Aperçu
Cet article aborde le thème de l'application de l'informatique judiciaire, les types de données sur lesquelles les experts en informatique judiciaire travaillent, le processus d'enquête et quelques exemples de scénarios sur lesquels les experts en informatique judiciaire sont sollicités pour prendre en charge les impacts d'un événement. Les informations suivantes peuvent voir un intérêt particulier pour divers types de professionnels des assurances, la communauté juridique et les forces de police selon l'activité identifiable et la responsabilité éventuelle concernant le type de données concernées.
La définition fournie par le Conseil de la Communauté européenne établit que « l'Informatique judiciaire (IJ) est une branche de la science judiciaire qui se concentre sur la récupération et l'investigation sur des éléments trouvés dans des dispositifs numériques associés au cybercrime. »[1] Le cybercrime atteint un niveau jamais connu, le seul secteur des assurances pour cybercrime devrait passer de 8 milliards de dollars dans le monde en 2020 à 20 milliards de dollars d'ici 2025.[2] Même si l'informatique judiciaire peut être liée au cybercrime, elle peut aussi l'être à toute forme d'analyse incluant le stockage numérique de données ou les données utilisées dans une fonction associée à des opérations personnelles du quotidien ou commerciales. Cela concerne une multitude de dispositifs informatiques et de moyens de stockage disponibles pour des populations entières.
L'informatique judiciaire est l'examen des preuves numériques disponibles à la suite d'un événement. Selon les besoins de l'examen de l'événement, la collecte des preuves numériques peut inclure de nombreux dispositifs concernés et contenir plusieurs térabytes (TB) de données. Les événements classiques peuvent être :
Cependant, avec l'extension de la portée de l'intégration numérique, de plus en plus de dossiers concernent des données ou dispositifs numériques qui peuvent être examinés pour fournir des informations à l'appui. Ce processus permet de fournir un contexte de l'événement, y compris un calendrier et une portée et il est fréquemment utilisé pour confirmer les actions d'activités potentiellement malveillantes et déterminer les obligations de notification pour les clients qui opèrent avec des informations personnelles identifiables (PII) et des informations personnelles sur la santé (PHI ).
L'informatique judiciaire concerne une large variété de données, ce qui permet à l'expert d'examiner les preuves attachées à des circonstances spécifiques entourant un événement. Chaque dossier et environnement est différent et présente ses difficultés propres.
Il est courant pour les compagnies de cyberassurance de contacter un expert ou une organisation en informatique judiciaire pour examiner les preuves entourant une réclamation, afin de vérifier la validité, la portée de l'impact et le calendrier. De plus, les organisations, en dehors des assurances, recrutent des experts en informatique judiciaire pour comprendre ce qui s'est passé, comment cela s'est passé et comment agir en termes juridiques lorsque la responsabilité ou des éléments criminels sont identifiés.
L'évolution de l'informatique judiciaire a débuté avec le développement de l'informatique et elle s'est étendue aux dispositifs mobiles, aux serveurs et plus généralement à la multitude de dispositifs qui produisent et/ou stockent des données numériques. Aujourd'hui, la composante judiciaire concerne également les intangibles comme l'infrastructure cloud (IAAS, SAAS, etc.). Parmi eux :
Les données sont générées pendant l'opération des sources évoquées ci-dessus, généralement sous la forme de journaux qui peuvent aussi être examinés pour apporter plus de contexte. La capacité à obtenir, préserver et examiner ces journaux est essentielle pour apporter une analyse complète d'un événement.
L'informatique judiciaire se décompose généralement de la manière suivante :
L'exemple suivant présente l'exécution d'un ransomware sur un réseau de petite et moyenne entreprise et décrit ce qui se passe lors de l'événement, fournit un exemple de réponse commune et aborde le rôle que joue l'informatique judiciaire dans cette réponse.
Attaque par ransomware « Smith Co. »
Smith Co. est une organisation spécialisée dans la logistique qui dispose d'une infrastructure informatique. Au terme d'une semaine classique au bureau, M. Smith, propriétaire de Smith Co., s'aperçoit en revenant sur son lieu de travail qu'il ne parvient pas à se connecter sur son ordinateur et reçoit un message d'erreur d'authentification. Il contacte le prestataire informatique de Smith Co. qui a la charge d'établir et suivre son infrastructure. Le prestataire se connecte sur le serveur du registre actif pour réinitialiser le mot de passe de M. Smith et reçoit une demande de rançon. Le prestataire se déplace alors sur le site de l'entreprise et cherche à déterminer la portée du problème et l'impact sur les opérations de Smith Co. : Il détermine que l'e-mail, les connexions aux postes de travail, les fichiers des postes de travail et les serveurs (y compris les sauvegardes) et les applications de production majeures sont tous chiffrés et inutilisables.
Le prestataire donne les coordonnées d'un fournisseur spécialisé dans les remédiations et décrit le processus de négociation en cas de ransomware que le fournisseur devra réaliser. Le fournisseur négocie avec le pirate et Smith Co. paie la rançon. Smith Co. contacte sa compagnie d'assurance afin de se faire rembourser le coût subi correspondant au retour à la situation avant l'événement ; elle est informée que l'emplacement dans lequel Smith Co. opère nécessite une notification d'une violation aux parties concernées, y compris les clients et les employés dans le cas où une violation se produirait. La compagnie d'assurance fait appel à un expert judiciaire numérique et à un avocat spécialisé en cybersécurité 3 pour le compte de Smith Co. afin d'enquêter sur les appareils concernés, déterminer l'ampleur des données consultées et si un vol de données a eu lieu.
L'expert en informatique judiciaire collecte les journaux à la date de l'événement et les données historiques, le cas échéant, de l'infrastructure, notamment les serveurs, postes de travail, pare-feu et commutateurs du réseau. L'expert envoie ensuite les preuves au laboratoire pour une imagerie judiciaire et une enquête. Une copie sonore judiciaire est créée et les preuves sont conservées en lieu sûr. L'enquête sur la copie des données commence par une recherche des informations liées à l'événement. Dans cet exemple, le travail consiste à voir quelles informations des clients, données de paiement et informations personnelles identifiables des employés, telles que les numéros de sécurité sociale, adresses, dates de naissance, etc. ont pu être consultées.
L'expert judiciaire utilise les sources comme les commutateurs réseau et les pare-feu pour étayer ses conclusions par l'analyse au niveau du système d'exploitation des postes de travail et serveurs. Un rapport détaillé est fourni à la compagnie d'assurance qui émettra des conclusions de l'analyse, notamment un calendrier des activités. Ce rapport permettra à l'ensemble des parties concernées d'utiliser ces informations, avec l'aide d'un conseil juridique, pour déterminer les méthodes permettant d'informer les parties affectées.
Interruption de service de « Smith Co. »
L'exemple ci-dessous décrit une interruption de service sur le réseau d'une PME. Il décrit ce qui s'est passé lors de l'événement, fournit un exemple de réponse classique et évoque le rôle joué par les experts judiciaires en termes de réponse.
Smith Co. est une organisation spécialisée dans la logistique qui dispose d'une infrastructure informatique mixte, à la fois hébergée au niveau local et sur le cloud. Au terme d'une semaine classique au bureau, M. Smith, propriétaire de Smith Co., s'aperçoit en revenant sur son lieu de travail qu'il ne parvient pas à se connecter sur son ordinateur et reçoit un message d'erreur d'authentification. Il contacte le nouveau prestataire informatique utilisé par Smith Co. pour établir et suivre son infrastructure. Le prestataire se connecte sur le serveur du registre actif pour réinitialiser le mot de passe de M. Smith. Il n'y parvient pas et reçoit un message d'erreur. Le prestataire se déplace alors sur le site de l'entreprise et cherche à déterminer la portée du problème et l'impact sur les opérations de Smith Co. : il apparaît que de nombreux dispositifs de Smith Co. n'ont plus d'alimentation électrique.
Le prestataire tente de réalimenter les appareils, mais le résultat est mitigé. Il détermine qu'environ la moitié des serveurs de Smith Co. n'ont pas redémarré, ce qui justifie le chargement de leurs sauvegardes disponibles pour une éventuelle méthode de récupération. Ce processus (enquête et remédiation) prend plusieurs heures, pendant lesquelles Smith Co. ne peut pas utiliser les applications d'hébergement localement, les applications personnalisées et les bases de données associées, son infrastructure cloud, notamment le client e-mail Office 365 et One Drive, sont aussi affectés. Smith Co. sollicite un expert en informatique judiciaire pour vérifier l'enquête de la cause profonde réalisée par le prestataire informatique.
L'expert en informatique judiciaire collecte des journaux pour la date de l'activité observée et des données historiques, le cas échéant, pour l'infrastructure, y compris les unités de distribution électrique, les serveurs, les postes de travail, les pare-feu et les commutateurs réseau. Le cas échéant, il convient de vérifier le matériel physique. L'expert envoie ensuite les preuves au laboratoire pour une imagerie judiciaire et une enquête. Une copie judiciaire est créée pour les preuves numériques et les preuves physiques et copies originales sont conservées en lieu sûr. L'étude de la copie judiciaire des données commence par une recherche des informations liées à l'événement. Dans cet exemple, l'expert recherche des événements anormaux attestant d'une instabilité ou d'événements pouvant mener à une instabilité, telle que des changements de configuration. Simultanément, le matériel est vérifié pour déterminer son état actuel.
L'expert judiciaire établit une corrélation entre les données recueillies sur les dispositifs afin de créer une image complète de l'opération sur le réseau identique à celle qui existait au moment où l'événement a été identifié. ll est alors possible de déterminer la cause profonde, les dispositifs impactés et la possibilité de remédiation. L'enquête révèle que le compte de l'ancien prestataire informatique a été utilisé pour se connecter et supprimer des fichiers clés du système d'exploitation et des applications sur les machines concernées, ainsi que pour modifier la configuration d'Office 365 et de One Drive afin de les rendre inutilisables. Un rapport est envoyé à Smith Co. qui peut déterminer la cause profonde, la portée de l'impact et, avec l'assistance d'un conseil juridique, la suite à donner.
L'informatique judiciaire présente des difficultés souvent singulières liées aux circonstances particulières du client et de l'événement. Il est essentiel de faire intervenir des experts judiciaires dès que possible lorsqu'un événement de la sorte se produit et lors des processus de remédiation qui suivent. Les preuves étant susceptibles d'être supprimées et écrasées au fil du temps, il est d'autant plus difficile de fournir une image complète des événements si l'analyse consécutive à une violation ou un événement comparable est retardée.
Les informations fournies par une analyse détaillée des événements peuvent avoir une valeur inestimable pour les décideurs d'une organisation, lors de la détermination de la couverture des polices d'assurance ou lors de l'élaboration d'une obligation juridique ou politique.
Nous tenons à remercier Alex Tarrant, Matt Scott et Troy Bates pour leurs connaissances et leur expertise qui ont grandement participé à la réalisation de cette étude.
Troy Bates est vice-président exécutif du service de conseils en équipements de J.S. Held. Il est spécialisé dans l'évaluation des dommages sur les équipements, la faisabilité des réparations (versus remplacement), l'analyse/l'estimation d'un remplacement équivalent, les estimations de la valeur réelle, la résolution d'un impact sur la production et l'évaluation des réclamations. Troy a évalué une large variété d'équipements et systèmes, notamment dans le domaine de l'informatique, l'électronique, les équipements médicaux, les télécommunications et d'autres équipements spécialisés. Il s'intéresse notamment au matériel informatique de haut niveau, aux ordinateurs personnels, aux logiciels, aux systèmes d'exploitation, aux langages de programmation, à la récupération de données, aux imprimantes et technologies de routage des imprimantes, aux commutateurs téléphoniques, aux commutateurs, aux topologies réseau, au câblage de données et au câblage pour les télécommunications.
Vous pouvez contacter Troy à l'adresse [e-mail protégé] ou au +1 714 660 9171.
Même si le numérique a fait son entrée dans certaines politiques générales de responsabilité au cours des années 1980, la première politique numérique à proprement parler a été éditée par AIG en 1997. Bien que révolutionnaire à l'époque en raison du thème abordé...