Forensic : analyse post intrusion

Logo NBS System
Logo NBS System
Forensic : analyse post intrusion
 

Si vous avez été victime d’un acte de malveillance, d’une fraude ou d’une attaque informatique, une forme d’audit de votre Système d’Information (SI) est possible : l’enquête forensique (ou Forensic en anglais). Aussi appelé analyse post intrusion ou fouille post-mortem, cet audit de sécurité informatique consiste à collecter et analyser les preuves d’une compromission et de déterminer avec un maximum de précision le mode opératoire utilisé par le pirate informatique. Le but de cette prestation est de retracer les actions menées par le pirate et les modifications potentielles qu’il aurait apporté (dépôt de fichiers malveillants, altération de fichiers existants, etc.).

In fine, déterminer la cause de la compromission et récolter les preuves d’une fraude, vous permettra d’identifier les éléments à modifier pour corriger la vulnérabilité.

Analyse forensique : pourquoi la mettre en place ?

En cas de soupçons d’espionnage, d’accès frauduleux, de piratage informatique ou de litiges avec un tiers (employé, client, concurrent, prestataire, …) ; une analyse forensique peut apporter de nombreuses réponses.

Le principal objectif de ce service de sécurité informatique est de matérialiser les preuves informatiques et de retracer avec précision le mode opératoire de l’attaquant, l’origine de la compromission et le préjudice causé par cette dernière.

Vous pourrez ainsi connaître le point faible de votre système, identifier le risque qu’il cause, et déterminer les actions à prendre : accepter ce risque ou bien le supprimer en corrigeant la vulnérabilité qui a mené à l’intrusion.

Notre prestation de Forensic vous permettra en outre de produire, en vue d’une action judiciaire ou privée, les preuves numériques d’une fraude dont vous avez été victime.


 L’expertise en sécurité informatique de NBS System

21 ans d’expérience

+600 tests d’intrusions

+ de 250 clients en sécurité informatique

Créateur de CerberHost

Créateur de Naxsi


Forensic : Deux méthodes pour deux objectifs

FORENSIC TECHNIQUE

Cette analyse a posteriori consiste à récupérer des traces informatiques (journaux, logs, disques), afin de trouver la cause d’une possible compromission de votre système ou de votre application : vulnérabilité exploitée par un pirate informatique, vol de données en interne, erreur humaine… Ici, la démarche dessert un objectif privé de correction souvent dans le cadre d’une démarche d’amélioration continue. Ainsi, le résultat des recherches est formalisé et retranscrit dans cet optique.

FORENSIC JUDICIAIRE

Cette analyse des traces informatiques a pour objectif de révéler des faits et des preuves dans le but de construire un dossier et de fournir des arguments basés sur des faits à un représentant de la loi (juriste, légiste ou avocat). L’analyse post-intrusion est en général suivie par une action en justice : dépôt de plainte, procès, etc.

Concrètement, l’analyse forensique est sensiblement la même dans les deux méthodes. La réelle différence se trouve principalement dans la présentation et le type d’informations qui composent le rapport.

Comment se déroule un Forensic ?

Après avoir défini le périmètre à auditer et contractualisé la prestation, un Forensic se décompose en 4 grandes étapes :

Écarter toutes erreurs

Quoi ? Nos experts forensic vont analyser en surface vos logs, fonctionnements logiciels, accès récemment utilisés, etc.

Objectif ? Pouvoir écarter avec certitude les causes de défaillance matérielle et logicielle et/ou les potentielles erreurs humaines.

Évaluer le système

Quoi ? Nos consultants vont avoir pour mission dans cette étape de déterminer la « santé » de votre système. Cela passe par un audit de vos équipements, support de stockage, protocole, etc.

Objectif ? Réfuter la théorie de défaillance technique, et donner des pistes de vulnérabilités et de failles présentent dans votre SI qui auraient pu être exploitées.

Copie des données informatiques

Quoi ? Nos experts en sécurité informatiques vont alors copier le maximum de données : email, logs informatiques, stockage, … présentes sur tout support : disque dur, carte mémoire, …

Objectif ? Récupérer tout ce qui est susceptible d’apporter une information, même minime, permettant à nos experts d’aboutir dans leurs recherches.

Inspection des données informatiques

Quoi ? Il s’agit ici d’un processus itératif composé des 4 grandes étapes suivantes :

  • Définir une liste de « mots clés suspects » en rapport avec l’élément compromis
  • Rechercher des éléments contenant ces mots clés dans vos logs, dans vos fichiers, etc.
  • Analyser le risque lié aux éléments trouvés
  • Rechercher de nouveaux mots suspects cohérents avec les dernières trouvailles
  • (Re) Définir une (nouvelle) liste de « mots clé suspects »

Le tout en constituant une « timeline » qui retrace le déroulement chronologique des événements

Objectif ? Détecter les éléments sensibles ayant un rapport (direct ou indirect) avec l’intrusion et l’objet de convoitise, afin d’en suivre la trace et de trouver la source de la compromission.

Livraison du rapport

La composition du rapport va dépendre du type de d’analyse forensique dont vous avez besoin (technique ou judiciaire). Le rapport apportera dans chacun des cas les preuves attendues (si toutefois la compromission se trouve être confirmée).

Quand mettre en place une analyse forensique ?

Vous avez ou suspectez avoir été victime d’un acte de malveillance, d’une fraude ou d’une attaque informatique ? C’est à ce moment-là que nous pouvons intervenir.

Qui réalise l’analyse forensic ?

L’équipe sécurité de NBS System qui se met à votre service pour ces prestations forensic est spécialisée dans les audits et Tests de Sécurité. Ses membres prennent également régulièrement, de manière ponctuelle et aléatoire, le rôle de SecOps au sein de NBS System, ce qui leur permet de rester au plus proche de la réalité de la production et de vos enjeux quotidiens.

La cellule sécurité est également composée d’une équipe dédiée à la recherche et à l’innovation, qui crée des projets open source afin que notre expertise interne serve à la société et à l’écosystème. C’est ainsi que sont nés NAXSi, PHP malware finder, Snuffleupagus, des outils de sécurité reconnus. Cela permet également à nos experts de rester à la page sur les évolutions offensives et défensives concernant la sécurité informatique.

Ces deux équipes (10 experts) interagissent bien sûr entre elles, pour vous garantir le meilleur de l’expertise sécurité et la meilleure protection possible, même contre les attaques émergentes.

Où se réalise le Forensic ?

En général les 3 première étapes du Forensic se déroulent dans vos locaux, au plus près de vos équipes et équipements.

En revanche, la 4e étape consistant en l’inspection des données peut se faire à distance (dans nos propres bureaux), comme chez vous dans vos locaux. Ce choix vous revient.

Déontologie & éthique chez NBS System

Nos experts en sécurité informatique sont les seuls à avoir accès au rapport de l’audit qui vous est remis, et vous restituent l’ensemble des informations récoltées sur ou dans votre système lors de l’audit de sécurité web. Ces dernières ne sont pas sauvegardées chez NBS System et ne sont jamais transmises à de tierces parties.

Vous pensez avoir été compromis ? Contactez dès à présent nos équipes !