Skip to content

Expliquez l'ordre de volatilité et pourquoi il dicte la séquence de collecte des preuves en DFIR.

Réponse courte

L'ordre de volatilité classe les preuves selon leur vitesse de disparition, pour collecter les plus fragiles en premier. Grosso modo : registres/cache CPU, puis RAM et état d'exécution (processus, connexions réseau, ARP), puis fichiers temporaires/swap, puis disque, puis journalisation et données de supervision distantes, et enfin supports d'archivage et sauvegardes. On travaille aussi sur des copies forensiques, on les hashe, et on maintient une chaîne de possession pour que la preuve reste recevable.

Quand vous arrivez sur un hôte compromis, le compte à rebours des preuves a déjà commencé. L'ordre de volatilité (codifié dans la RFC 3227) vous dit de récupérer en premier les données qui disparaissent le plus vite, pour qu'un redémarrage ou un arrêt négligent n'efface pas les artefacts les plus précieux. Les recruteurs posent cette question pour confirmer que vous traitez les preuves de façon méthodique et comprenez ce qui se perd et quand.

Du plus volatil au moins volatil

  1. Registres CPU, cache — disparus en microsecondes ; rarement collectés directement.
  2. RAM et état d'exécution — processus actifs, connexions réseau ouvertes, cache ARP, utilisateurs connectés, ainsi que les malwares injectés/sans fichier et les clés de chiffrement qui n'existent que en mémoire. C'est pourquoi la capture mémoire vient tôt.
  3. Fichiers temporaires / swap / pagefile — transitoires mais sur disque.
  4. Disque — le système de fichiers persistant ; survit aux redémarrages mais peut être effacé ou écrasé.
  5. Journalisation et données de supervision distantes — SIEM, NetFlow, journaux déportés.
  6. Supports d'archivage et sauvegardes — les plus durables, collectés en dernier.

L'idée clé : la mémoire avant le disque, le disque avant les sauvegardes. Éteindre une machine pour la « préserver » détruit en réalité la couche volatile — où vivent souvent les vraies preuves d'une intrusion active.

Le faire de façon défendable

L'ordre de volatilité n'est que la moitié du travail. Travaillez sur des copies forensiques, pas sur les originaux ; calculez et consignez des hashes cryptographiques avant et après l'imagerie pour prouver l'intégrité ; utilisez des bloqueurs d'écriture pour les disques ; et maintenez une chaîne de possession ininterrompue documentant qui a manipulé chaque élément, quand et pourquoi. Sans cela, une preuve peut être irrecevable.

Pourquoi c'est important

Une bonne réponse récite la séquence approximative (registres → RAM/réseau → swap → disque → journaux → sauvegardes), explique qu'éteindre fait perdre les données les plus fragiles, et l'associe au hachage et à la chaîne de possession. Cela montre que vous savez préserver les preuves sous pression d'une manière qui tienne par la suite.

Questions de suivi probables

  • Pourquoi éteindre une machine peut-il détruire les preuves les plus précieuses ?
  • Qu'est-ce que la chaîne de possession et pourquoi compte-t-elle pour la recevabilité ?
  • Comment préservez-vous l'intégrité lors de l'imagerie d'un disque à chaud ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.