Voici un scénario que j’ai vu se reproduire plusieurs fois. Un incident de sécurité survient dans une organisation. L’équipe interne (ou un consultant externe) commence à fouiller les systèmes : quelqu’un collecte des journaux d’événements, un autre fait des captures d’écran, un troisième tente de reconstituer la séquence des événements sur sa propre copie des données.

Trois semaines plus tard, quand l’assureur demande à voir le rapport d’investigation, personne n’est capable d’expliquer clairement qui a fait quoi, dans quel ordre et avec quelle méthode. Les preuves existent, mais leur valeur est contestable parce que le processus n’était pas documenté.

Ce scénario n’est pas une exception. C’est la norme dans les organisations qui n’ont pas de cadre d’investigation structuré.

ISO/IEC 27043 existe précisément pour ça.

C’est quoi, ISO/IEC 27043?

ISO/IEC 27043:2015, intitulée Incident investigation principles and processes, est une norme internationale qui établit les principes et les processus d’une enquête numérique (aussi appelée investigation forensique numérique).

Elle définit les classes de processus à suivre lors de toute investigation impliquant des preuves numériques : accès non autorisé, fuite de données, fraude interne, compromission d’un système, ou toute autre atteinte à la sécurité de l’information.

Ce n’est pas un guide opérationnel pour les enquêteurs techniques. C’est un cadre de référence de haut niveau qui harmonise les pratiques d’investigation, peu importe le type d’incident ou la taille de l’organisation.

La norme est intentionnellement abstraite pour qu’elle s’applique autant à une enquête sur un serveur compromis qu’à une investigation sur un appareil mobile, un environnement infonuagique ou un système industriel.

"La norme fournit des lignes directrices encapsulant des modèles idéalisés pour les processus d'investigation communs à travers différents scénarios d'enquête, des processus de préparation pré-incident jusqu'à la clôture de l'investigation." — ISO/IEC 27043:2015

Le principe fondamental derrière tout ça, c’est la répétabilité : deux enquêteurs compétents, dans des conditions similaires, appliquant les mêmes méthodes, doivent obtenir le même résultat. Si ce n’est pas le cas, la méthode utilisée est discutable, et les preuves le sont aussi.

Pour un décideur ou un gestionnaire, voici la traduction pratique : si votre processus d’investigation ne peut pas être reproduit et expliqué étape par étape à un juge, à votre assureur ou à une autorité réglementaire, vous êtes vulnérables.

Les 5 classes de processus

ISO 27043 structure l’enquête numérique en cinq grandes classes de processus. Je vous les présente dans l’ordre logique d’une investigation complète.

1. Les processus de préparation (Readiness)

Ces processus se déroulent avant tout incident. L’organisation définit les scénarios d’enquête probables pour son contexte, identifie ses sources potentielles de preuves numériques (journaux d’événements, caméras, journaux d’accès aux systèmes), configure son architecture informatique pour faciliter la collecte de preuves et forme ses équipes.

La norme qualifie ces processus d’optionnels. Je ne suis pas d’accord avec cette formulation. En pratique, une organisation non préparée va improviser lors de l’incident, et improviser coûte cher : en temps, en argent et en crédibilité lors des suites légales ou réglementaires.

Un exemple concret de préparation : vous savez que vos journaux d’événements (logs) de serveur ne sont conservés que 30 jours par défaut. Lors d’un incident découvert 45 jours après les faits, ces journaux n’existent plus. Si vous avez fait le travail de préparation, vous avez déjà revu votre politique de rétention et allongé cette période. La norme vous fournit le cadre pour faire cet exercice de façon structurée, en lien avec une analyse de risque.

2. Les processus d’initialisation

C’est ici que l’enquête commence concrètement : détection de l’incident, première réponse, planification de l’investigation et préparation des ressources.

La première réponse est la phase la plus critique. Des gestes mal posés à ce stade peuvent détruire des preuves irremplaçables. Éteindre un serveur sans d’abord capturer l’état de la mémoire vive (RAM) efface toutes les données volatiles : connexions actives, processus en cours, clés de chiffrement. Ouvrir ou modifier des fichiers sur un système compromis change leurs métadonnées (date d’accès, date de modification) et peut les rendre inutilisables comme preuves. Ce ne sont pas des erreurs rares. Ce sont des réflexes naturels que l’on fait quand on n’a pas de procédure établie.

3. Les processus d’acquisition

Identification, collecte, acquisition, transport et stockage des preuves numériques potentielles. Chaque étape doit préserver l’intégrité des données. En pratique, cela signifie des copies forensiques vérifiables (images bit-à-bit accompagnées de fonctions de hachage pour prouver qu’aucune modification n’a eu lieu), une documentation de chaque manipulation et un stockage physiquement sécurisé.

4. Les processus d’investigation

Analyse des preuves potentielles, interprétation des résultats, production du rapport et présentation des conclusions. La norme insiste sur un point que j’estime souvent sous-estimé : le rapport doit être compréhensible pour un auditoire non technique. Juges, gestionnaires, assureurs : ces personnes vont lire votre rapport d’investigation et prendre des décisions en fonction de ses conclusions.

5. Les processus concurrents

Ces six processus se déroulent en parallèle tout au long de l’enquête, de la détection à la clôture. Ce sont eux qui garantissent la recevabilité juridique des preuves.

  • Obtention des autorisations : chaque action dans l’investigation doit être autorisée par les parties concernées.
  • Documentation : tout doit être consigné, les activités comme les observations.
  • Gestion des flux d’information : qui communique quoi, à qui et par quel canal.
  • Préservation de la chaîne de possession (chain of custody) : démontrer que les preuves n’ont pas été altérées.
  • Préservation des preuves numériques : maintenir l’intégrité de l’original à tout moment.
  • Interaction avec l’investigation physique : coordination si une enquête physique se déroule en parallèle.

L’écosystème autour d’ISO 27043

ISO/IEC 27035 est la porte d’entrée naturelle vers ISO 27043. ISO/IEC 27037 est la norme opérationnelle pour la collecte de preuves sur le terrain. ISO/IEC 27041 garantit que les méthodes utilisées sont appropriées. ISO/IEC 30121 est la norme à présenter à votre comité de direction.

Ce que vous devriez retenir

ISO/IEC 27043 n’est pas une norme pour les enquêteurs forensiques seulement. C’est une norme pour tous ceux qui doivent superviser, encadrer ou évaluer une investigation numérique : RSSI, DPO, gestionnaires de risques, dirigeants de PME.

L’ennemi de la sécurité est la complexité. Un cadre structuré comme ISO 27043 n’en ajoute pas : il l’élimine en donnant un ordre logique d’opérations que tout le monde comprend.

Si vous n’avez jamais fait le tour de votre programme de préparation aux enquêtes numériques, c’est là que je vous encourage à commencer. Pas après l’incident.

Sources