1、Technologies de linformation Techniques de scurit Principes et processus dinvestigation sur incident Information technology Security techniques Incident investigation principles and processes NORME INTERNATIONALE ISO/IEC 27043 Premire dition 2015-03-01 Numro de rfrence ISO/IEC 27043:2015(F) ISO/IEC
2、2015 DOCUMENT PROTG PAR COPYRIGHT ISO/IEC 2015, Publi en Suisse Droits de reproduction rservs. Sauf indication contraire, aucune partie de cette publication ne peut tre reproduite ni utilise sous quelque forme que ce soit et par aucun procd, lectronique ou mcanique, y compris la photocopie, lafficha
3、ge sur linternet ou sur un Intranet, sans autorisation crite pralable. Les demandes dautorisation peuvent tre adresses lISO ladresse ci-aprs ou au comit membre de lISO dans le pays du demandeur. ISO copyright office Ch. de Blandonnet 8 CP 401 CH-1214 Vernier, Geneva, Switzerland Tel. +41 22 749 01 1
4、1 Fax +41 22 749 09 47 copyrightiso.org www.iso.orgISO/IEC 27043:2015(F)ii ISO/IEC 2015 Tous droits rservs ISO/IEC 27043:2015(F)Avant-propos v Introduction vi 1 Domaine dapplication . 1 2 Rfrences normatives . 1 3 T ermes et dfinitions . 1 4 Symboles et abrviations . 4 5 Investigations numriques 4 5
5、.1 Principes gnraux 4 5.2 Principes lgaux . 4 6 Processus dinvestigation numrique 5 6.1 Vue densemble des processus 5 6.2 Classes de processus dinvestigation numrique 6 7 Processus de prparation . 8 7.1 Vue densemble des processus de prparation . 8 7.2 Processus de dfinition du scnario 10 7.3 Proces
6、sus didentification des sources de preuves numriques ventuelles 10 7.4 Processus de planification de la collecte antrieure lincident, du stockage et du traitement des donnes reprsentant des preuves numriques ventuelles 12 7.5 Processus de planification de lanalyse des donnes antrieure lincident repr
7、sentant des preuves numriques ventuelles .12 7.6 Processus de planification de la dtection des incidents 12 7.7 Processus de dfinition de larchitecture du systme 13 7.8 Processus de mise en uvre de larchitecture du systme .13 7.9 Processus de mise en uvre de la collecte antrieure lincident, du stock
8、age et du traitement des donnes reprsentant des preuves numriques ventuelle.13 7.10 Processus de mise en uvre de lanalyse antrieure lincident des donnes reprsentant des preuves numriques ventuelles .13 7.11 Processus de mise en uvre de la dtection des incidents .14 7.12 Processus dvaluation de la mi
9、se en uvre 14 7.13 Processus de mise en uvre des rsultats dvaluation 14 8 Processus dinitialisation .15 8.1 Vue densemble des processus dinitialisation .15 8.2 Processus de dtection des incidents .15 8.3 Processus de premire rponse 16 8.4 Processus de planification .16 8.5 Processus de prparation .1
10、7 9 Processus dacquisition 17 9.1 Vue densemble des processus dacquisition .17 9.2 Processus didentification des preuves numriques ventuelles .18 9.3 Processus de collecte des preuves numriques ventuelles 19 9.4 Processus dacquisition des preuves numriques ventuelles.19 9.5 Processus de transport de
11、s preuves numriques ventuelles 19 9.6 Processus de stockage et de prservation des preuves numriques ventuelles 19 10 Processus dinvestigation .20 10.1 Vue densemble des processus dinvestigation 20 10.2 Processus dacquisition des preuves numriques ventuelles.21 10.3 Processus dexamen et danalyse des
12、preuves numriques ventuelles 21 10.4 Processus dinterprtation des preuves numriques .22 10.5 Processus de consignation .22 10.6 Processus de prsentation .23 ISO/IEC 2015 Tous droits rservs iii Sommaire Page ISO/IEC 27043:2015(F)10.7 Processus de clture de linvestigation .23 11 Processus simultans .2
13、3 11.1 Vue densemble des processus simultans 23 11.2 Processus dobtention de lautorisation .24 11.3 Processus de documentation .24 11.4 Processus de gestion du flux dinformations .24 11.5 Processus de prservation de la chane de contrle25 11.6 Processus de prservation des preuves numriques .25 11.7 P
14、rocessus dinteraction avec linvestigation physique 25 12 Schma du modle du processus dinvestigation numrique 25 Annexe A (informative) Processus dinvestigation numrique: motif dharmonisation .28 Bibliographie .31 iv ISO/IEC 2015 Tous droits rservs ISO/IEC 27043:2015(F) Avant-propos LISO (Organisatio
15、n internationale de normalisation) et lIEC (Commission lectrotechnique internationale) forment le systme spcialis de la normalisation mondiale. Les organismes nationaux membres de lISO ou de lIEC participent au dveloppement de Normes internationales par lintermdiaire des comits techniques crs par lo
16、rganisation concerne afin de soccuper des domaines particuliers de lactivit technique. Les comits techniques de lISO et de lIEC collaborent dans des domaines dintrt commun. Dautres organisations internationales, gouvernementales et non gouvernementales, en liaison avec lISO et lIEC, participent gale
17、ment aux travaux. Dans le domaine des technologies de linformation, lISO et lIEC ont cr un comit technique mixte, lISO/IEC JTC 1. Les procdures utilises pour laborer le prsent document et celles destines sa mise jour sont dcrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de
18、prendre note des diffrents critres dapprobation requis pour les diffrents types de documents ISO. Le prsent document a t rdig conformment aux rgles de rdaction donnes dans les Directives ISO/IEC, Partie 2 (voir www. iso.org/directives). Lattention est appele sur le fait que certains des lments du pr
19、sent document peuvent faire lobjet de droits de proprit intellectuelle ou de droits analogues. LISO et lIEC ne sauraient tre tenues pour responsables de ne pas avoir identifi de tels droits de proprit et averti de leur existence. Les dtails concernant les rfrences aux droits de proprit intellectuell
20、e ou autres droits analogues identifis lors de llaboration du document sont indiqus dans lIntroduction et/ou dans la liste des dclarations de brevets reues par lISO (voir www.iso.org/brevets). Les appellations commerciales ventuellement mentionnes dans le prsent document sont donnes pour information
21、, par souci de commodit, lintention des utilisateurs et ne sauraient constituer un engagement. Pour une explication de la signification des termes et expressions spcifiques de lISO lis lvaluation de la conformit, ou pour toute information au sujet de ladhsion de lISO aux principes de lOrganisation m
22、ondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC), voir le lien suivant: www.iso.org/iso/fr/foreword.html. Le comit responsable de ce document est lISO/IEC JTC 1, Technologies de linformation, sous-comit SC 27, Techniques de scurit. ISO/IEC 2015 Tous droits rservs v ISO
23、/IEC 27043:2015(F) Introduction propos de la prsente Norme internationale La prsente Norme internationale fournit des lignes directrices contenant des modles idaliss des processus dinvestigation communs travers divers scnarios dinvestigation. Elle inclut des processus allant de la prparation antrieu
24、re lincident jusquau retour des preuves (inclus) pour stockage ou diffusion, de mme que des conseils et mises en garde dordre gnral concernant les processus ainsi que lidentification, la collecte, lacquisition, la prservation, lanalyse, linterprtation et la prsentation appropries des preuves. Lun de
25、s principes de base des investigations numriques est la rptabilit, selon laquelle un investigateur dot du savoir-faire requis doit tre en mesure dobtenir le mme rsultat quun autre investigateur dot dun savoir-faire similaire, travaillant dans des conditions similaires. Ce principe est extrmement imp
26、ortant pour toute investigation dordre gnral. Les lignes directrices de nombreux processus dinvestigation sont fournies pour garantir clart et transparence lors de lobtention du rsultat livr pour chaque processus donn. La raison motivant la fourniture de lignes directrices concernant les principes e
27、t processus dinvestigation sur incident est indique ci-aprs. Des lignes directrices tablies couvrant les principes et processus dinvestigation sur incident faciliteraient les investigations car elles fourniraient un ordre commun des vnements composant une investigation. Le recours des lignes directr
28、ices tablies permet une transition en toute transparence dun vnement lautre au cours dune investigation. De telles lignes directrices permettraient galement une formation adquate dinvestigateurs inexpriments. De plus, les lignes directrices visent garantir la flexibilit au sein dune investigation en
29、 raison du fait que de nombreux types diffrents dinvestigations numriques sont possibles. Des principes et processus dinvestigation sur incident harmoniss sont spcifis et des indications sont fournies concernant la faon dont les processus dinvestigation peuvent tre personnaliss selon des scnarios di
30、nvestigation diffrents. Un modle de processus dinvestigation harmonis est requis dans un contexte de poursuites pnales et civiles, ainsi que dans dautres environnements, comme les atteintes la scurit des informations dune entreprise et la rcupration des informations numriques dun dispositif de stock
31、age dfectueux. Les lignes directrices fournies donnent des prconisations succinctes concernant le processus exact suivre pendant tout type dinvestigation numrique de faon que, en cas de contestation, il convient quil ne subsiste aucun doute quant ladquation du processus dinvestigation suivi pendant
32、une telle investigation. Toute investigation numrique requiert un haut niveau dexpertise. Les personnes impliques dans linvestigation doivent tre comptentes, aptes appliquer les processus utiliss et elles doivent utiliser des processus valids (voir lISO/IEC 27041) compatibles avec les politiques et/
33、ou lois pertinentes dans les juridictions applicables. Lorsquil est ncessaire daffecter un processus une personne, celle-ci assumera la responsabilit du processus. Par consquent, une forte corrlation entre la responsabilit dun processus et la contribution dune personne dterminera le processus dinves
34、tigation exact requis conformment aux processus dinvestigation harmoniss fournis en tant que lignes directrices dans la prsente Norme internationale. La prsente Norme internationale est structure selon une approche descendante. Cela signifie que les principes et processus dinvestigation sont dabord
35、prsents de faon globale (abstraite) avant dtre affins en dtail. Par exemple, une prsentation globale des principes et processus dinvestigation est fournie et prsente dans les figures sous formes de cases noires dans un premier temps o chacun des processus globaux est ensuite diviss en processus dtai
36、ll (atomique). Par consquent, une vue moins abstraite et plus dtaille de tous les principes et processus dinvestigation est prsente vers la fin de la prsente Norme internationale comme il est indiqu la Figure 8. La prsente Norme internationale est destine complter dautres normes et documents fournis
37、sant des prconisations concernant linvestigation, et la prparation linvestigation, suite des incidents de scurit de linformation. Il ne sagit pas l de prconisations dtailles, mais dun guide fournissant plutt un vaste aperu de lensemble du processus dinvestigation sur incident. Ce guide dicte galemen
38、t certains principes fondamentaux visant garantir que les outils, les techniques et vi ISO/IEC 2015 Tous droits rservs ISO/IEC 27043:2015(F) les mthodes puissent tre choisis de manire approprie et que leur adquation lapplication vise puisse tre dmontre, le cas chant. Relation avec dautres normes La
39、prsente Norme internationale est destine complter dautres normes et documents donnant des prconisations concernant linvestigation, et la prparation linvestigation, sur des incidents de scurit de linformation. Elle ne constitue pas un guide exhaustif, mais dicte certains principes fondamentaux visant
40、 garantir que les outils, les techniques et les mthodes soient choisis de manire approprie et que leur adquation avec lapplication vise puisse tre dmontre, le cas chant. La prsente Norme internationale vise galement informer les dcideurs devant dterminer la fiabilit des preuves numriques qui leur so
41、nt soumises. Elle sapplique aux organismes devant protger, analyser et prsenter des preuves numriques ventuelles. Elle est pertinente dans le contexte des organismes en charge de ltablissement de politiques, qui crent et valuent des modes opratoires en rapport avec les preuves numriques, souvent dan
42、s le cadre dun ensemble plus vaste de preuves. La prsente Norme internationale dcrit une partie dun processus dinvestigation complet, portant sans sy limiter sur les thmatiques suivantes: gestion des incidents, comprenant la prparation et la planification des investigations; traitement des preuves n
43、umriques; utilisation de lexpurgation et problmes en dcoulant; systmes de prvention et de dtection des intrusions, comprenant les informations pouvant tre obtenues partir de ces systmes; scurit du stockage, comprenant le nettoyage du stockage; vrification de ladquation avec lapplication vise des mth
44、odes dinvestigation; analyse et interprtation des preuves numriques; connaissance des principes et processus lis linvestigation des preuves numriques; gestion des vnements dincident de scurit, comprenant ltablissement de preuve partir de systmes impliqus dans la gestion des vnements dincident de scu
45、rit; relation entre la dcouverte lectronique et les autres mthodes dinvestigation, et utilisation des techniques de dcouverte lectronique dans dautres investigations; gouvernance des investigations, comprenant les investigations forensiques. Ces thmatiques sont couvertes partiellement dans les norme
46、s ISO/IEC suivantes: ISO/IEC 27037; La prsente Norme internationale dcrit les moyens par lesquels les personnes impliques dans les premires phases dune investigation, comprenant la rponse initiale, peuvent sassurer que des preuves numriques ventuelles suffisantes sont recueillies pour permettre de p
47、oursuivre linvestigation de manire approprie. ISO/IEC 27038; Certains documents peuvent contenir des informations dont il ne faut pas quelles soient divulgues auprs de certaines communauts. Des documents modifis peuvent tre diffuss auprs de ces communauts, aprs un traitement appropri du document dorigine. Le processus consistant supprimer les informations ne pas divulguer est intitul lexpurgation. Lexpurgation numrique des documents est un