1、Technologies de linformation Techniques de scurit Lignes directrices pour lanalyse et linterprtation des preuves numriques Information technology Security techniques Guidelines for the analysis and interpretation of digital evidence NORME INTERNATIONALE ISO/IEC 27042 Premire dition 2015-06-15 Numro
2、de rfrence ISO/IEC 27042:2015(F) ISO/IEC 2015 DOCUMENT PROTG PAR COPYRIGHT ISO/IEC 2015, Publi en Suisse Droits de reproduction rservs. Sauf indication contraire, aucune partie de cette publication ne peut tre reproduite ni utilise sous quelque forme que ce soit et par aucun procd, lectronique ou mc
3、anique, y compris la photocopie, laffichage sur linternet ou sur un Intranet, sans autorisation crite pralable. Les demandes dautorisation peuvent tre adresses lISO ladresse ci-aprs ou au comit membre de lISO dans le pays du demandeur. ISO copyright office Ch. de Blandonnet 8 CP 401 CH-1214 Vernier,
4、 Geneva, Switzerland Tel. +41 22 749 01 11 Fax +41 22 749 09 47 copyrightiso.org www.iso.orgISO/IEC 27042:2015(F)ii ISO/IEC 2015 Tous droits rservs ISO/IEC 27042:2015(F)Avant-propos iv Introduction v 1 Domaine dapplication . 1 2 Rfrences normatives . 1 3 T ermes et dfinitions . 1 4 Symboles et abrvi
5、ations . 5 5 Investigation . 5 5.1 Vue densemble . 5 5.2 Continuit 5 5.3 Rptabilit et reproductibilit 5 5.4 Approche structure 5 5.5 Incertitude 7 6 Analyse 7 6.1 Vue densemble . 7 6.2 Principes gnraux 7 6.3 Utilisation des outils. 8 6.4 Conservation des archives 8 7 Modles analytiques . 8 7.1 Analy
6、se statique . 8 7.2 Analyse dynamique . 9 7.2.1 Vue densemble . 9 7.2.2 Analyse dynamique de systmes dont il ne peut tre ralis dimages ou de copies . 9 7.2.3 Analyse dynamique de systmes dont il peut tre ralis des images ou des copies . 9 8 Interprtation .10 8.1 Gnralits .10 8.2 Accrditation des fai
7、ts .10 8.3 Facteurs affectant linterprtation 10 9 Consignation 11 9.1 Prparation .11 9.2 Contenus de rapport suggrs 11 10 Comptence.12 10.1 Vue densemble 12 10.2 Dmonstration de la comptence 12 10.3 Consignation de la comptence .12 11 Aptitude 13 11.1 Vue densemble 13 11.2 Mcanismes de dmonstration
8、de laptitude .13 Annexe A (informative) Ex emples de spcifications r elati v es la c ompt enc e et laptitude .14 Bibliographie .15 ISO/IEC 2015 Tous droits rservs iii Sommaire Page ISO/IEC 27042:2015(F) Avant-propos LISO (Organisation internationale de normalisation) et lIEC (Commission lectrotechni
9、que internationale) forment le systme spcialis de la normalisation mondiale. Les organismes nationaux membres de lISO ou de lIEC participent au dveloppement de Normes internationales par lintermdiaire des comits techniques crs par lorganisation concerne afin de soccuper des domaines particuliers de
10、lactivit technique. Les comits techniques de lISO et de lIEC collaborent dans des domaines dintrt commun. Dautres organisations internationales, gouvernementales et non gouvernementales, en liaison avec lISO et lIEC, participent galement aux travaux. Dans le domaine des technologies de linformation,
11、 lISO et lIEC ont cr un comit technique mixte, lISO/IEC JTC 1. Les procdures utilises pour laborer le prsent document et celles destines sa mise jour sont dcrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des diffrents critres dapprobation requis pour les dif
12、frents types de documents ISO. Le prsent document a t rdig conformment aux rgles de rdaction donnes dans les Directives ISO/IEC, Partie 2 (voir www. iso.org/directives). Lattention est appele sur le fait que certains des lments du prsent document peuvent faire lobjet de droits de proprit intellectue
13、lle ou de droits analogues. LISO et lIEC ne sauraient tre tenues pour responsables de ne pas avoir identifi de tels droits de proprit et averti de leur existence. Les dtails concernant les rfrences aux droits de proprit intellectuelle ou autres droits analogues identifis lors de llaboration du docum
14、ent sont indiqus dans lIntroduction et/ou dans la liste des dclarations de brevets reues par lISO (voir www.iso.org/brevets). Les appellations commerciales ventuellement mentionnes dans le prsent document sont donnes pour information, par souci de commodit, lintention des utilisateurs et ne sauraien
15、t constituer un engagement. Pour une explication de la signification des termes et expressions spcifiques de lISO lis lvaluation de la conformit, ou pour toute information au sujet de ladhsion de lISO aux principes de lOrganisation mondiale du commerce (OMC) concernant les obstacles techniques au co
16、mmerce (OTC), voir le lien suivant: www.iso.org/iso/fr/foreword.html. Le comit responsable de ce document est lISO/IEC JTC 1, Technologies de linformation, sous- comit SC 27, Techniques de scurit.iv ISO/IEC 2015 Tous droits rservs ISO/IEC 27042:2015(F) Introduction Gnralits La prsente Norme internat
17、ionale fournit des prconisations concernant la ralisation de lanalyse et de linterprtation de preuves numriques ventuelles afin didentifier et dvaluer les preuves numriques qui peuvent tre utilises pour comprendre un incident. La nature exacte des donnes et des informations composant les preuves num
18、riques ventuelles dpendra de la nature de lincident et des sources de preuves numriques impliques dans cet incident. Lors de lutilisation de la prsente Norme internationale, lutilisateur prend pour hypothse que les prconisations fournies dans lISO/IEC 27035-2 et lISO/IEC 27037:2012 ont t suivies et
19、que tous les processus utiliss sont compatibles avec les prconisations de lISO/IEC 27043:2015 et de lISO/IEC 27041 1) . Relation avec dautres normes La prsente Norme internationale est destine complter dautres normes et documents donnant des prconisations concernant linvestigation, et la prparation
20、linvestigation, sur des incidents de scurit de linformation. Elle ne constitue pas un guide exhaustif, mais dicte certains principes fondamentaux visant garantir que les outils, les techniques et les mthodes soient choisis de manire approprie et que leur adquation avec lapplication vise puisse tre d
21、montre, le cas chant. La prsente Norme internationale vise galement informer les dcideurs devant dterminer la fiabilit des preuves numriques qui leur sont soumises. Elle sapplique aux organismes devant protger, analyser et prsenter des preuves numriques ventuelles. Elle est pertinente dans le contex
22、te des organismes en charge de ltablissement de politiques, qui crent et valuent des modes opratoires en rapport avec les preuves numriques, souvent dans le cadre dun ensemble plus vaste de preuves. La prsente Norme internationale dcrit une partie dun processus dinvestigation complet, portant sans s
23、y limiter sur les thmatiques suivantes: gestion des incidents, comprenant la prparation et la planification des investigations; traitement des preuves numriques; utilisation de lexpurgation et problmes en dcoulant; systmes de prvention et de dtection des intrusions, comprenant les informations pouva
24、nt tre obtenues partir de ces systmes; scurit du stockage, comprenant le nettoyage du stockage; vrification de ladquation avec lapplication vise des mthodes dinvestigation; analyse et interprtation des preuves numriques; connaissance des principes et processus lis linvestigation des preuves numrique
25、s; gestion des vnements dincident de scurit, comprenant ltablissement de preuve partir de systmes impliqus dans la gestion des vnements dincident de scurit; relation entre la dcouverte lectronique et les autres mthodes dinvestigation, et utilisation des techniques de dcouverte lectronique dans dautr
26、es investigations; gouvernance des investigations, comprenant les investigations forensiques. Ces thmatiques sont couvertes partiellement dans les normes ISO/IEC suivantes: ISO/IEC 27037; 1) Publication en attente ISO/IEC 2015 Tous droits rservs v ISO/IEC 27042:2015(F) La prsente Norme international
27、e dcrit les moyens par lesquels les personnes impliques dans les premires phases dune investigation, comprenant la rponse initiale, peuvent sassurer que des preuves numriques ventuelles suffisantes sont recueillies pour permettre de poursuivre linvestigation de manire approprie. ISO/IEC 27038; Certa
28、ins documents peuvent contenir des informations dont il ne faut pas quelles soient divulgues auprs de certaines communauts. Des documents modifis peuvent tre diffuss auprs de ces communauts, aprs un traitement appropri du document dorigine. Le processus consistant supprimer les informations ne pas d
29、ivulguer est intitul lexpurgation. Lexpurgation numrique des documents est un domaine relativement rcent des pratiques de gestion documentaire, qui soulve des problmes spcifiques et pose des risques potentiels. Lors de lexpurgation de documents numriques, il faut que les informations supprimes ne so
30、ient pas rcuprables. Ds lors, il est ncessaire de prendre des prcautions pour que les informations expurges soient supprimes dfinitivement du document numrique (par exemple il ne faut pas quelles soient simplement masques dans des parties non affichables du document). La norme ISO/IEC 27038 spcifie
31、les mthodes dexpurgation numrique de documents numriques. Elle spcifie galement les exigences concernant les logiciels utilisables pour lexpurgation. ISO/IEC 27040:2015; La prsente Norme internationale donne des prconisations techniques dtailles concernant la manire dont les organismes peuvent dfini
32、r un niveau appropri dattnuation du risque grce lemploi dune approche reconnue et cohrente de la planification, la conception, la documentation et la mise en uvre de la scurit de stockage des donnes. La scurit du stockage sapplique la protection (la scurit) des informations l o elles sont stockes et
33、 la scurit des informations transfres au moyen des liaisons de communication associes au stockage. La scurit du stockage comprend la scurit des dispositifs et des supports, la scurit des activits de management associes aux dispositifs et aux supports, la scurit des applications et des services et la
34、 scurit relative aux utilisateurs finaux pendant la dure de vie de leurs dispositifs et supports et aprs la fin de leur utilisation. Les mcanismes de scurit tels que le chiffrement et le nettoyage peuvent affecter la capacit dinvestigation dune personne en mettant en place des mcanismes dobfuscation
35、. Ils doivent tre pris en compte en amont et au cours dune investigation. Ils peuvent galement tre importants pour sassurer que le stockage des matriaux probatoires, au cours et en aval dune investigation, soit prpar et scuris de manire adquate. ISO/IEC 27041; Il est important de pouvoir dmontrer qu
36、e les mthodes et processus dploys au cours dune investigation sont appropris. La prsente Norme internationale fournit des prconisations concernant la faon de sassurer que des mthodes et processus satisfont aux exigences de linvestigation et ont t soumises essai de faon approprie. ISO/IEC 27043:2015;
37、 La prsente Norme internationale dfinit les grands principes et processus communs sous-jacents une investigation sur incident, et fournit un modle cadre pour toutes les phases des investigations. Les projets ISO/IEC suivants couvrent galement en partie les thmatiques identifies ci-dessus et peuvent
38、conduire la publication de normes pertinentes, suite la publication de la prsente Norme internationale. ISO/IEC 27035 (toutes les parties); Cette norme en trois parties fournit aux organismes une approche structure et planifie de la gestion des incidents de scurit. Elle se compose des parties suivan
39、tes. ISO/IEC 27035-1;vi ISO/IEC 2015 Tous droits rservs ISO/IEC 27042:2015(F) Cette partie prsente les concepts de base et les phases de la gestion des incidents de scurit de linformation. Elle combine ces concepts des principes selon une approche structure de dtection, consignation, valuation, rpon
40、se et application des enseignements tirs. ISO/IEC 27035-2; Cette partie prsente les concepts planifier et prparer dans le cadre de la rponse aux incidents. Ces concepts, comprenant la politique et le plan de gestion des incidents, la constitution de lquipe de rponse aux incidents, et les runions din
41、formation et la formation de sensibilisation, sont bass sur la phase de planification et de prparation du modle prsent dans lISO/IEC 27035-1. Cette partie couvre galement la phase du modle intitule Enseignements tirs. ISO/IEC 27035-3; Cette partie couvre les responsabilits du personnel et les activi
42、ts pratiques de rponse aux incidents pour lensemble de lorganisme. Une attention particulire est accorde aux activits de lquipe de rponse aux incidents, comprenant les activits de surveillance, de dtection, danalyse et de rponse menes sur les donnes recueillies ou les vnements de scurit. ISO/IEC 270
43、44 2) ; Elle fournit des lignes directrices aux organismes concernant la prparation du dploiement des informations de scurit et des processus/systmes de gestion des vnements. Elle traite notamment de la slection, du dploiement et des oprations de gestion dvnements et dinformations de scurit (SIEM).
44、Elle vise spcifiquement offrir une assistance pour satisfaire aux exigences de lISO/IEC 27001 concernant la mise en uvre de modes opratoires et dautres contrles en mesure de permettre une dtection et une rponse rapides aux incidents de scurit, pour excuter un contrle et des modes opratoires de revue
45、 en vue didentifier de faon adquate les violations et incidents de scurit avorts et russis. ISO/IEC 27050 (toutes les parties) 3) ; Ce projet couvre les activits lies la dcouverte lectronique, comprenant sans sy limiter lidentification, la prservation, la collecte, le traitement, la revue, lanalyse
46、et la production de stockage lectronique dinformations (ESI). Il fournit en outre des prconisations concernant les mesures, allant de la cration initiale dESI leur limination finale, quun organisme peut prendre pour attnuer les risques et rduire les dpenses, sil savre que la dcouverte lectronique de
47、vient problmatique. Il concerne la fois les membres du personnel associs des fonctions techniques et non techniques, impliqus dans tout ou partie des activits de dcouverte lectronique. Il est important de noter que ces prconisations ne se destinent pas contredire ou se substituer aux lgislations et rglementations locales. La dcouverte lectronique constitue souvent un vecteur pour les investigations, ainsi que les activ
