Scribd
Importer
420 vues4 pages

Rapport Forensic

Ce rapport d'enquête forensique analyse un poste compromis dans une PME suite à une exfiltration de données via une clé USB. L'équipe a identifié l'auteur de l'exfiltration, Javier Turcot, et a recommandé des mesures techniques et organisationnelles pour prévenir de futures compromissions. L'analyse a démontré l'importance d'une méthodologie structurée et d'une collaboration efficace dans la réponse aux incidents de sécurité numérique.

Transféré par

Keni Coulibaly
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

Thèmes abordés

  • politique d'utilisation,
  • répertoire racine,
  • équipe d'analyse,
  • support amovible,
  • extraction de fichiers,
  • compromission de données,
  • rapport d'interprétation,
  • intégrité des données,
  • image disque,
  • empreinte SHA1
420 vues4 pages

Rapport Forensic

Ce rapport d'enquête forensique analyse un poste compromis dans une PME suite à une exfiltration de données via une clé USB. L'équipe a identifié l'auteur de l'exfiltration, Javier Turcot, et a recommandé des mesures techniques et organisationnelles pour prévenir de futures compromissions. L'analyse a démontré l'importance d'une méthodologie structurée et d'une collaboration efficace dans la réponse aux incidents de sécurité numérique.

Transféré par

Keni Coulibaly
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

Thèmes abordés

  • politique d'utilisation,
  • répertoire racine,
  • équipe d'analyse,
  • support amovible,
  • extraction de fichiers,
  • compromission de données,
  • rapport d'interprétation,
  • intégrité des données,
  • image disque,
  • empreinte SHA1

RAPPORT D’ENQUÊTE FORENSIQUE –

GROUPE 2
Intitulé : Analyse forensique d’un poste compromis dans une PME

Nom de l'équipe : Groupe 2 – Réponse à incident

Date : 05 juillet 2025

Commanditaire : Direction SI d’une PME

Référent pédagogique : Dr. KIE Victoire

1. Composition de l’équipe
Nom Rôle

Coulibaly Kenifon Aminata Cheffe d’équipe / Coordinatrice

Odjo Stéphane Expert acquisition de preuves

Kamagaté Habib Analyste forensique

Sorgo Issiaka Responsable réseau / sécurité

Odjo Stéphane Rédacteur du rapport

2. Contexte de la simulation
La PME cliente nous contacte en urgence après avoir détecté des comportements anormaux
sur l’un des postes utilisateurs. Des fichiers confidentiels ont été copiés puis supprimés sans
justification. L’analyse préliminaire laisse penser à une compromission via un e-mail de
phishing. La direction SI suspecte qu’un support amovible a été utilisé pour l’exfiltration des
données.

Notre équipe est mobilisée pour :


- Analyser le poste incriminé et les supports associés (clé USB),
- Identifier la source de la fuite,
- Proposer des mesures correctives.
3. Plan d’action initial (prise de mission)
🔹 Lecture du brief, délimitation du périmètre : clé USB + image disque
🔹 Objectif principal : retrouver l’auteur de l’exfiltration et la chronologie des événements
🔹 Délais : 48h pour livrer le rapport et restituer les résultats à l’oral
🔹 Répartition rapide des tâches selon les rôles

4. Acquisition de données
🔹 Support analysé : image de la clé USB (format .dd)
🔹 Outil utilisé : FTK Imager
🔹 Méthodologie :
- Montage de l’image dans un environnement sécurisé
- Vérification de l’intégrité du fichier via empreinte MD5/SHA1
- Export des fichiers visibles et supprimés

5. Analyse collaborative
Tâche Réalisée par Résultat obtenu

Fichiers supprimés Analyste forensic Image PNG récupérée

Métadonnées de fichiers Expert acquisition Nom utilisateur : Javier


Turcot

Exploration des répertoires Cheffe d’équipe Répertoire root repéré

Analyse des journaux Responsable sécurité Aucune anomalie détectée


dans les journaux

Rapport d’interprétation Rédacteur Synthèse des preuves et


recommandations

🧩 Artefacts découverts :
- Image supprimée contenant des métadonnées personnelles
- Répertoire racine contenant des traces d’exfiltration
- Suppression manuelle post-extraction

6. Chronologie des événements (Timeline)


Heure / Date Action observée

08h32 Connexion de la clé USB au poste suspecté.

08h34 Copie d’un fichier confidentiel sur la clé


USB.

08h35 Suppression immédiate du fichier depuis la


clé USB.

08h40 Déconnexion de la clé USB.

09h00 Montage de l’image .dd de la clé avec FTK


Imager pour analyse.

09h30 Extraction d’un fichier image PNG


supprimé contenant des métadonnées.

10h00 Identification du nom de l’auteur (Javier


Turcot) dans les métadonnées du fichier.

7. Interprétation et conclusion
L'analyse révèle une activité anormale sur le poste utilisateur, marquée par une utilisation
brève mais ciblée d’une clé USB. L’extraction et l’analyse de fichiers supprimés ont permis
de découvrir un fichier image contenant des métadonnées. Ces métadonnées indiquent le
nom 'Javier Turcot' comme auteur du fichier.

L'usage immédiat de la clé suivi de la suppression du fichier laisse supposer une tentative
de dissimulation. Cela suggère une action volontaire de l’utilisateur ou d’une personne
ayant accès à son poste. Les preuves techniques appuient une compromission locale avec
exfiltration par périphérique USB.

8. Recommandations
▶ Techniques :

 - Restreindre ou désactiver les ports USB sur les postes sensibles.


 - Mettre en œuvre une solution DLP (Data Loss Prevention) pour surveiller et bloquer
les transferts non autorisés de données.
 - Appliquer le principe du moindre privilège sur les comptes utilisateurs.
 - Activer les journaux d’audit avancés pour les transferts de fichiers et connexions de
supports amovibles.

▶ Organisationnelles :

 - Organiser des formations régulières à la cybersécurité (anti-phishing, gestion des


données sensibles).
 - Sensibiliser les employés à la politique d’utilisation des supports amovibles.
 - Mettre à jour les chartes informatiques pour intégrer explicitement les pratiques
interdites et les sanctions associées.

9. Annexes
- Capture d’écran FTK Imager montrant les fichiers supprimés récupérés.

- Extrait de métadonnées (champ 'Auteur') du fichier image.

- Hachage MD5/SHA1 de l’image disque montée.

- Journal des opérations d’analyse collaborative (log d’activité de l’équipe).

10. Conclusion générale


Cette mission d’analyse forensique en équipe nous a permis de simuler un cas réel de
compromission. Nous avons suivi une méthodologie structurée : de l’acquisition à
l’interprétation des preuves, en passant par une analyse collaborative efficace. Le travail en
groupe a mis en évidence l’importance de la coordination, de la spécialisation des rôles, et
du respect de la chaîne de traçabilité des données.

Ce projet renforce nos compétences techniques, mais aussi notre capacité à travailler en
équipe pour répondre à un incident de sécurité numérique.

Vous aimerez peut-être aussi