Questions fréquentes
Les spécialistes vous répondent.
FAQ : #write-blocker
Consultez notre FAQ pour obtenir des réponses aux questions les plus fréquemment posées. Si vous ne trouvez pas la réponse à votre question ou si vous avez besoin d’informations complémentaires, notre équipe est à votre disposition pour vous assister directement.
La récupération de données forensique (ou investigation numérique) est un processus technique rigoureux qui vise non seulement à récupérer des données supprimées ou cachées, mais aussi à préserver la chaîne de preuve pour que ces données soient admissibles devant un tribunal.
Les différences principales avec une récupération de données classique :
| Critère | Récupération classique | Récupération forensique |
|---|---|---|
| Objectif | Récupérer les données | Récupérer + documenter + certifier |
| Empreinte sur le support | Minimale mais non documentée | Nulle (clonage write-blocker) |
| Chaîne de preuve | Non requise | Obligatoire (hachage MD5/SHA) |
| Rapport | Optionnel | Rapport certifié requis |
| Valeur judiciaire | Aucune | Admissible en justice |
Notre procédure forensique suit un protocole strict en 5 étapes :
- Réception et documentation — enregistrement du support avec photos, numéro de série, état physique constaté. Remise d'un accusé de réception signé.
- Acquisition forensique — clonage bit-à-bit du support original via un write-blocker matériel certifié. Calcul des empreintes MD5 et SHA-256 sur l'image acquise. Le support original n'est jamais modifié.
- Analyse — investigation sur la copie de travail : récupération de fichiers supprimés, analyse des métadonnées, reconstruction de la timeline d'activité, identification des artefacts (logs, historique, registre).
- Documentation — chaque action est consignée dans un journal horodaté. Les fichiers pertinents sont extraits et catalogués.
- Rapport d'expertise — rapport détaillé incluant la méthodologie, les outils utilisés, les résultats et les conclusions, accompagné des pièces jointes numériques.