Forensic numérique : ce que les équipes IT ignorent et ce qu’elles doivent apprendre

Face à une cyberattaque, les premières minutes sont décisives. Pas pour « corriger le problème » — mais pour préserver les preuves. Une nuance que la plupart des équipes IT n’ont jamais appris à faire.

Jean-Christophe Baptiste, consultant et formateur en cybersécurité avec 25 ans d’expérience en test d’intrusion et investigation numérique, dresse un constat clair : les entreprises réagissent aux incidents, mais rarement de manière appropriée. Les équipes en première ligne (techniciens, administrateurs, support) sont peu formées aux fondamentaux du forensic.

Résultat : des réflexes techniques classiques (suppression de fichiers, scan antivirus, accès direct à la machine compromise) qui détruisent les preuves, compromettent l’analyse et rendent toute action judiciaire impossible.

Le forensic numérique repose avant tout sur une méthodologie rigoureuse : isolation du système, intégrité des données, respect du cadre légal (RGPD, chaîne de custody). Sans cela, aucune preuve n’est exploitable.

Enfin, une réalité s’impose : un bon investigateur est aussi capable de comprendre les techniques d’attaque. Forensic et sécurité offensive ne s’opposent pas, elles se complètent.