📚Glossaire

🛠️ Artefacts

Les artefacts sont des éléments de preuve qui indiquent une activité effectuée sur un système. Ils sont collectés lors du processus DFIR pour étayer une hypothèse ou une affirmation concernant l'activité de l'attaquant. Par exemple, une clé de registre Windows utilisée par un attaquant pour maintenir la persistance sur un système est considérée comme un artefact. Ces preuves sont collectées à partir du système de fichiers, de la mémoire ou de l'activité réseau.

📂 Préservation des Preuves

La préservation des preuves garantit l'intégrité des éléments collectés lors de l'analyse. Les bonnes pratiques dictent de protéger en écriture les preuves originales avant de les analyser. Une copie des preuves protégées est ensuite utilisée pour l'analyse, préservant ainsi les preuves originales et évitant toute contamination.

🔗 Chaîne de Traçabilité

La chaîne de traçabilité garantit l'intégrité et la fiabilité des preuves collectées. Les preuves doivent être conservées en lieu sûr et seules les personnes impliquées dans l'enquête doivent y avoir accès. Toute altération de la chaîne de traçabilité compromet l'intégrité des données et affaiblit le dossier d'enquête.

🔄 Ordre de Volatilité

Les preuves numériques sont volatiles et peuvent être perdues si elles ne sont pas collectées rapidement. Il est essentiel de comprendre l'ordre de volatilité des différentes sources de preuves pour les capturer efficacement. Par exemple, la mémoire RAM est plus volatile que le stockage sur disque dur et doit être préservée en priorité.

📆 Création de Chronologie

La création d'une chronologie des événements est essentielle pour une analyse précise. Cette chronologie classe les activités par ordre chronologique, fournissant ainsi une perspective et aidant à reconstituer l'histoire des événements. Elle permet de rassembler les informations provenant de diverses sources pour comprendre comment les événements se sont déroulés.