Documentation
La documentation dont a besoin un administrateur système et un expert en recherche de preuves informatiques est extrêmement détaillée. En effet, les preuves recueillies, mais également la méthode de collecte et les outils utilisés, doivent être répertoriés. Pour documenter un incident, des conventions de dénomination des éléments recueillis par les outils doivent être respectées. Des fichiers journaux doivent être créés et contenir l'heure, la date et l'identité de la personne chargée de la collecte des données. Répertoriez autant d'informations que possible sur l'incident de sécurité. Ces bonnes pratiques permettent de suivre une piste d'audit pour la procédure de collecte des informations.
Même si vous n'êtes ni administrateur système ni expert en recherche de preuves informatiques, prenez l'habitude de documenter en détail les tâches que vous effectuez. Si vous découvrez des activités illégales sur un ordinateur ou un réseau que vous utilisez, répertoriez au moins les informations suivantes :
- Raison initiale de l'utilisation de l'ordinateur ou du réseau
- Date et heure
- Périphériques connectés à l'ordinateur
- Toutes les connexions réseau
- Emplacement physique de l'ordinateur
- Fichiers illégaux trouvés
- Activité illégale constatée (ou suspectée)
- Procédures utilisées sur l'ordinateur ou sur le réseau
Les premiers intervenants doivent savoir ce que vous avez fait et ce que vous n'avez pas fait. La documentation que vous avez créée peut devenir une preuve dans le cadre des poursuites judiciaires. Si vous la modifiez ou la complétez, vous devez impérativement en informer toutes les parties intéressées.
Chaîne de responsabilité
Pour qu'une preuve soit recevable, elle doit être authentique. Un administrateur système peut avoir à témoigner à propos d'une preuve. Il doit également pouvoir prouver la méthode selon laquelle cette preuve a été recueillie, où elle a été stockée et qui y a accédé entre le moment où elle a été trouvée et le début de la procédure judiciaire. Ces informations forment ce que l'on appelle la chaîne de responsabilité. Pour valider cette dernière, les premiers intervenants mettent en place des procédures de suivi des preuves collectées. Cela permet également d'éviter toute falsification des preuves.
Il est primordial d'intégrer des procédures de recherche de preuves informatiques dans l'approche de la sécurité informatique, afin de garantir l'intégrité des données. Ces procédures peuvent vous aider à recueillir les données nécessaires en cas de faille de sécurité dans le réseau. Garantir la viabilité et l'intégrité des données collectées peut également vous aider à poursuivre le cybercriminel.