Forensic numérique

Investigation forensique numérique

Nos experts en forensique informatique préservent et analysent les preuves numériques dans le respect de la chaîne de traçabilité, avec un diagnostic gratuit en 3 heures. Rapports recevables en justice.

Diagnostic gratuit en 3h
Chaîne de traçabilité garantie
Rapports recevables en justice
Confidentialité absolue
Diagnostic offert Commencer la récupération
Diagnostic gratuit Devis en moins de 3h Vos données restent en Suisse
Confier mon support
ou
Estimez le coût en ligne

Qu'est-ce que l'investigation forensique numérique ?

L'investigation forensique numérique (ou computer forensics) est une discipline qui consiste à collecter, préserver et analyser des preuves numériques dans un cadre judiciaire ou contentieux. Elle intervient lorsque des données informatiques doivent servir d'éléments de preuve devant un tribunal, un arbitrage ou une enquête interne.

Depuis 2006, SOS Data Recovery à Ins (Suisse) a traité plus de 11 300 supports et accompagné plus de 8 000 clients. Certifiée CyberSafe et notée 4.5/5 sur Avis Vérifiés (249+ avis), notre équipe garantit le respect strict de la chaîne de traçabilité (chain of custody) pour que chaque preuve soit recevable en justice.

Nos domaines d'intervention couvrent la fraude interne, l'espionnage industriel, le vol de données sensibles, la suppression malveillante de fichiers, ainsi que les litiges civils et pénaux nécessitant une expertise technique. Nos experts peuvent être appelés à témoigner en qualité d'expert devant les juridictions suisses et européennes.

Notre diagnostic est gratuit et réalisé en 3 heures. Vous ne payez que si les données sont effectivement récupérées (80 % des cas). Si vous êtes confronté à une situation nécessitant une investigation forensique, contactez-nous pour une consultation confidentielle.

Quels types d'investigations forensiques réalisons-nous ?

Fraude informatique au sein de votre entreprise
Utilisation suspecte d'un poste de travail
Vol ou copie non autorisée de données sensibles
Problèmes lors d'une succession ou d'un litige
Espionnage industriel ou concurrentiel
Suppression malveillante de fichiers ou d'emails

Quelles situations nécessitent une investigation forensique ?

Vous êtes confronté à l'une de ces situations ? Contactez-nous pour une consultation confidentielle.

Intégrité

Preuve altérée ou falsifiée

Documents modifiés, métadonnées manipulées ou fichiers antidatés. Notre analyse forensic identifie toute altération et établit la chronologie réelle des événements.

Chiffrement

Appareil chiffré ou verrouillé

Ordinateur protégé par mot de passe, disque chiffré BitLocker ou FileVault, smartphone verrouillé. Nos outils spécialisés permettent d'accéder aux données dans le respect du cadre légal.

Support endommagé

Support de stockage endommagé

Disque dur défaillant, clé USB cassée ou serveur sinistré contenant des preuves essentielles. Nous récupérons les données tout en préservant leur valeur probatoire.

Suppression

Données supprimées volontairement

Fichiers effacés, corbeille vidée, historiques supprimés ou disque formaté pour détruire des preuves. Nos techniques avancées permettent de retrouver les données même après effacement.

Traçabilité

Chaîne de traçabilité rompue

Preuves numériques manipulées sans protocole, copies non certifiées ou supports mal conservés. Nous rétablissons et documentons la chaîne de custody pour la recevabilité en justice.

Urgence

Urgence judiciaire ou contentieux

Procédure en cours avec délai serré, saisie informatique ordonnée par un tribunal ou enquête interne urgente. Notre équipe intervient en priorité pour respecter les échéances légales.

Comment fonctionne la récupération de données ?

Du diagnostic gratuit à la livraison sécurisée — un processus transparent en 4 étapes, entièrement réalisé dans notre laboratoire suisse.

01

Diagnostic gratuit en 3 heures

Envoyez votre support par courrier sécurisé, déposez-le dans l'un de nos 30 points de collecte en Suisse, ou apportez-le directement à notre laboratoire à Ins. Notre équipe effectue une analyse complète en 3 heures dès réception — sans frais et sans engagement.

02

Devis transparent avant intervention

Vous recevez un devis détaillé indiquant la nature de la panne, les chances de récupération et le coût exact. Vous validez avant toute intervention. Paiement complet sur réussite — seuls les frais de tentative sont facturés en cas d'échec.

03

Récupération sous flux laminaire ISO 5

Nos techniciens interviennent sous flux laminaire certifié ISO 5 avec des outils spécialisés (PC-3000). Vos données ne quittent jamais notre laboratoire suisse certifié CyberSafe et partenaire CyberSafe. Durée : 2 à 10 jours ouvrables selon la complexité.

04

Livraison sécurisée de vos données

Vos données récupérées sont restituées sur un support neuf chiffré, ou via téléchargement sécurisé selon votre préférence. Les supports originaux peuvent être détruits sur demande pour garantir la confidentialité.

Questions fréquentes

Les réponses de nos spécialistes aux questions les plus posées.

Combien coûte une analyse forensique de données et quels sont les délais ?

Le tarif d'une analyse forensique dépend de la portée de l'investigation, du type de support et du niveau d'urgence :

  • Acquisition forensique seule (clonage + rapport d'intégrité) : facturation au support traité
  • Analyse complète (acquisition + investigation + rapport d'expertise) : facturation selon la complexité et le volume de données à analyser
  • Témoignage d'expert devant un tribunal : sur devis selon la durée et la préparation requise

Les délais standard sont :

  • Acquisition forensique : sous 24 heures
  • Rapport d'analyse standard : 5 à 10 jours ouvrés
  • Rapport d'urgence (procédure judiciaire imminente) : 24 à 72 heures

Un devis détaillé est établi après évaluation gratuite du dossier. Nos tarifs sont transparents et détaillés dans notre devis — aucun frais caché.

Dans quels cas fait-on appel à un expert forensique en données numériques ?

L'expertise forensique numérique est sollicitée dans de nombreux contextes professionnels et judiciaires :

  • Litiges commerciaux — recherche de preuves de détournement, violation de clause de confidentialité, fraude interne
  • Procédures pénales — assistance judiciaire sur saisie de matériel informatique, analyse de supports saisis
  • Incidents de sécurité — analyse post-incident d'une cyberattaque, identification du vecteur d'intrusion, étendue de l'exfiltration
  • Droit du travail — recherche de preuves d'infractions commises sur le matériel de l'entreprise (harcèlement, vol de données, utilisation abusive)
  • Procédures de divorce ou familiales — récupération de preuves numériques dans le cadre de procédures civiles
  • Assurances — reconstitution d'incidents pour les déclarations de sinistre

L'analyse forensique est-elle confidentielle ? Qui a accès aux données analysées ?

La confidentialité est un principe fondamental de notre pratique forensique. Nous appliquons des règles strictes :

  • Accès restreint — seuls les techniciens en charge du dossier ont accès aux données. Chaque accès est journalisé.
  • Accord de confidentialité — un NDA (accord de non-divulgation) peut être signé sur demande avant toute intervention
  • Destruction sécurisée — après remise du rapport et accord du client, les copies de travail sont détruites par écrasement sécurisé certifié
  • Hébergement en Suisse — toutes les données restent dans notre laboratoire de Ins (BE), soumis au droit suisse sur la protection des données (LPD)
  • Certification CyberSafe — nos pratiques de sécurité sont auditées et certifiées par le label CyberSafe reconnu par la Confédération suisse

Les données récupérées lors d'une analyse forensique peuvent-elles être utilisées comme preuve en justice ?

Oui, à condition que l'analyse ait été conduite selon les normes forensiques reconnues. Pour qu'une preuve numérique soit admissible devant un tribunal suisse ou européen, plusieurs conditions doivent être réunies :

  • Intégrité des données garantie — le support original n'a pas été modifié (utilisation d'un bloqueur d'écriture matériel lors de l'acquisition)
  • Traçabilité de la chaîne de preuve — documentation de chaque manipulation depuis la saisie jusqu'à l'analyse
  • Hachage cryptographique — empreinte MD5 et SHA-256 calculée à l'acquisition pour prouver l'intégrité
  • Rapport d'expertise certifié — rédigé par un expert pouvant témoigner de sa méthodologie

Nos rapports forensiques sont rédigés selon les normes ISO/IEC 27037 (identification et collecte de preuves numériques) et peuvent être présentés devant les juridictions suisses et françaises.

Peut-on récupérer des données supprimées sur un disque dur partiellement écrasé ?

Partiellement, oui. L'écrasement d'un disque dur ne détruit pas instantanément toutes les données. Plusieurs mécanismes permettent une récupération partielle :

  • Fichiers partiellement écrasés — si seul l'en-tête ou la fin d'un fichier a été écrasé, le reste peut souvent être reconstruit
  • File carving — technique forensique qui recherche les signatures de fichiers (magic bytes) directement dans les secteurs bruts, indépendamment du système de fichiers. Efficace même après reformatage.
  • Secteurs de réserve et zones HPA — certains disques conservent des copies dans des zones inaccessibles en utilisation normale
  • Rémanence magnétique — sur les HDD anciens, des traces d'écriture précédentes peuvent parfois être détectées avec des équipements spécialisés

Un écrasement sécurisé avec plusieurs passes (standard DoD 5220.22-M ou Gutmann) rend la récupération pratiquement impossible. Un simple formatage rapide ou une suppression classique ne suffit pas.

Qu'est-ce que la récupération de données forensique et en quoi diffère-t-elle d'une récupération classique ?

La récupération de données forensique (ou investigation numérique) est un processus technique rigoureux qui vise non seulement à récupérer des données supprimées ou cachées, mais aussi à préserver la chaîne de preuve pour que ces données soient admissibles devant un tribunal.

Les différences principales avec une récupération de données classique :

Critère Récupération classique Récupération forensique
Objectif Récupérer les données Récupérer + documenter + certifier
Empreinte sur le support Minimale mais non documentée Nulle (clonage write-blocker)
Chaîne de preuve Non requise Obligatoire (hachage MD5/SHA)
Rapport Optionnel Rapport certifié requis
Valeur judiciaire Aucune Admissible en justice
Conseil

Si vous pensez que des données pourraient servir de preuve dans une procédure judiciaire, ne manipulez pas le support vous-même — tout accès non documenté peut invalider les preuves numériques.

Quelle est la procédure lors d'une expertise forensique numérique chez SOS Data Recovery ?

Notre procédure forensique suit un protocole strict en 5 étapes :

  1. Réception et documentation — enregistrement du support avec photos, numéro de série, état physique constaté. Remise d'un accusé de réception signé.
  2. Acquisition forensique — clonage bit-à-bit du support original via un write-blocker matériel certifié. Calcul des empreintes MD5 et SHA-256 sur l'image acquise. Le support original n'est jamais modifié.
  3. Analyse — investigation sur la copie de travail : récupération de fichiers supprimés, analyse des métadonnées, reconstruction de la timeline d'activité, identification des artefacts (logs, historique, registre).
  4. Documentation — chaque action est consignée dans un journal horodaté. Les fichiers pertinents sont extraits et catalogués.
  5. Rapport d'expertise — rapport détaillé incluant la méthodologie, les outils utilisés, les résultats et les conclusions, accompagné des pièces jointes numériques.
Conseil

En cas d'urgence judiciaire (saisie imminente, délai de procédure), notre service d'intervention prioritaire 24h/7j garantit une prise en charge immédiate.

Le tarif d'une analyse forensique dépend de la portée de l'investigation, du type de support et du niveau d'urgence :

  • Acquisition forensique seule (clonage + rapport d'intégrité) : facturation au support traité
  • Analyse complète (acquisition + investigation + rapport d'expertise) : facturation selon la complexité et le volume de données à analyser
  • Témoignage d'expert devant un tribunal : sur devis selon la durée et la préparation requise

Les délais standard sont :

  • Acquisition forensique : sous 24 heures
  • Rapport d'analyse standard : 5 à 10 jours ouvrés
  • Rapport d'urgence (procédure judiciaire imminente) : 24 à 72 heures

Un devis détaillé est établi après évaluation gratuite du dossier. Nos tarifs sont transparents et détaillés dans notre devis — aucun frais caché.

L'expertise forensique numérique est sollicitée dans de nombreux contextes professionnels et judiciaires :

  • Litiges commerciaux — recherche de preuves de détournement, violation de clause de confidentialité, fraude interne
  • Procédures pénales — assistance judiciaire sur saisie de matériel informatique, analyse de supports saisis
  • Incidents de sécurité — analyse post-incident d'une cyberattaque, identification du vecteur d'intrusion, étendue de l'exfiltration
  • Droit du travail — recherche de preuves d'infractions commises sur le matériel de l'entreprise (harcèlement, vol de données, utilisation abusive)
  • Procédures de divorce ou familiales — récupération de preuves numériques dans le cadre de procédures civiles
  • Assurances — reconstitution d'incidents pour les déclarations de sinistre

La confidentialité est un principe fondamental de notre pratique forensique. Nous appliquons des règles strictes :

  • Accès restreint — seuls les techniciens en charge du dossier ont accès aux données. Chaque accès est journalisé.
  • Accord de confidentialité — un NDA (accord de non-divulgation) peut être signé sur demande avant toute intervention
  • Destruction sécurisée — après remise du rapport et accord du client, les copies de travail sont détruites par écrasement sécurisé certifié
  • Hébergement en Suisse — toutes les données restent dans notre laboratoire de Ins (BE), soumis au droit suisse sur la protection des données (LPD)
  • Certification CyberSafe — nos pratiques de sécurité sont auditées et certifiées par le label CyberSafe reconnu par la Confédération suisse

Oui, à condition que l'analyse ait été conduite selon les normes forensiques reconnues. Pour qu'une preuve numérique soit admissible devant un tribunal suisse ou européen, plusieurs conditions doivent être réunies :

  • Intégrité des données garantie — le support original n'a pas été modifié (utilisation d'un bloqueur d'écriture matériel lors de l'acquisition)
  • Traçabilité de la chaîne de preuve — documentation de chaque manipulation depuis la saisie jusqu'à l'analyse
  • Hachage cryptographique — empreinte MD5 et SHA-256 calculée à l'acquisition pour prouver l'intégrité
  • Rapport d'expertise certifié — rédigé par un expert pouvant témoigner de sa méthodologie

Nos rapports forensiques sont rédigés selon les normes ISO/IEC 27037 (identification et collecte de preuves numériques) et peuvent être présentés devant les juridictions suisses et françaises.

Partiellement, oui. L'écrasement d'un disque dur ne détruit pas instantanément toutes les données. Plusieurs mécanismes permettent une récupération partielle :

  • Fichiers partiellement écrasés — si seul l'en-tête ou la fin d'un fichier a été écrasé, le reste peut souvent être reconstruit
  • File carving — technique forensique qui recherche les signatures de fichiers (magic bytes) directement dans les secteurs bruts, indépendamment du système de fichiers. Efficace même après reformatage.
  • Secteurs de réserve et zones HPA — certains disques conservent des copies dans des zones inaccessibles en utilisation normale
  • Rémanence magnétique — sur les HDD anciens, des traces d'écriture précédentes peuvent parfois être détectées avec des équipements spécialisés

Un écrasement sécurisé avec plusieurs passes (standard DoD 5220.22-M ou Gutmann) rend la récupération pratiquement impossible. Un simple formatage rapide ou une suppression classique ne suffit pas.

La récupération de données forensique (ou investigation numérique) est un processus technique rigoureux qui vise non seulement à récupérer des données supprimées ou cachées, mais aussi à préserver la chaîne de preuve pour que ces données soient admissibles devant un tribunal.

Les différences principales avec une récupération de données classique :

Critère Récupération classique Récupération forensique
Objectif Récupérer les données Récupérer + documenter + certifier
Empreinte sur le support Minimale mais non documentée Nulle (clonage write-blocker)
Chaîne de preuve Non requise Obligatoire (hachage MD5/SHA)
Rapport Optionnel Rapport certifié requis
Valeur judiciaire Aucune Admissible en justice
Conseil

Si vous pensez que des données pourraient servir de preuve dans une procédure judiciaire, ne manipulez pas le support vous-même — tout accès non documenté peut invalider les preuves numériques.

Notre procédure forensique suit un protocole strict en 5 étapes :

  1. Réception et documentation — enregistrement du support avec photos, numéro de série, état physique constaté. Remise d'un accusé de réception signé.
  2. Acquisition forensique — clonage bit-à-bit du support original via un write-blocker matériel certifié. Calcul des empreintes MD5 et SHA-256 sur l'image acquise. Le support original n'est jamais modifié.
  3. Analyse — investigation sur la copie de travail : récupération de fichiers supprimés, analyse des métadonnées, reconstruction de la timeline d'activité, identification des artefacts (logs, historique, registre).
  4. Documentation — chaque action est consignée dans un journal horodaté. Les fichiers pertinents sont extraits et catalogués.
  5. Rapport d'expertise — rapport détaillé incluant la méthodologie, les outils utilisés, les résultats et les conclusions, accompagné des pièces jointes numériques.
Conseil

En cas d'urgence judiciaire (saisie imminente, délai de procédure), notre service d'intervention prioritaire 24h/7j garantit une prise en charge immédiate.

Page 1 / 2
Le saviez-vous ?
Chaque action effectuée sur un ordinateur laisse des traces numériques, même après suppression. Pourquoi ? Parce que les systèmes d'exploitation enregistrent automatiquement des métadonnées, des journaux système et des fichiers temporaires que l'utilisateur ne peut pas facilement effacer. C'est la raison pour laquelle un expert en forensique numérique peut reconstituer la chronologie complète des événements. Ces preuves sont recevables devant les tribunaux suisses et européens, à condition que la chaîne de traçabilité ait été respectée dès la saisie du support.
Que faut-il absolument éviter ?
N'allumez pas l'ordinateur suspect et ne tentez jamais de copier vous-même les fichiers, car chaque manipulation modifie les métadonnées (date d'accès, registres système) et peut invalider les preuves devant un tribunal. Ne confiez pas le support à un technicien non spécialisé en forensique, car une mauvaise manipulation rompt la chaîne de traçabilité de manière irréversible. Seul un protocole certifié garantit la recevabilité des éléments de preuve.
L'investigation forensique est-elle toujours possible ?
L'investigation forensique numérique n'est pas toujours concluante. En cas d'appareil chiffré (BitLocker, FileVault) sans la coopération du propriétaire ou sans clé de déchiffrement, l'accès aux données peut être impossible. Si les données ont été écrasées par de nouvelles écritures, les preuves originales sont irrémédiablement perdues. De même, un support physiquement détruit au-delà de toute récupération (broyé, fondu, incinéré) ne permettra pas d'extraire les preuves. C'est pourquoi il est crucial d'agir rapidement et de ne jamais manipuler le support avant l'intervention d'un expert.
Disponible 24h/24

Besoin d'une investigation forensique en urgence ?

Fraude détectée, enquête interne urgente, procédure judiciaire en cours — notre équipe d'experts forensiques intervient en urgence pour préserver et analyser les preuves numériques. Diagnostic en 3 heures au lieu des 24-48h habituels du secteur.

+41 840 440 840 Confier mon support Estimez le coût en ligne