Forensique post-violation : les 48 premières heures décisives

Lorsqu'une violation est confirmée, deux horloges se déclenchent simultanément. L'une est opérationnelle : arrêter l'hémorragie, rétablir le service, rassurer les parties prenantes. L'autre est forensique : préserver les preuves qui vous diront ce qui a été dérobé, comment, et si l'attaquant est toujours à l'intérieur. Ces horloges tirent en sens opposés et, dans les 48 premières heures, l'opérationnelle l'emporte généralement — à grands frais.

On nous appelle régulièrement sur des enquêtes où les preuves les plus précieuses ont été détruites non par l'attaquant, mais par la réponse. Réinstaller une machine infectée avant de la capturer. Éteindre un serveur et perdre tout ce qui résidait en mémoire volatile. Supprimer les artefacts de l'attaquant dans la précipitation du « nettoyage ». Chacune de ces actions est compréhensible sous pression, et chacune peut aveugler définitivement une enquête.

Préserver avant de remédier

L'instinct d'effacer et de reconstruire est puissant, mais capturez d'abord. Concrètement, cela signifie :

• Capturer la mémoire volatile avant toute mise hors tension — les processus en cours, les connexions réseau et les clés de chiffrement ne vivent souvent que dans la RAM.
• Préserver les journaux immédiatement, et les extraire des systèmes affectés. Les attaquants altèrent ou font tourner les journaux ; partez du principe que les vôtres sont une cible.
• Imager les disques affectés plutôt que de travailler sur le système en fonctionnement, afin que l'état d'origine soit figé et défendable.
• Consigner vos propres actions avec horodatage. Qui a fait quoi, et quand. Cela protège à la fois l'enquête et les intervenants.

Contenir sans détruire

Vous pouvez contenir sans détruire les preuves. Isolez un hôte compromis du réseau au lieu de l'éteindre. Désactivez un compte compromis plutôt que de le supprimer. Bloquez l'infrastructure de l'attaquant au pare-feu tout en préservant les enregistrements de connexion. L'objectif est de couper l'accès de l'attaquant tout en gardant la scène de crime intacte.

La façon la plus courante dont les organisations sabotent leur propre enquête est de traiter le confinement et la forensique comme une seule et même étape. Ils ne le sont pas. Coupez l'accès ; préservez les preuves.

Pourquoi la discipline est payante

Au-delà de la compréhension de l'attaque, ces preuves préservées déterminent si vous pouvez satisfaire avec exactitude vos obligations réglementaires de notification, appuyer une déclaration de sinistre auprès de l'assurance ou engager une action en justice. Une enquête bâtie sur des preuves correctement traitées répond aux questions qui comptent : quelles données ont réellement été consultées, si l'attaquant conserve un point d'ancrage, et comment refermer la porte définitivement.

Si vous ne deviez retenir qu'une chose : rédigez dès maintenant, à froid, une courte liste de contrôle répétée qui place la préservation des preuves avant la remédiation. Dans le chaos de la première heure, personne n'invente sur-le-champ une bonne discipline forensique — chacun retombe sur ce qui a été pratiqué, ou improvise et perd les preuves.