Acquisition de preuves
Qu'est-ce que Acquisition de preuves ?
Acquisition de preuvesCollecte défendable de preuves numériques sur des systèmes, des réseaux et des services cloud à l'aide d'outils et de procédures forensiquement éprouvés.
L'acquisition est l'étape formelle d'une investigation où les données sont capturées depuis leur source pour analyse ultérieure. Cibles courantes : disques physiques, disques virtuels, RAM, terminaux mobiles, charges cloud et captures réseau. Elle peut être physique (image bit à bit avec FTK Imager, dd ou Guymager), logique (au niveau fichier via KAPE ou Velociraptor) ou en direct (données volatiles avec WinPmem, LiME ou Magnet RAM Capture). Les praticiens hachent à l'acquisition, privilégient les bloqueurs d'écriture matériels, travaillent sur copies et tracent chaque étape dans la chaîne de possession. NIST SP 800-86 et ISO/IEC 27037 insistent sur l'ordre de volatilité et l'impact minimal sur la source.
● Exemples
- 01
Acquisition d'une image bit à bit d'un SSD de 1 To avec Guymager via un bloqueur d'écriture matériel.
- 02
Extraction des Microsoft 365 Unified Audit Logs via l'API Graph pour préserver l'activité cloud.
● Questions fréquentes
Qu'est-ce que Acquisition de preuves ?
Collecte défendable de preuves numériques sur des systèmes, des réseaux et des services cloud à l'aide d'outils et de procédures forensiquement éprouvés. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie Acquisition de preuves ?
Collecte défendable de preuves numériques sur des systèmes, des réseaux et des services cloud à l'aide d'outils et de procédures forensiquement éprouvés.
Comment se défendre contre Acquisition de preuves ?
Les défenses contre Acquisition de preuves combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Acquisition de preuves ?
Noms alternatifs courants : Collecte de preuves, Acquisition forensique.