Rapport d'investigation forensique numérique
Description
Évalue un compte rendu d'analyse post-incident ou exercice disque / mémoire : intégrité, chaîne de custody, conclusions.
Contexte d'application
TP sur image disque fournie ou scénario mémoire. Insister sur la reproductibilité et les limites des conclusions.
Critères et rubrics
Intégrité et méthode
25 %Hash, copies bit-à-bit, outils, version.
Insuffisant
Travail sur l'original sans empreinte.
Acceptable
Hash partiel ou méthode incomplète.
Bon
Méthode documentée ; copies vérifiables.
Excellent
Journal d'actions + justification des choix d'outils.
Analyse technique
30 %Artefacts, timeline, corrélation.
Insuffisant
Conclusions sans artefacts cités.
Acceptable
Artefacts listés sans timeline.
Bon
Timeline soutenue par preuves multiples.
Excellent
Reconstruction d'attaque avec branches alternatives testées.
Poids probant et prudence
20 %Niveau de confiance, limites, biais.
Insuffisant
Affirmations péremptoires sans nuance.
Acceptable
Quelques limites mentionnées.
Bon
Échelle de confiance par conclusion.
Excellent
Ce qui reste inconnu et quelles données manquent.
Restitution légale / procédurale
15 %Vocabulaire prudent, RGPD, secret professionnel (pédagogique).
Insuffisant
Langage inadapté à un dossier.
Acceptable
Ton correct mais peu de références cadre.
Bon
Rappel des obligations de conservation et confidentialité.
Excellent
Structuration type rapport pouvant être partagé encadré.
Annexes et reproductibilité
10 %Commandes, captures, hashes.
Insuffisant
Annexes absentes.
Acceptable
Quelques captures sans ordre.
Bon
Annexes numérotées liées au corps du texte.
Excellent
Package reproductible (scripts + hashes + README).
Questions fréquentes
Comment utiliser cette grille avec un barème sur 20 ?
Attribuez une note partielle par critère selon le niveau (insuffisant à excellent), ou convertissez chaque critère en points proportionnels à son poids. Les pourcentages indiqués sur la grille servent de guide de pondération.
Cette grille convient-elle à une évaluation en groupe ?
Oui pour les parties méthodologie et documentation ; pour l'exécution technique, précisez si la note est collective ou individualisée (ex. contribution traçable dans le dépôt Git ou le rapport).
Comment lier cette évaluation au reste du cours ?
Référencez les objectifs pédagogiques du module dans le brief, et annoncez la grille avant le TP pour éviter les surprises. Un court auto-contrôle à remplir par les étudiants améliore la qualité des rendus.