuves et démasquage de fautifs reste bien inférieur à celui d’une éventuelle perte de brevet ou de données sensibles par exemple. Elle doit cependant être formalisée pour une plus grande efficacité.

 

A propos de l'auteur

Jean-François Beuze
Fondateur et Président de SIFARIS

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-)
 PPPP   L     U   U  Y   Y  FFFF 
P P L U U Y Y F
PPPP L U U Y FFF
P L U U Y F
P LLLL UUU Y F