Politique de collecte des éléments probants et de forensique

La Politique de collecte des éléments probants et de forensique (P31) établit un cadre structuré et juridiquement défendable pour gérer l’identification, la collecte, la préservation, l’analyse et l’élimination des éléments de preuve numériques en cas d’incidents de sécurité avérés ou suspectés. Son objectif central est d’assurer la préparation forensique tout en maintenant l’intégrité et l’admissibilité des éléments probants pour les enquêtes internes, les procédures judiciaires ou la conformité réglementaire. Le périmètre complet de la politique s’applique à l’ensemble du personnel, aux contractants, aux fournisseurs et aux prestataires tiers de services impliqués dans l’administration des systèmes ou des activités d’enquête, et couvre les terminaux, les serveurs, les réseaux, les plateformes cloud et tout incident nécessitant un traitement des éléments probants, y compris les menaces internes, l’usage abusif, les incidents liés aux systèmes de technologies opérationnelles (OT) et les violations d’actifs physiques-numériques. Les objectifs clés mettent l’accent sur l’acquisition rapide et sécurisée des éléments probants, la préservation rigoureuse de l’intégrité probatoire et une documentation stricte, y compris la chaîne de possession, afin de satisfaire aux obligations légales et réglementaires. Les activités forensiques sont étroitement liées à l’analyse post-incident et aux améliorations des contrôles, et s’intègrent de manière fluide au Système de management de la sécurité de l’information (SMSI). Les responsabilités du Responsable de la sécurité des systèmes d’information (RSSI), des analystes forensiques, des administrateurs informatiques, des responsables juridiques et conformité, des Ressources humaines (RH) et des fonctions d’audit sont définies afin de garantir la défendabilité juridique et la transparence à chaque étape d’un incident. La politique impose plusieurs exigences de gouvernance, notamment le maintien d’un programme formel de préparation forensique. Ce programme définit les critères de déclenchement de la collecte des éléments probants, les circuits d’escalade, les ensembles d’outils approuvés pour l’usage forensique et met l’accent sur les normes de documentation et de reporting pour guider toutes les activités. Toutes les activités de traitement des éléments probants doivent respecter des normes forensiques acceptées internationalement, telles que l’ISO/IEC 27035 pour la gestion des incidents, le NIST SP 800-86 pour la planification forensique et le NIST SP 800-101 Rev.1 pour la forensique des supports. La politique exige un registre des outils forensiques et impose que les éléments probants soient acquis de manière sécurisée, étiquetés, stockés avec des contrôles d’intégrité, et que tous les mouvements soient consignés dans un registre de chaîne de possession signé. Les exigences de mise en œuvre de la politique prescrivent des procédures détaillées pour l’acquisition des éléments probants (à l’aide de bloqueurs d’écriture et d’outils validés), l’isolation des systèmes, la collecte des journaux et des métadonnées (en garantissant la synchronisation temporelle pour la cohérence des chronologies) et des environnements sécurisés et isolés pour l’analyse forensique. Les mesures de protection des données exigent un alignement strict avec le RGPD lorsque les éléments probants incluent des données à caractère personnel, notamment le contrôle d’accès, le chiffrement et une documentation claire de la justification de la collecte. La conservation des éléments probants est régie par des exigences légales ou contractuelles, et l’élimination sécurisée doit respecter la Politique de conservation des données (P14). Les processus de traitement des risques et de gestion des exceptions sont également décrits, avec des exigences spécifiques pour documenter, soumettre et approuver les exceptions, en particulier lorsque les éléments probants ne peuvent pas être traités conformément aux procédures standard. La surveillance de la conformité, les audits périodiques, l’intégration de la politique avec la Réponse aux incidents (P30), ainsi que la mise en application via des sanctions disciplinaires ou des actions juridiques, soutiennent l’efficacité de la politique. Le processus de revue est formalisé annuellement et à la suite d’incidents critiques. La politique est alignée sur des cadres internationaux, notamment l’ISO/IEC 27001:2022, l’ISO/IEC 27002:2022, le NIST SP 800-53 et 800-101, COBIT 2019, le RGPD de l’UE, NIS2 et DORA.