Présentez-moi le processus d'investigation numérique et de réponse à incident.
Réponse courte
Le DFIR suit un processus rigoureux : identification (confirmer et délimiter l'incident), acquisition (préserver les preuves selon l'ordre de volatilité, avec images forensiques et empreintes), analyse (chronologie, cause racine, étendue de la compromission) et reporting (constats pour des publics techniques et juridiques). La chaîne de possession documente qui a manipulé chaque artefact et quand, afin que la preuve tienne si elle arrive un jour devant un tribunal. Préserver avant de remédier.
Le DFIR, c'est là où la discipline d'investigation rencontre la pression du temps. Les recruteurs interrogent sur le processus pour voir si vous savez aller vite sans détruire la preuve dont vous aurez justement besoin pour comprendre l'attaque — et peut-être la défendre devant un tribunal.
Le processus
- Identification. Confirmer qu'un incident est réel (écarter les faux positifs au triage), puis le délimiter : quels systèmes, comptes et données sont affectés ? On ne peut acquérir ni confiner ce qu'on n'a pas délimité.
- Acquisition. Préserver les preuves de manière forensiquement saine. Suivre l'ordre de volatilité — capturer d'abord les données les plus éphémères : registres CPU et cache, puis RAM et processus en cours, puis état réseau, puis disque, puis supports d'archivage. Réaliser des images forensiques, calculer des empreintes cryptographiques à la collecte, et travailler à partir de copies, jamais de l'original.
- Analyse. Reconstituer ce qui s'est passé : bâtir une chronologie, trouver la cause racine et l'accès initial, identifier les TTP et IOC de l'attaquant, et déterminer l'étendue complète de la compromission — ce qui a été consulté ou exfiltré. Cela guide à la fois l'éradication et les décisions de notification de violation.
- Reporting. Produire des constats pour deux publics : un récit technique pour les intervenants et un compte rendu clair et factuel pour la direction, le juridique et, le cas échéant, les régulateurs.
Chaîne de possession
Chaque élément de preuve nécessite une chaîne de possession documentée — qui l'a collecté, quand, comment il a été stocké et toute personne qui l'a touché. L'empreinte correspondante prouve que l'image n'a pas été altérée. Brisez la chaîne et la preuve peut devenir irrecevable.
La tension centrale
La réponse à incident veut confiner vite ; la forensique veut préserver d'abord. Débrancher peut faire perdre la mémoire volatile contenant l'unique copie d'un malware en mémoire ou de clés. Un intervenant compétent ordonne ses actions pour capturer les preuves volatiles avant le confinement perturbateur, équilibrant les deux objectifs.
Ce que recherchent les recruteurs
Ils veulent une acquisition guidée par l'ordre de volatilité, l'empreinte et la chaîne de possession pour la défendabilité, le « préserver avant de remédier », et la conscience de la tension confinement contre préservation sous la pression réelle du temps.
Questions de suivi probables
- Qu'est-ce que l'ordre de volatilité et pourquoi dicte-t-il l'ordre d'acquisition ?
- Pourquoi calculez-vous l'empreinte des images de preuve, et qu'est-ce que cela prouve ?
- Comment l'objectif de confinement de la réponse à incident entre-t-il parfois en conflit avec la préservation forensique ?