Après avoir analysé les informations collectées, il est crucial de répertorier vos investigations de manière claire et concise dans un rapport d’investigation. Dans ce chapitre, nous verrons comment rédiger et structurer votre rapport d’investigation.
Pourquoi rédiger un rapport d’investigation ?
Le rapport d’investigation est le document qui récapitule vos analyses et vos conclusions. Il se base sur des faits analysés et mis en exergue par votre investigation. Il se doit d’être documenté avec le plus de détails possible. Il doit également comporter une synthèse et des recommandations, ainsi que la liste des indicateurs de compromission qui permettront d’identifier d’autres machines infectées.
Son objectif : communiquer vos observations et votre analyse aux personnes concernées. Ça pourra être le responsable de la sécurité du SI de votre entreprise si ce n'est pas vous, le DSI lui-même, ou les experts en cybersécurité qui vont implémenter vos recommandations. Il pourra également être lu par d'autres décideurs, notamment du service concerné par l'attaque. C'est pourquoi le résumé, plus accessible par des personnes moins techniques, est très important.
Le rapport devra être le plus compréhensible possible par ce type de personnes.
Respecter la structure du rapport d’investigation
Le rapport devra respecter une structure définie qui détaillera vos investigations. Voici ci-dessous un exemple de plan à respecter :
Page de garde.
Sommaire.
Résumé des investigations, rappel du contexte et des conclusions.
Détail des investigations :
phase de collecte et hash (copie d’écran, photos) ;
analyse réalisée et mise en exergue des découvertes (copie d’écran, photos).
Hypothèse de l’analyse.
Recommandations.
Liste des indicateurs de compromission.
1. Page de garde
La page de garde doit permettre d’identifier le contenu de l’analyse. La date, le titre et les auteurs du document doivent figurer dessus.
2. Sommaire
Le sommaire doit contenir les références aux pages du document.
3. Résumé
Le résumé est une des parties les plus importantes. Cette page est destinée aux managers et aux décideurs qui n’ont pas forcément de connaissance technique. Le résumé doit présenter de manière succincte l’incident, les analyses menées et les conclusions. C’est également à cet endroit que l’on mettra la chronologie de l’incident.
4. Détails des investigations
Cette partie doit être le plus détaillée possible et répertorier toutes les actions menées pendant votre analyse. Elle doit suivre un fil directeur. Il faudra également ajouter les copies d’écran de vos analyses.
5. Hypothèse de l’analyse
Dans cette partie doivent figurer vos hypothèses ou conclusions sur l’analyse : que pensez-vous qu'il s'est passé sur le poste infecté ? Quels sont les risques pour l'entreprise ?
6. Les recommandations
Les recommandations sont une partie très importante qui permet de suggérer des mesures correctrices à mettre en place pour ne pas qu’un incident similaire se reproduise.
7. Liste des indicateurs de compromission
Il faudra ici fournir des détails sur les indicateurs de compromission qui caractérisent l'attaque. Chaque élément permettra de démontrer le cheminement de votre analyse et de justifier vos hypothèses.
En résumé
Le rapport d’analyse est une partie très importante de l’investigation, car il permet de centraliser vos analyses ; c’est également le document qui gardera la trace de l’incident. Il est donc crucial pour l’entreprise dans le cadre de leur base de connaissance.
Ce cours d'introduction aux méthodes d'analyse forensic est maintenant terminé ! Vous avez à présent les connaissances nécessaires pour approfondir le sujet et pour répondre à un incident de sécurité lorsque celui-ci surviendra. Bon courage et à bientôt ! ;)
