Par: Marc Séguin, GCFA, CCNA
Un des aspects important à retenir lors de la cueillette d'informations lors d'une enquête informatique est l'aspect de l'intégrité des données. Il y a en effet des étapes pointues que l'enquêteur doit exécuter afin de ne pas compromettre les preuves informatiques recueillies et que celles-ci soient recevables lors d'un éventuel procès. Voici donc un TOP 10 des actions à prendre en considération lors d'une enquête informatique :
À FAIRE :
1. Sécuriser l'appareil afin que seulement le personnel autorisée y accède.
2. Si l'appareil est fermé, laissez le fermé.
3. Si l'appareil est allumé, laissez le allumé.
4. Si l'appareil est allumé, débrancher les câbles réseaux et désactiver les connexions sans-fils et/ou Bluetooth.
5. Si l'étape 4 est impossible, débranchez l'appareil ou retirez la pile. Si c'est un serveur physique, procédez à une fermeture du système de façon régulière.
6. Informez seulement le personnel qui a besoin d'être au courant du fait qu'une enquête est en cours.
7. Documentez! Prenez des notes sur le personnel impliqué, les allégations, les preuves, les dates/ heures, etc.
8. Dans la mesure de ce qui est autorisé par la loi, prenez le plus d'objets possible qui pourraient contenir des preuves. Exemples, disque dur USB externe, CD, camera, documents papier, etc.
9. Si possible, ne pas informer le sujet visé qu'il est sous enquête.
10. Demander l'aide des spécialistes en enquête informatique afin d'analyser les données et d'effectuer l'enquête selon les normes juridiques. Gardien Virtuel peut effectuer ce travail.
Une enquête informatique peut être compromise lorsque certaines actions sont effectuées sur l'équipement à investiguer puisque les preuves peuvent être effacées/modifiées. Voici un autre TOP 10 des actions à éviter pour ne pas nuire à une enquête informatique :
À NE PAS FAIRE :
1. Tenter de "jeter un coup d’œil" et de travailler sur l’appareil soupçonné.
2. Utiliser des ressources qui ne sont pas familières avec la manipulation de preuve électronique.
3. Utiliser des ressources qui ne sont pas familières avec les normes d'admissibilité juridique.
4. Attendre. Plus vous répondrez rapidement à l'incident, plus vous aurez de chance que les preuves soient conservées.
5. Éveiller les soupçons; ne parler pas aux parties prenantes de l'enquête, sauf si nécessaire.
6. Ignorer votre département des ressources humaines dans cette procédure. Les gens de ce département ne peuvent vous conseiller sur des questions juridiques.
7. Ne pas hésiter à contacter la police si vous pensez qu'une action illégale a été commise.
8. Ne soyez pas tenté de détruire toutes les données; ceci peut généralement être tracé et il peut y avoir de graves conséquences juridiques
9. Ne pas exécuter une application ou utilitaire sur l'ordinateur ou faire quelque chose qui pourrait le modifier de quelconque façon.
10. Tenter de deviner les meilleures actions à prendre; en cas de doute, contactez une firme d'enquêtes informatiques comme Gardien Virtuel.
Dans tous les cas, il est toujours recommandé de consulter une firme spécialisée qui peut vous assister dans les procédures, l'analyse et le recouvrement de preuves. Pour vos besoin d'enquêtes juridico-informatique, Gardien Virtuel peut vous assister.
