Information technology — Security techniques — Incident investigation principles and processes

ISO/IEC 27043:2015 provides guidelines based on idealized models for common incident investigation processes across various incident investigation scenarios involving digital evidence. This includes processes from pre-incident preparation through investigation closure, as well as any general advice and caveats on such processes. The guidelines describe processes and principles applicable to various kinds of investigations, including, but not limited to, unauthorized access, data corruption, system crashes, or corporate breaches of information security, as well as any other digital investigation. In summary, this International Standard provides a general overview of all incident investigation principles and processes without prescribing particular details within each of the investigation principles and processes covered in this International Standard. Many other relevant International Standards, where referenced in this International Standard, provide more detailed content of specific investigation principles and processes.

Technologies de l'information — Techniques de sécurité — Principes et processus d'investigation sur incident

L'ISO/IEC 27043:2015 fournit des lignes directrices concernant des modèles idéalisés pour des processus d'investigation des incidents communs à travers divers scénarios d'investigation sur incident impliquant des preuves numériques. Cela inclut des processus allant de la préparation antérieure à l'incident à la clôture de l'investigation, ainsi que tout conseil et mise en garde d'ordre général concernant de tels processus. Ces lignes directrices décrivent les processus et principes applicables à divers types d'investigations, comprenant, sans toutefois s'y limiter, l'accès non autorisé, la corruption des données, les défaillances du système ou les violations de sécurité des informations d'entreprise ainsi que toute autre investigation numérique. En résumé, l'ISO/IEC 27043:2015 fournit un aperçu général de tous les principes et processus d'investigation sur incident sans préconiser de détails particuliers dans chacun des principes et processus d'investigation couverts par l'ISO/IEC 27043:2015. De nombreuses autres Normes internationales pertinentes, lorsqu'elles sont citées en référence dans la présente Norme internationale, fournissent des contenus plus détaillés concernant des principes et processus d'investigation spécifiques.

General Information

Status
Published
Publication Date
03-Mar-2015
Current Stage
9093 - International Standard confirmed
Completion Date
23-Sep-2020
Ref Project

Buy Standard

Standard
ISO/IEC 27043:2015 - Information technology -- Security techniques -- Incident investigation principles and processes
English language
30 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO/IEC 27043:2015 - Technologies de l'information -- Techniques de sécurité -- Principes et processus d'investigation sur incident
French language
33 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)

INTERNATIONAL ISO/IEC
STANDARD 27043
First edition
2015-03-01
Information technology — Security
techniques — Incident investigation
principles and processes
Technologies de l’information — Techniques de sécurité — Principes
d’investigation numérique et les processus
Reference number
ISO/IEC 27043:2015(E)
©
ISO/IEC 2015

---------------------- Page: 1 ----------------------
ISO/IEC 27043:2015(E)

COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2015
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2015 – All rights reserved

---------------------- Page: 2 ----------------------
ISO/IEC 27043:2015(E)

Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Symbols and abbreviated terms . 3
5 Digital investigations . 4
5.1 General principles . 4
5.2 Legal principles . 4
6 Digital investigation processes . 5
6.1 General overview of the processes . 5
6.2 Classes of digital investigation processes . 5
7 Readiness processes . 7
7.1 Overview of the readiness processes . 7
7.2 Scenario definition process . 9
7.3 Identification of potential digital evidence sources process . 9
7.4 Planning pre-incident gathering, storage, and handling of data representing
potential digital evidence process .11
7.5 Planning pre-incident analysis of data representing potential digital evidence process .11
7.6 Planning incident detection process .11
7.7 Defining system architecture process .11
7.8 Implementing system architecture process .12
7.9 Implementing pre-incident gathering, storage, and handling of data representing
potential digital evidence process .12
7.10 Implementing pre-incident analysis of data representing potential digital
evidence process .12
7.11 Implementing incident detection process .12
7.12 Assessment of implementation process .13
7.13 Implementation of assessment results process .13
8 Initialization processes .13
8.1 Overview of initialization processes .13
8.2 Incident detection process .14
8.3 First response process.15
8.4 Planning process .15
8.5 Preparation process.15
9 Acquisitive processes .16
9.1 Overview of acquisitive processes .16
9.2 Potential digital evidence identification process .16
9.3 Potential digital evidence collection process .17
9.4 Potential digital evidence acquisition process .17
9.5 Potential digital evidence transportation process .17
9.6 Potential digital evidence storage and preservation process .17
10 Investigative processes .18
10.1 Overview of investigative processes .18
10.2 Potential digital evidence acquisition process .19
10.3 Potential digital evidence examination and analysis process .19
10.4 Digital evidence interpretation process .19
10.5 Reporting process .19
10.6 Presentation process .20
10.7 Investigation closure process .20
© ISO/IEC 2015 – All rights reserved iii

---------------------- Page: 3 ----------------------
ISO/IEC 27043:2015(E)

11 Concurrent processes .20
11.1 Overview of the concurrent processes .20
11.2 Obtaining authorization process .21
11.3 Documentation process .21
11.4 Managing information flow process .21
11.5 Preserving chain of custody process .21
11.6 Preserving digital evidence process .22
11.7 Interaction with physical investigation process.22
12 Digital investigation process model schema .22
Annex A (informative) Digital investigation processes: motivation for harmonization .24
Bibliography .28
iv © ISO/IEC 2015 – All rights reserved

---------------------- Page: 4 ----------------------
ISO/IEC 27043:2015(E)

Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work. In the field of information technology, ISO and IEC have established a joint technical committee,
ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for
the different types of document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
Details of any patent rights identified during the development of the document will be in the Introduction
and/or on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT), see the following URL: Foreword — Supplementary information.
The committee responsible for this document is ISO/IEC JTC 1, Information technology, Subcommittee
SC 27, Security techniques.
© ISO/IEC 2015 – All rights reserved v

---------------------- Page: 5 ----------------------
ISO/IEC 27043:2015(E)

Introduction
About this International Standard
This International Standard provides guidelines that encapsulate idealized models for common
investigation processes across various investigation scenarios. This includes processes from pre-incident
preparation up to and including returning evidence for storage or dissemination, as well as general advice
and caveats on processes and appropriate identification, collection, acquisition, preservation, analysis,
interpretation, and presentation of evidence. A basic principle of digital investigations is repeatability,
where a suitably skilled investigator has to be able to obtain the same result as another similarly skilled
investigator, working under similar conditions. This principle is exceptionally important to any general
investigation. Guidelines for many investigation processes have been provided to ensure that there is
clarity and transparency in obtaining the produced result for each particular process. The motivation
to provide guidelines for incident investigation principles and processes follows.
Established guidelines covering incident investigation principles and processes would expedite
investigations because they would provide a common order of the events that an investigation entails.
Using established guidelines allows smooth transition from one event to another during an investigation.
Such guidelines would also allow proper training of inexperienced investigators. The guidelines,
furthermore, aim to assure flexibility within an investigation due to the fact that many different types
of digital investigations are possible. Harmonized incident investigation principles and processes are
specified and indications are provided of how the investigation processes can be customized in different
investigation scenarios.
A harmonized investigation process model is needed in criminal and civil prosecution settings, as well
as in other environments, such as corporate breaches of information security and recovery of digital
information from a defective storage device. The provided guidelines give succinct guidance on the
exact process to be followed during any kind of digital investigation in such a way that, if challenged, no
doubt should exist as to the adequacy of the investigation process followed during such an investigation.
Any digital investigation requires a high level of expertise. Those involved in the investigation have to be
competent, proficient in the processes used, and they have to use validated processes (see ISO/IEC 27041)
which are compatible with the relevant policies and/or laws in applicable jurisdictions.
Where the need arises to assign a process to a person, that person will take the responsibility for the
process. Therefore, a strong correlation between a process responsibility and a person’s input will
determine the exact investigation process required according to the harmonized investigation processes
provided as guidelines in this International Standard.
This International Standard is structured by following a top-down approach. This means that the
investigation principles and processes are first presented on a high (abstract) level before they are
refined with more details. For example, a high-level overview of the investigation principles and
processes are provided and presented in figures as “black boxes” at first, where after each of the high-
level processes are divided into more fine-grained (atomic) processes. Therefore, a less abstract and
more detailed view of all the investigation principles and processes are presented near the end of this
International Standard as shown in Figure 8.
This International Standard is intended to complement other standards and documents which provide
guidance on the investigation of, and preparation to, investigate information security incidents. It
is not an in-depth guide, but it is a guide that provides a rather wide overview of the entire incident
investigation process. This guide also lays down certain fundamental principles which are intended
to ensure that tools, techniques, and methods can be selected appropriately and shown to be fit for
purpose should the need arise.
Relationship to other standards
This International Standard is intended to complement other standards and documents which give
guidance on the investigation of, and preparation to investigate, information security incidents. It is not a
vi © ISO/IEC 2015 – All rights reserved

---------------------- Page: 6 ----------------------
ISO/IEC 27043:2015(E)

comprehensive guide, but lays down certain fundamental principles which are intended to ensure that tools,
techniques, and methods can be selected appropriately and shown to be fit for purpose should the need arise.
This International Standard also intends to inform decision-makers that need to determine the
reliability of digital evidence presented to them. It is applicable to organizations needing to protect,
analyse, and present potential digital evidence. It is relevant to policy-making bodies that create and
evaluate procedures relating to digital evidence, often as part of a larger body of evidence.
This International Standard describes part of a comprehensive investigative process which includes, but
is not limited to, the following topic areas:
— incident management, including preparation and planning for investigations;
— handling of digital evidence;
— use of, and issues caused by, redaction;
— intrusion prevention and detection systems, including information which can be obtained from
these systems;
— security of storage, including sanitization of storage;
— ensuring that investigative methods are fit for purpose;
— carrying out analysis and interpretation of digital evidence;
— understanding principles and processes of digital evidence investigations;
— security incident event management, including derivation of evidence from systems involved in
security incident event management;
— relationship between electronic discovery and other investigative methods, as well as the use of
electronic discovery techniques in other investigations;
— governance of investigations, including forensic investigations.
These topic areas are addressed, in part, by the following ISO/IEC standards.
— ISO/IEC 27037
This International Standard describes the means by which those involved in the early stages of
an investigation, including initial response, can assure that sufficient potential digital evidence is
captured to allow the investigation to proceed appropriately.
— ISO/IEC 27038
Some documents can contain information that must not be disclosed to some communities. Modified
documents can be released to these communities after an appropriate processing of the original
document. The process of removing information that is not to be disclosed is called “redaction”.
The digital redaction of documents is a relatively new area of document management practice,
raising unique issues and potential risks. Where digital documents are redacted, removed
information must not be recoverable. Hence, care needs to be taken so that redacted information
is permanently removed from the digital document (e.g. it must not be simply hidden within non-
displayable portions of the document).
ISO/IEC 27038 specifies methods for digital redaction of digital documents. It also specifies
requirements for software that can be used for redaction.
— ISO/IEC 27040
This International Standard provides detailed technical guidance on how organizations may define
an appropriate level of risk mitigation by employing a well-proven and consistent approach to the
© ISO/IEC 2015 – All rights reserved vii

---------------------- Page: 7 ----------------------
ISO/IEC 27043:2015(E)

planning, design, documentation, and implementation of data storage security. Storage security
applies to the protection (security) of information where it is stored and to the security of the
information being transferred across the communication links associated with storage. Storage
security includes the security of devices and media, the security of management activities related to
the devices and media, the security of applications and services, and security relevant to end-users
during the lifetime of devices and media and after end of use.
Security mechanisms like encryption and sanitization can affect one’s ability to investigate by
introducing obfuscation mechanisms. They have to be considered prior to and during the conduct of
an investigation. They can also be important in ensuring that storage of evidential material during
and after an investigation is adequately prepared and secured.
— ISO/IEC 27041
It is important that methods and processes deployed during an investigation can be shown to be
appropriate. This document provides guidance on how to provide assurance that methods and
processes meet the requirements of the investigation and have been appropriately tested.
— ISO/IEC 27042
This International Standard describes how methods and processes to be used during an investigation
can be designed and implemented in order to allow correct evaluation of potential digital evidence,
interpretation of digital evidence, and effective reporting of findings.
The following ISO/IEC projects also address, in part, the topic areas identified above and can lead to the
publication of relevant standards at some time after the publications of this International Standard.
— ISO/IEC 27035 (all parts)
This is a three-part standard that provides organizations with a structured and planned approach
to the management of security incident management. It is composed of
— ISO/IEC 27035-1
— ISO/IEC 27035-2
— ISO/IEC 27035-3
— ISO/IEC 27044
— ISO/IEC 27050 (all parts)
— ISO/IEC 30121
This International Standard provides a framework for governing bodies of organizations (including
owners, board members, directors, partners, senior executives, or similar) on the best way to
prepare an organization for digital investigations before they occur. This International Standard
applies to the development of strategic processes (and decisions) relating to the retention,
availability, access, and cost effectiveness of digital evidence disclosure. This International Standard
is applicable to all types and sizes of organizations. The International Standard is about the prudent
strategic preparation for digital investigation of an organization. Forensic readiness assures that an
organization has made the appropriate and relevant strategic preparation for accepting potential
events of an evidential nature. Actions may occur as the result of inevitable security breaches, fraud,
and reputation assertion. In every situation, information technology (IT) has to be strategically
deployed to maximize the effectiveness of evidential availability, accessibility, and cost efficiency
Figure 1 shows typical activities surrounding an incident and its investigation. The numbers shown in
this diagram (e.g. 27037) indicate the International Standards listed above and the shaded bars show
where each is most likely to be directly applicable or has some influence over the investigative process
(e.g. by setting policy or creating constraints). It is recommended, however, that all should be consulted
prior to, and during, the planning and preparation phases. The process classes shown are defined fully
viii © ISO/IEC 2015 – All rights reserved

---------------------- Page: 8 ----------------------
ISO/IEC 27043:2015(E)

in this International Standard and the activities identified match those discussed in more detail in
ISO/IEC 27035-2, ISO/IEC 27037, and ISO/IEC 27042.
.
.
Figure 1 — Applicability of standards to investigation process classes and activities
© ISO/IEC 2015 – All rights reserved ix

---------------------- Page: 9 ----------------------
INTERNATIONAL STANDARD ISO/IEC 27043:2015(E)
Information technology — Security techniques — Incident
investigation principles and processes
1 Scope
This International Standard provides guidelines based on idealized models for common incident
investigation processes across various incident investigation scenarios involving digital evidence. This
includes processes from pre-incident preparation through investigation closure, as well as any general
advice and caveats on such processes. The guidelines describe processes and principles applicable to
various kinds of investigations, including, but not limited to, unauthorized access, data corruption,
system crashes, or corporate breaches of information security, as well as any other digital investigation.
In summary, this International Standard provides a general overview of all incident investigation
principles and processes without prescribing particular details within each of the investigation
principles and processes covered in this International Standard. Many other relevant International
Standards, where referenced in this International Standard, provide more detailed content of specific
investigation principles and processes.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are
indispensable for its application. For dated references, only the edition cited applies. For undated
references, the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 27000, Information technology — Security techniques — Information security management
systems — Overview and vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000 and the following apply.
3.1
acquisition
process of creating a copy of data within a defined set
Note 1 to entry: The product of an acquisition is a potential digital evidence copy.
[SOURCE: ISO/IEC 27037:2012, 3.1]
3.2
activity
set of cohesive tasks of a process
[SOURCE: ISO/IEC 12207:2008, 4.3]
3.3
analysis
process of evaluating potential digital evidence in order to assess its relevance to the investigation
Note 1 to entry: Potential digital evidence, which is determined to be relevant, becomes digital evidence.
[SOURCE: ISO/IEC 27042:—, 3.1]
© ISO/IEC 2015 – All rights reserved 1

---------------------- Page: 10 ----------------------
ISO/IEC 27043:2015(E)

3.4
collection
process of gathering the physical items that contain potential digital evidence
[SOURCE: ISO/IEC 27037:2012, 3.3]
3.5
digital evidence
information or data, stored or transmitted in binary form, that may be relied on as evidence
[SOURCE: ISO/IEC 27037:2012, 3.5]
3.6
digital investigation
use of scientifically derived and proven methods towards the identification, collection, transportation,
storage, analysis, interpretation, presentation, distribution, return, and/or destruction of digital
evidence derived from digital sources, while obtaining proper authorizations for all activities, properly
documenting all activities, interacting with the physical investigation, preserving digital evidence, and
maintaining the chain of custody, for the purpose of facilitating or furthering the reconstruction of
events found to be incidents requiring a digital investigation, whether of criminal nature or not
3.7
identification
process involving the search for, recognition, and documentation of potential digital evidence
[SOURCE: ISO/IEC 27037:2012, 3.12]
3.8
incident
single or a series of unwanted or unexpected information security breaches or events, whether of
criminal nature or not, that have a significant probability of compromising business operations or
threatening information security
3.9
interpretation
synthesis of an explanation, withi
...

NORME ISO/IEC
INTERNATIONALE 27043
Première édition
2015-03-01
Technologies de l’information —
Techniques de sécurité — Principes et
processus d’investigation sur incident
Information technology — Security techniques — Incident
investigation principles and processes
Numéro de référence
ISO/IEC 27043:2015(F)
©
ISO/IEC 2015

---------------------- Page: 1 ----------------------
ISO/IEC 27043:2015(F)

DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2015, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii  © ISO/IEC 2015 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO/IEC 27043:2015(F)

Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Symboles et abréviations . 4
5 Investigations numériques . 4
5.1 Principes généraux . 4
5.2 Principes légaux . 4
6 Processus d’investigation numérique . 5
6.1 Vue d’ensemble des processus . 5
6.2 Classes de processus d’investigation numérique . 6
7 Processus de préparation . 8
7.1 Vue d’ensemble des processus de préparation . 8
7.2 Processus de définition du scénario .10
7.3 Processus d’identification des sources de preuves numériques éventuelles .10
7.4 Processus de planification de la collecte antérieure à l’incident, du stockage et du
traitement des données représentant des preuves numériques éventuelles .12
7.5 Processus de planification de l’analyse des données antérieure à l’incident
représentant des preuves numériques éventuelles .12
7.6 Processus de planification de la détection des incidents .12
7.7 Processus de définition de l’architecture du système .13
7.8 Processus de mise en œuvre de l’architecture du système .13
7.9 Processus de mise en œuvre de la collecte antérieure à l’incident, du stockage et
du traitement des données représentant des preuves numériques éventuelle.13
7.10 Processus de mise en œuvre de l’analyse antérieure à l’incident des données
représentant des preuves numériques éventuelles .13
7.11 Processus de mise en œuvre de la détection des incidents .14
7.12 Processus d’évaluation de la mise en œuvre .14
7.13 Processus de mise en œuvre des résultats d’évaluation .14
8 Processus d’initialisation .15
8.1 Vue d’ensemble des processus d’initialisation .15
8.2 Processus de détection des incidents .15
8.3 Processus de première réponse .16
8.4 Processus de planification .16
8.5 Processus de préparation .17
9 Processus d’acquisition .17
9.1 Vue d’ensemble des processus d’acquisition .17
9.2 Processus d’identification des preuves numériques éventuelles .18
9.3 Processus de collecte des preuves numériques éventuelles .19
9.4 Processus d’acquisition des preuves numériques éventuelles.19
9.5 Processus de transport des preuves numériques éventuelles .19
9.6 Processus de stockage et de préservation des preuves numériques éventuelles .19
10 Processus d’investigation .20
10.1 Vue d’ensemble des processus d’investigation .20
10.2 Processus d’acquisition des preuves numériques éventuelles.21
10.3 Processus d’examen et d’analyse des preuves numériques éventuelles .21
10.4 Processus d’interprétation des preuves numériques .22
10.5 Processus de consignation .22
10.6 Processus de présentation .23
© ISO/IEC 2015 – Tous droits réservés iii

---------------------- Page: 3 ----------------------
ISO/IEC 27043:2015(F)

10.7 Processus de clôture de l’investigation .23
11 Processus simultanés .23
11.1 Vue d’ensemble des processus simultanés .23
11.2 Processus d’obtention de l’autorisation .24
11.3 Processus de documentation .24
11.4 Processus de gestion du flux d’informations .24
11.5 Processus de préservation de la chaîne de contrôle.25
11.6 Processus de préservation des preuves numériques .25
11.7 Processus d’interaction avec l’investigation physique .25
12 Schéma du modèle du processus d’investigation numérique .25
Annexe A (informative) Processus d’investigation numérique: motif d’harmonisation .28
Bibliographie .31
iv © ISO/IEC 2015 – Tous droits réservés

---------------------- Page: 4 ----------------------
ISO/IEC 27043:2015(F)

Avant-propos
L’ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l’ISO ou de l’IEC participent au développement de Normes internationales
par l’intermédiaire des comités techniques créés par l’organisation concernée afin de s’occuper des
domaines particuliers de l’activité technique. Les comités techniques de l’ISO et de l’IEC collaborent
dans des domaines d’intérêt commun. D’autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l’ISO et l’IEC, participent également aux travaux. Dans le domaine
des technologies de l’information, l’ISO et l’IEC ont créé un comité technique mixte, l’ISO/IEC JTC 1.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet
de droits de propriété intellectuelle ou de droits analogues. L’ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations
de brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation
de la conformité, ou pour toute information au sujet de l’adhésion de l’ISO aux principes de l’Organisation
mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC), voir le lien
suivant: www.iso.org/iso/fr/foreword.html.
Le comité responsable de ce document est l’ISO/IEC JTC 1, Technologies de l’information, sous-comité
SC 27, Techniques de sécurité.
© ISO/IEC 2015 – Tous droits réservés v

---------------------- Page: 5 ----------------------
ISO/IEC 27043:2015(F)

Introduction
À propos de la présente Norme internationale
La présente Norme internationale fournit des lignes directrices contenant des modèles idéalisés des
processus d’investigation communs à travers divers scénarios d’investigation. Elle inclut des processus
allant de la préparation antérieure à l’incident jusqu’au retour des preuves (inclus) pour stockage ou
diffusion, de même que des conseils et mises en garde d’ordre général concernant les processus ainsi
que l’identification, la collecte, l’acquisition, la préservation, l’analyse, l’interprétation et la présentation
appropriées des preuves. L’un des principes de base des investigations numériques est la répétabilité,
selon laquelle un investigateur doté du savoir-faire requis doit être en mesure d’obtenir le même résultat
qu’un autre investigateur doté d’un savoir-faire similaire, travaillant dans des conditions similaires.
Ce principe est extrêmement important pour toute investigation d’ordre général. Les lignes directrices
de nombreux processus d’investigation sont fournies pour garantir clarté et transparence lors de
l’obtention du résultat livré pour chaque processus donné. La raison motivant la fourniture de lignes
directrices concernant les principes et processus d’investigation sur incident est indiquée ci-après.
Des lignes directrices établies couvrant les principes et processus d’investigation sur incident
faciliteraient les investigations car elles fourniraient un ordre commun des événements composant une
investigation. Le recours à des lignes directrices établies permet une transition en toute transparence
d’un événement à l’autre au cours d’une investigation. De telles lignes directrices permettraient
également une formation adéquate d’investigateurs inexpérimentés. De plus, les lignes directrices
visent à garantir la flexibilité au sein d’une investigation en raison du fait que de nombreux types
différents d’investigations numériques sont possibles. Des principes et processus d’investigation
sur incident harmonisés sont spécifiés et des indications sont fournies concernant la façon dont les
processus d’investigation peuvent être personnalisés selon des scénarios d’investigation différents.
Un modèle de processus d’investigation harmonisé est requis dans un contexte de poursuites pénales
et civiles, ainsi que dans d’autres environnements, comme les atteintes à la sécurité des informations
d’une entreprise et la récupération des informations numériques d’un dispositif de stockage défectueux.
Les lignes directrices fournies donnent des préconisations succinctes concernant le processus exact à
suivre pendant tout type d’investigation numérique de façon que, en cas de contestation, il convient
qu’il ne subsiste aucun doute quant à l’adéquation du processus d’investigation suivi pendant une telle
investigation.
Toute investigation numérique requiert un haut niveau d’expertise. Les personnes impliquées dans
l’investigation doivent être compétentes, aptes à appliquer les processus utilisés et elles doivent utiliser
des processus validés (voir l’ISO/IEC 27041) compatibles avec les politiques et/ou lois pertinentes dans
les juridictions applicables.
Lorsqu’il est nécessaire d’affecter un processus à une personne, celle-ci assumera la responsabilité
du processus. Par conséquent, une forte corrélation entre la responsabilité d’un processus et la
contribution d’une personne déterminera le processus d’investigation exact requis conformément aux
processus d’investigation harmonisés fournis en tant que lignes directrices dans la présente Norme
internationale.
La présente Norme internationale est structurée selon une approche descendante. Cela signifie que les
principes et processus d’investigation sont d’abord présentés de façon globale (abstraite) avant d’être
affinés en détail. Par exemple, une présentation globale des principes et processus d’investigation est
fournie et présentée dans les figures sous formes de «cases noires» dans un premier temps où chacun
des processus globaux est ensuite divisés en processus détaillé (atomique). Par conséquent, une vue
moins abstraite et plus détaillée de tous les principes et processus d’investigation est présentée vers la
fin de la présente Norme internationale comme il est indiqué à la Figure 8.
La présente Norme internationale est destinée à compléter d’autres normes et documents fournissant
des préconisations concernant l’investigation, et la préparation à l’investigation, suite à des
incidents de sécurité de l’information. Il ne s’agit pas là de préconisations détaillées, mais d’un guide
fournissant plutôt un vaste aperçu de l’ensemble du processus d’investigation sur incident. Ce guide
édicte également certains principes fondamentaux visant à garantir que les outils, les techniques et
vi © ISO/IEC 2015 – Tous droits réservés

---------------------- Page: 6 ----------------------
ISO/IEC 27043:2015(F)

les méthodes puissent être choisis de manière appropriée et que leur adéquation à l’application visée
puisse être démontrée, le cas échéant.
Relation avec d’autres normes
La présente Norme internationale est destinée à compléter d’autres normes et documents donnant
des préconisations concernant l’investigation, et la préparation à l’investigation, sur des incidents
de sécurité de l’information. Elle ne constitue pas un guide exhaustif, mais édicte certains principes
fondamentaux visant à garantir que les outils, les techniques et les méthodes soient choisis de manière
appropriée et que leur adéquation avec l’application visée puisse être démontrée, le cas échéant.
La présente Norme internationale vise également à informer les décideurs devant déterminer la fiabilité
des preuves numériques qui leur sont soumises. Elle s’applique aux organismes devant protéger,
analyser et présenter des preuves numériques éventuelles. Elle est pertinente dans le contexte des
organismes en charge de l’établissement de politiques, qui créent et évaluent des modes opératoires en
rapport avec les preuves numériques, souvent dans le cadre d’un ensemble plus vaste de preuves.
La présente Norme internationale décrit une partie d’un processus d’investigation complet, portant
sans s’y limiter sur les thématiques suivantes:
— gestion des incidents, comprenant la préparation et la planification des investigations;
— traitement des preuves numériques;
— utilisation de l’expurgation et problèmes en découlant;
— systèmes de prévention et de détection des intrusions, comprenant les informations pouvant être
obtenues à partir de ces systèmes;
— sécurité du stockage, comprenant le nettoyage du stockage;
— vérification de l’adéquation avec l’application visée des méthodes d’investigation;
— analyse et interprétation des preuves numériques;
— connaissance des principes et processus liés à l’investigation des preuves numériques;
— gestion des événements d’incident de sécurité, comprenant l’établissement de preuve à partir de
systèmes impliqués dans la gestion des événements d’incident de sécurité;
— relation entre la découverte électronique et les autres méthodes d’investigation, et utilisation des
techniques de découverte électronique dans d’autres investigations;
— gouvernance des investigations, comprenant les investigations forensiques.
Ces thématiques sont couvertes partiellement dans les normes ISO/IEC suivantes:
— ISO/IEC 27037;
La présente Norme internationale décrit les moyens par lesquels les personnes impliquées dans
les premières phases d’une investigation, comprenant la réponse initiale, peuvent s’assurer que
des preuves numériques éventuelles suffisantes sont recueillies pour permettre de poursuivre
l’investigation de manière appropriée.
— ISO/IEC 27038;
Certains documents peuvent contenir des informations dont il ne faut pas qu’elles soient divulguées
auprès de certaines communautés. Des documents modifiés peuvent être diffusés auprès de ces
communautés, après un traitement approprié du document d’origine. Le processus consistant à
supprimer les informations à ne pas divulguer est intitulé l’«expurgation».
L’expurgation numérique des documents est un domaine relativement récent des pratiques de
gestion documentaire, qui soulève des problèmes spécifiques et pose des risques potentiels. Lors
© ISO/IEC 2015 – Tous droits réservés vii

---------------------- Page: 7 ----------------------
ISO/IEC 27043:2015(F)

de l’expurgation de documents numériques, il faut que les informations supprimées ne soient pas
récupérables. Dès lors, il est nécessaire de prendre des précautions pour que les informations
expurgées soient supprimées définitivement du document numérique (par exemple il ne faut pas
qu’elles soient simplement masquées dans des parties non affichables du document).
La norme ISO/IEC 27038 spécifie les méthodes d’expurgation numérique de documents numériques.
Elle spécifie également les exigences concernant les logiciels utilisables pour l’expurgation.
— ISO/IEC 27040;
La présente Norme internationale fournit des préconisations techniques détaillées concernant la
manière dont les organismes peuvent définir un niveau approprié d’atténuation des risques grâce à
l’emploi d’une approche reconnue et cohérente de la planification, la conception, la documentation
et la mise en œuvre de la sécurité de stockage des données. La sécurité du stockage s’applique à la
protection (la sécurité) des informations là où elles sont stockées et à la sécurité des informations
transférées au moyen des liaisons de communication associées au stockage. La sécurité du stockage
comprend la sécurité des dispositifs et des supports, la sécurité des activités de management
associées aux dispositifs et aux supports, la sécurité des applications et des services et la sécurité
relative aux utilisateurs finaux pendant la durée de vie de leurs dispositifs et supports et après la
fin de leur utilisation.
Les mécanismes de sécurité tels que le chiffrement et le nettoyage peuvent affecter la capacité
d’investigation d’une personne en mettant en place des mécanismes d’obfuscation. Ils doivent être
pris en compte en amont et au cours d’une investigation. Ils peuvent également être importants
pour s’assurer que le stockage des matériaux probatoires, au cours et en aval d’une investigation,
soit préparé et sécurisé de manière adéquate.
— ISO/IEC 27041;
Il est important de pouvoir démontrer que les méthodes et processus déployés au cours d’une
investigation sont appropriés. Ce document fournit des préconisations concernant la façon
de s’assurer que des méthodes et processus satisfont aux exigences de l’investigation et ont été
soumises à essai de façon appropriée.
— ISO/IEC 27042;
La présente Norme internationale décrit les modes de conception et de mise en œuvre des méthodes
et processus à utiliser au cours d’une investigation, afin de permettre une évaluation correcte
des preuves numériques éventuelles, l’interprétation des preuves numériques et la consignation
pertinente des découvertes.
Les projets ISO/IEC suivants couvrent également en partie les thématiques identifiées ci-dessus et
peuvent conduire à la publication de normes pertinentes, suite à la publication de la présente Norme
internationale.
— ISO/IEC 27035 (toutes les parties);
Cette norme en trois parties fournit aux organismes une approche structurée et planifiée de la
gestion des incidents de sécurité. Elle se compose des parties suivantes:
— ISO/IEC 27035-1;
— ISO/IEC 27035-2;
— ISO/IEC 27035-3;
— ISO/IEC 27044;
— ISO/IEC 27050 (toutes les parties);
— ISO/IEC 30121.
viii © ISO/IEC 2015 – Tous droits réservés

---------------------- Page: 8 ----------------------
ISO/IEC 27043:2015(F)

La présente Norme internationale fournit un cadre pour les organes de gouvernance des
organismes (comprenant les propriétaires, les membres du conseil d’administration, les directeurs,
les partenaires, les cadres dirigeants ou des fonctions similaires), sur la meilleure façon de
préparer un organisme aux investigations numériques avant leur occurrence. La présente Norme
internationale s’applique au développement de processus (et de décisions) stratégiques concernant
la conservation, la disponibilité, l’accès et l’efficience économique de la divulgation de preuves
numériques. Elle s’applique aux organismes de tous types et de toutes tailles. Elle concerne la
préparation stratégique avisée d’un organisme à l’investigation numérique. La préparation à
l’approche forensique garantit qu’un organisme a engagé une préparation stratégique appropriée
et pertinente pour donner son aval concernant des événements potentiels de nature probatoire.
Des actions peuvent se produire suite à d’inévitables violations de sécurité, fraudes et déclarations
de réputation. Dans chaque situation, les technologies de l’information (TI) doivent être déployées
de manière stratégique afin d’optimiser la disponibilité des preuves, leur accessibilité et leur
efficience économique.
La Figure 1 représente les activités types liées à un incident et à l’investigation s’y rapportant. Les
références représentées dans la figure (par exemple 27037) désignent les Normes internationales
répertoriées ci-dessus; les barres grisées représentent les classes/activités auxquelles chacune
d’elles est la plus susceptible d’être directement applicable ou sur lesquelles chacune d’elles exerce
une certaine influence sur le processus d’investigation (par exemple en stipulant une politique ou en
instaurant des contraintes). Il convient cependant qu’elles soient toutes consultées en amont et au cours
des phases de planification et de préparation. Les classes du processus qui sont représentées font l’objet
d’une définition complète dans cette Norme internationale et les activités identifiées correspondent à
celles évoquées plus en détail dans l’ISO/IEC 27035-2, l’ISO/IEC 27037, et l’ISO/IEC 27042.
© ISO/IEC 2015 – Tous droits réservés ix

---------------------- Page: 9 ----------------------
ISO/IEC 27043:2015(F)

Figure 1 — Applicabilité des normes aux activités et classes des processus d’investigation
x © ISO/IEC 2015 – Tous droits réservés

---------------------- Page: 10 ----------------------
NORME INTERNATIONALE ISO/IEC 27043:2015(F)
Technologies de l’information — Techniques de sécurité —
Principes et processus d’investigation sur incident
1 Domaine d’application
La présente Norme internationale fournit des lignes directrices concernant des modèles idéalisés
pour des processus d’investigation des incidents communs à travers divers scénarios d’investigation
sur incident impliquant des preuves numériques. Cela inclut des processus allant de la préparation
antérieure à l’incident à la clôture de l’investigation, ainsi que tout conseil et mise en garde d’ordre
général concernant de tels processus. Ces lignes directrices décrivent les processus et principes
applicables à divers types d’investigations, comprenant, sans toutefois s’y limiter, l’accès non autorisé,
la corruption des données, les défaillances du système ou les violations de sécurité des informations
d’entreprise ainsi que toute autre investigation numérique.
En résumé, la présente Norme internationale fournit un aperçu général de tous les principes et
processus d’investigation sur incident sans préconiser de détails particuliers dans chacun des
principes et processus d’investigation couverts par la présente Norme internationale. De nombreuses
autres Normes internationales pertinentes, lorsqu’elles sont citées en référence dans la présente
Norme internationale, fournissent des contenus plus détaillés concernant des principes et processus
d’investigation spécifiques.
2 Références normatives
Les documents ci-après, dans leur intégralité ou non, sont des références normatives indispensables à
l’application du présent document. Pour les références datées, seul
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.