CyberGlossary

Forensique et réponse

Forensique cloud

Aussi appelé: Forensique d'incident cloud, Forensique SaaS

Définition

Investigation forensique des infrastructures, applications et services SaaS hébergés dans le cloud, fondée sur les API du fournisseur, les journaux d'audit et des ressources éphémères.

La forensique cloud adapte les principes traditionnels à des environnements multi-tenants, élastiques et pilotés par API. Les enquêteurs exploitent les journaux du fournisseur (AWS CloudTrail, Azure Activity/Sign-in, Google Cloud Audit Logs), les événements du plan de contrôle, les logs d'identité (Entra ID, Okta), VPC Flow Logs et logs d'accès au stockage, en plus de preuves issues des instances EC2/Compute ou des nœuds Kubernetes. L'acquisition comprend des snapshots EBS/disques managés, l'export d'objets et la collecte de mémoire vive d'instances via SSM/AVML. Défis : limites de responsabilité partagée, résidence des données, rétention des logs, suppression rapide des ressources. NIST IR 8006, ISO/IEC 27050 et les guides CSA structurent des processus reproductibles.

Exemples

  • Remontée d'une compromission de compte AWS via CloudTrail jusqu'à une clé IAM volée.
  • Snapshot du disque d'une VM Azure et collecte mémoire à chaud via Run Command pour analyse.

Termes liés