Sélection de la langue

Analystes en criminalistique numérique

La description basée sur les rôles qui suit ne concerne que les opérations de sécurité et ne comprend pas les fonctions de criminalistique numérique ou d’audit informatique qui doivent être assumées dans des professions connexes liées à l’application de la loi ou à l’audit. Le ou la titulaire fait appel à la criminalistique numérique afin d’analyser les preuves tirées d’ordinateurs, de réseaux et d’autres dispositifs de stockage de données. Les tâches consistent notamment à faire ce qui suit : enquêter sur les preuves électroniques et les conserver, planifier et développer des outils, hiérarchiser les activités et soutenir les opérations de reprise et d’analyse après incident.

Sur cette page

Référence au cadre de la NICE

Investigate, Cyber Defence Forensic Analyst, INV-FOR-002.

Conséquence d’une erreur ou risque

Une erreur, une négligence, une information désuète, un manque d’attention aux détails ou un mauvais jugement pourrait se traduire par l’incapacité de déterminer la source d’une compromission ou de l’atténuer, en plus d’avoir une incidence sur les systèmes d’information de l’organisation, ce qui ferait en sorte qu’il soit impossible de déposer des accusations criminelles ou d’engager des poursuites civiles.

Parcours de perfectionnement

Il s’agit souvent d’un poste de niveau 2 ou 3 dans un environnement opérationnel lié à la cybersécurité qui est généralement précédé par un minimum de deux à trois ans d’expérience dans un poste lié aux réseaux ou à la sécurité opérationnelle, notamment à titre d’analyste des maliciels. Ce parcours pourrait mener à une spécialisation en criminalistique numérique ou en évaluation de sécurité, ainsi qu’à des postes de chef d’équipe rouge ou bleu, de testeurs ou testeuses de pénétration ou de gestionnaire.

Autres titres

  • Enquêteurs/enquêtrices en criminalistique numérique (postes généralement retrouvés dans des environnements liés à la cybercriminalité)
  • Examinateurs/examinatrices en criminalistique numérique (postes généralement retrouvés dans des environnements d’audit informatique)

Classification nationale des professions connexes

2147 – Ingénieurs informaticiens/ingénieures informaticiennes (sauf ingénieurs/ingénieures et concepteurs/conceptrices en logiciel)

2171 – Analystes et consultants/consultantes en informatique

2173 – Ingénieurs/ingénieures et concepteurs/conceptrices en logiciel

Tâches

  • Effectuer des enquêtes en temps réel sur les incidents liés à la cyberdéfense (p. ex. collecte de preuves, corrélation et suivi des intrusions et analyse des menaces)
  • Enquêter sur les incidents de sécurité conformément au mandat
  • Planifier les activités d’analyse de criminalistique numérique dans le cadre des incidents de sécurité
  • Recueillir et analyser des artéfacts d’intrusion (p. ex. code source, maliciel et configuration du système) et utiliser les données découvertes pour atténuer les incidents potentiels liés à la cyberdéfense
  • Déterminer les artéfacts de l’analyse de criminalistique numérique et en rendre compte avec exactitude
  • Capter et analyser le trafic réseau associé aux activités malveillantes à l’aide d’outils de surveillance réseau
  • Contribuer à l’analyse après les incidents de sécurité et présenter des recommandations en fonction des activités de criminalistique numérique
  • Rédiger et tenir à jour des rapports d’enquête et des rapports techniques
  • Fournir une assistance technique sur les questions de preuve numérique au personnel approprié
  • Compiler des éléments de preuve pour les dossiers judiciaires et fournir des témoignages d’expert lors des procédures judiciaires
  • Gérer les preuves numériques conformément aux exigences appropriées de la chaîne de possession
  • Déterminer et gérer l’infrastructure ou le laboratoire d’analyse sécurisé
  • Utiliser des systèmes judiciaires numériques (au besoin, selon les fonctions et les systèmes offerts)
  • Préparer et examiner les politiques, les normes, les procédures et les lignes directrices en matière de criminalistique
  • Élaborer et fournir le matériel de formation, et surveiller les efforts d’éducation

Compétences requises pour l’éducation

Études postsecondaires (diplôme en informatique ou dans un domaine des technologies de l’information connexe).

Formation requise

Formation axée sur les outils, les techniques et les procédures de criminalistique numérique. De plus, selon le contexte technique de l’organisation et les systèmes et dispositifs utilisés, une formation spécialisée en criminalistique numérique pourrait être exigée (p. ex. appareil mobile, support numérique, etc.).

Expérience professionnelle requise

De deux à trois ans d’expérience dans un poste supérieur lié aux opérations de cybersécurité et, de préférence, de l’expérience dans des environnements actifs et hors ligne (dead-box).

Outils et technologies

  • Politiques, procédures et pratiques de sécurité organisationnelle
  • Mappage des systèmes organisationnels et architecture des réseaux
  • Outils, techniques et procédures de criminalistique numérique
  • Outils d’analyse de maliciels
  • Système de gestion des événements et des incidents de sécurité
  • Bases de données des vulnérabilités communes
  • Mandat, responsabilités et limitations des pouvoirs en matière d’enquête de sécurité

Compétences

Les connaissances, compétences et aptitudes suivantes s’appliquent à un niveau avancé :

  • Outils, techniques et procédures employés par les auteurs de menace
  • Méthodes d’intervention et de prise en charge des incidents
  • Système de gestion des événements et des incidents de sécurité
  • Méthodologies, processus et pratiques de criminalistique numérique
  • Tactiques, techniques et procédures d’obscurcissement
  • Processus de collecte, d’emballage, de transport et d’entreposage des preuves électroniques pour éviter la modification, la perte, les dommages physiques ou la destruction des données
  • Saisie et préservation des preuves numériques
  • Lois, règlements, politiques et éthique applicables aux enquêtes et à la gouvernance
  • Règles juridiques relatives aux preuves et procédures judiciaires, présentation de preuves numériques, témoignage à titre de témoin expert
  • Criminalistique liée aux systèmes ou aux appareils (p. ex. mémoire, Active Directory, appareil mobile, réseau, ordinateur [inactif], etc.)
  • Outils et techniques d’analyse des logiciels malveillants
  • Rétro-ingénierie
  • Capacités de criminalistique numérique déployables
  • Types de criminalistique numérique, dont les outils, les techniques et les procédures (qui dépendent de systèmes organisationnels et d’information), ce qui peut comprendre ce qui suit :
    • ordinateur
    • réseau et Active Directory
    • appareils mobiles
    • supports numériques (image, vidéo, audio)
    • mémoire

Futures tendances ayant une incidence sur les compétences clés

  • La dépendance accrue aux services virtuels ou « basés sur l’infonuagique » exigera une connaissance des responsabilités du fournisseur de services, notamment de ses responsabilités par rapport à la gestion des systèmes de cybersécurité.
  • Si le rôle est exercé au sein de l’organisation, il sera nécessaire de comprendre pleinement les répercussions de l’option « Prenez vos appareils personnels » (PAP). Cela signifie que, peu importe les capacités de l’appareil, il faudra évaluer les risques qui pèsent sur l’organisation, mettre en œuvre des mesures d’atténuation pour tenir compte des possibles compromissions qui pourraient résulter de l’utilisation d’appareils personnels et déterminer les mesures que le Centre des opérations de sécurité (COS) devra prendre advenant un incident.
  • L’utilisation accrue des outils automatisés, facilitée par l’intelligence artificielle, nécessitera une bonne compréhension de la façon dont ces outils s’intégreront aux processus de gestion de l’identité et de l’accès et aux changements techniques et de processus connexes.
  • Des mécanismes visant à soutenir le degré requis de confiance et de risque organisationnel devront être mis en place pour soutenir le suivi et la communication des résultats des outils automatisés. Par conséquent, il faudra mieux comprendre les risques qui pèsent sur l’organisation et les possibles réponses dans l’environnement dynamique de la menace.
  • L’émergence et l’utilisation des technologies quantiques par les auteurs de menace modifieront fondamentalement la sécurité du chiffrement. Cela nécessitera des connaissances et des compétences pour ce qui est de la mise en œuvre d’une stratégie post‑quantique, ainsi que les outils, les techniques et les protocoles employés par les auteurs de menace pour mener des attaques basées sur l’informatique quantique et la manière de se défendre contre celles‑ci.
Date de modification :