DFIR et gestion des preuves
Chaîne de garde
Triage, acquisition, chronologie, analyse d’impact et rédaction d’un rapport d’investigation.
Contenu minimal
Une chaîne de garde documente le cycle de vie de la preuve :
- identifiant unique ;
- description et source ;
- date/heure de collecte ;
- personne et outil de collecte ;
- hash initial ;
- transferts et emplacements ;
- copies créées ;
- hash de vérification ;
- date de destruction ou d'archivage.
Exemple de fiche
| Champ | Valeur |
|---|---|
| Evidence ID | E-CASE-2026-001-004 |
| Source | RAM de WIN23 |
| Outil | WinPmem 4.x |
| Fichier | WIN23_20260703T085500Z.raw |
| SHA-256 | … |
| Collecteur | A. Guidi |
| Stockage | coffre preuves / dossier original |
Vérification après copie
sha256sum /mnt/source/evidence.raw
rsync --progress /mnt/source/evidence.raw /mnt/vault/
sha256sum /mnt/vault/evidence.raw
Les deux hashes doivent être identiques. Note l'outil et les éventuelles erreurs de lecture.
Séparation logique
originals/: lecture seule ;working_copies/: fichiers modifiables ;exports/: résultats dérivés ;report/: conclusions et annexes.
À retenir
Un export CSV ou une capture d'écran est une preuve dérivée. Référence toujours la source primaire permettant de la reproduire.