Lorsqu'un incident de sécurité survient dans le cloud, comment conserver les preuves et mener une enquête médico-légale ?L’investigation cloud diffère fondamentalement de l’investigation sur site. Vous ne pouvez pas saisir un serveur physique. Les instances peuvent être automatiquement réduites. Les journaux peuvent être tournés. Et le fournisseur de cloud contrôle la couche infrastructure. Ce guide couvre les techniques pratiques d'investigation cloud qui préservent les preuves, facilitent les enquêtes et répondent aux exigences légales.
Points clés à retenir
- Les preuves cloud sont volatiles :La mise à l'échelle automatique, la résiliation des instances et la rotation des journaux peuvent détruire les preuves en quelques minutes. La conservation doit être immédiate et automatisée.
- La préparation est primordiale :La préparation médico-légale (journalisation, politiques de conservation et collecte automatisée de preuves) doit être configurée avant qu'un incident ne se produise.
- La chaîne de traçabilité s'applique aux preuves cloud :Les preuves numériques doivent être collectées, stockées et documentées avec la même rigueur que les preuves physiques.
- Les fournisseurs de cloud disposent d'un support médico-légal limité :Dans le cadre du modèle de responsabilité partagée, vous êtes responsable de l’investigation au-dessus de la couche infrastructure.
Sources de preuves médico-légales dans le cloud
| Type de preuve | AWS Source | Azure Source | Rétention |
|---|---|---|---|
| API Activité | CloudTrail | Journal d'activité | 90 jours par défaut, configuration plus longue |
| Trafic réseau | VPC Journaux de flux | Journaux de flux NSG | Configurer la période de conservation |
| DNS Requêtes | Journaux de requêtes Route 53 | DNS Analyses | Configurer la rétention |
| Accès au stockage | S3 Journaux d'accès, événements de données CloudTrail | Analyses de stockage, journaux de diagnostic | Configurer la rétention |
| Calculer la médecine légale | Instantanés EBS, vidages de mémoire (manuel) | Instantanés de disque, vidages de mémoire (manuels) | Jusqu'à suppression |
| Événements d'identité | CloudTrail, IAM Analyseur d'accès | Azure Journaux de connexion AD, journaux d'audit | 30 jours par défaut (Azure AD), configuration plus longue |
| Alertes de sécurité | Conclusions du service de garde | Defender pour les alertes Cloud | 90 jours (GuardDuty), configuration plus longue |
Préparation médico-légale : avant l'incident
Activer la journalisation complète
Activez tous les journaux pertinents pour l’investigation avant qu’un incident ne se produise. Dans AWS : activez CloudTrail dans toutes les régions et tous les comptes avec des événements de données pour S3 et Lambda, activez les journaux de flux VPC pour tous les VPC et activez GuardDuty dans tous les comptes. Dans Azure : activez les journaux d'activité avec le transfert des paramètres de diagnostic vers Log Analytics, activez les journaux de flux NSG et activez la connexion Azure AD et l'exportation des journaux d'audit. Stockez les journaux dans un stockage immuable avec validation d’intégrité pour garantir que les preuves n’ont pas été falsifiées.
Configurer une rétention adéquate
La conservation des journaux par défaut est insuffisante pour l’investigation. CloudTrail conserve 90 jours par défaut (prolongé avec les politiques de livraison et de cycle de vie S3). Azure Les journaux d'activité sont conservés pendant 90 jours (étendus avec les paramètres de diagnostic aux comptes de stockage). Définissez la conservation sur au moins 1 an pour tous les journaux liés à la sécurité. Certains cadres de conformité (PCI DSS, HIPAA) nécessitent une conservation plus longue.
Préparer les outils de collecte médico-légale
Outils et procédures de pré-déploiement pour la collecte de preuves : scripts de création d'AMI/d'images pour les instances compromises, automatisation des instantanés EBS/disque, outils d'acquisition de mémoire (LiME pour Linux, WinPmem pour Windows) préinstallés sur les systèmes critiques ou disponibles via Systems Manager, et scripts d'exportation de journaux qui collectent tous les journaux pertinents pour une plage de temps et une ressource spécifiques.
Collecte de preuves lors d'un incident
Forensique d'instance
- Isoler l'instance— Remplacez les groupes de sécurité par un groupe de quarantaine (refusez tout le trafic). Ne terminez PAS l’instance.
- Créer des instantanés EBS— Capturez un instantané de tous les volumes connectés. Ce sont vos images de disque médico-légal.
- Capturer la mémoire— Si des outils d'acquisition de mémoire sont disponibles, videz la mémoire avant que l'instance ne soit modifiée. La mémoire contient des processus en cours d'exécution, des connexions réseau, des clés de chiffrement et des logiciels malveillants qui peuvent ne pas exister sur le disque.
- Enregistrer les métadonnées de l'instance— Capturez l'ID d'instance, l'AMI, les groupes de sécurité, le rôle IAM, les interfaces réseau et les balises.
- Exporter les journaux— Collectez les événements CloudTrail/Activity Log, les journaux de flux VPC et les journaux d'application pour la période pertinente.
Analyse judiciaire des services cloud
Pour les incidents impliquant des services cloud (accès aux données S3, compromission IAM, abus Lambda) : exportez tous les événements CloudTrail pertinents pour la période, documentez la configuration du service au moment de l'incident, conservez toutes les ressources temporaires (journaux Lambda dans CloudWatch, messages SQS) et capturez les politiques IAM et les relations d'approbation de rôle qui peuvent avoir été modifiées.
Documentation sur la chaîne de traçabilité
Pour chaque élément de preuve collecté, documentez : ce qui a été collecté (type, identifiant, taille), quand il a été collecté (horodatage), qui l'a collecté (nom, rôle), comment il a été collecté (outil, méthode, commandes), où il est stocké (emplacement, contrôles d'accès) et les valeurs de hachage (SHA-256) pour la vérification de l'intégrité. Conservez les documents relatifs à la chaîne de traçabilité séparément des preuves elles-mêmes, avec un accès restreint.
Techniques d'analyse médico-légale
Reconstruction de la chronologie
Créez une chronologie de l'activité des attaquants en corrélant les événements provenant de plusieurs sources : appels CloudTrail API (les actions entreprises par l'attaquant), journaux de flux VPC (connexions réseau établies), résultats GuardDuty (alertes de sécurité générées), journaux d'accès S3 (données consultées) et événements IAM (identifiants utilisés, rôles assumés). L'analyse chronologique révèle la chaîne complète de l'attaque : accès initial, persistance, mouvement latéral, accès aux données et exfiltration.
Analyse scientifique du disque à partir d'instantanés
Montez des instantanés EBS ou des instantanés de disque Azure sur un poste de travail d'investigation propre. Analysez le système de fichiers pour : les fichiers malveillants, la configuration modifiée, les outils des attaquants, l'historique des commandes (bash_history, journaux PowerShell), les tâches cron ou les tâches planifiées (persistance), les modifications des clés autorisées SSH et les journaux du serveur Web montrant l'exploitation.
Comment Opsio effectue des analyses judiciaires dans le cloud
- Préparation médico-légale :Nous configurons une journalisation complète, une conservation et une collecte automatisée de preuves dans votre environnement cloud.
- Enquête sur les incidents :Notre équipe IR effectue des analyses médico-légales à l’aide d’outils médico-légaux natifs du cloud et tiers.
- Préservation des preuves :Nous suivons des procédures de chaîne de traçabilité qui répondent aux exigences légales et réglementaires.
- Analyse chronologique :Nous reconstruisons la chaîne d'attaque complète depuis l'accès initial jusqu'à l'impact, en utilisant la corrélation entre sources.
- Témoignage d'expert :Nos conclusions médico-légales sont documentées selon une norme adaptée aux procédures judiciaires et aux rapports réglementaires.
Foire aux questions
Puis-je effectuer des analyses après avoir résilié une instance cloud ?
Si vous avez mis fin à l'instance sans créer d'abord des instantanés EBS, les preuves de disque sont définitivement perdues. Les journaux de flux CloudTrail et VPC sont toujours disponibles (si activés), fournissant des preuves d'activité et de réseau API. C'est pourquoi la préparation médico-légale (création automatisée d'instantanés lors de la détection d'un incident) est essentielle. Ne mettez jamais fin aux instances potentiellement compromises avant que les preuves ne soient préservées.
Les preuves médico-légales dans le cloud sont-elles admissibles devant un tribunal ?
Oui, à condition que la chaîne de contrôle appropriée soit maintenue, que l'intégrité des preuves soit vérifiable (valeurs de hachage), que les méthodes de collecte soient documentées et que les preuves puissent être authentifiées. Les journaux du fournisseur de cloud (CloudTrail, Activity Logs) sont généralement acceptés comme enregistrements commerciaux. La clé est de maintenir une documentation rigoureuse tout au long du processus de collecte et d’analyse.
Quels outils sont utilisés pour l'investigation du cloud ?
Outils cloud natifs : CloudTrail Lake (AWS), Log Analytics (Azure) pour l'analyse des journaux. Outils tiers : Cado Response (plateforme d'investigation cloud native), Autopsy (investigation des disques), Volatility (investigation de la mémoire), Plaso/Log2Timeline (analyse de la chronologie) et scripts personnalisés pour la collecte de preuves spécifiques au cloud. Opsio utilise une combinaison de ces outils en fonction des exigences de l'enquête.