Syllabus : Investigation numérique et preuve électronique

Objectifs pédagogiques

• Respecter la chaîne de custody et les principes d’acquisition non destructive.
• Analyser disques, mémoire volatile et artefacts Windows/Linux.
• Rédiger une note technique exploitable par la direction ou les autorités.

Séquences

1. Séance 1 · 3 h

   Cadre légal et chaîne de preuve

   RGPD, secret professionnel, conservation des preuves, hashing et traçabilité des opérations.

   Activité : Cas pratique : relevé d’écarts sur une procédure d’acquisition fournie.

2. Séance 2 · 5 h

   Acquisition disque et images forensiques

   Formats E01/RAW, write-blocker, validation par hash, duplication et archivage.

   Activité : Lab : création d’image à partir de disque virtuel et vérification d’intégrité.

3. Séance 3 · 6 h

   Artefacts Windows et journalisation

   MFT, registre, Prefetch, SRUM, événements Windows critiques pour la reconstitution de timeline.

   Activité : Analyse guidée d’image Windows compromise (scénario fil rouge).

4. Séance 4 · 5 h

   Forensic mémoire (aperçu)

   Volatility / équivalent : processus, réseau, injections, extraction de credentials en contexte lab.

   Activité : Lab mémoire : identifier un malware en mémoire sur dump fourni.

5. Séance 5 · 5 h

   Analyse de fichiers et réseau

   PE basique, strings, sandboxing prudent, corrélation PCAP / hôte.

   Activité : Tri d’indicateurs et construction d’une chronologie d’événements.

6. Séance 6 · 4 h

   Rapport forensic

   Structure factuelle vs interprétation, visualisation timeline, annexes techniques.

   Activité : Livrable : note de 5–8 pages sur le scénario fil rouge.

Évaluation

Contrôle sur procédures et légal 25 %, labs d’analyse 45 %, rapport final 30 %.

Prérequis

Administration Windows/Linux solide, bases réseau. Recommandé : cours réponse à incident.

Outils et environnement

• ·Autopsy / sleuthkit
• ·FTK Imager ou équivalent
• ·Volatility
• ·Wireshark
• ·VM isolées