Fonctionnellement et sémantiquement, on divise généralement « l’analyse d’ordinateur » en quatre activités distinctes :- la récupération de données (aussi appelée « recouvrement de données ») ;- l’e-discovery ;- l’intervention sur incident (incident response) ;- l’analyse forensique.Ces quatre activités utilisent souvent des outils et méthodes similaires, et c’est précisément pour cette raison qu’il convient de bien les définir pour en comprendre les différences sans faire de confusion.
1. La récupération de données
La récupération de données fait généralement suite à un accident fortuit et involontaire.
Cet accident peut être purement matériel ; le cas le plus fréquent est une panne de disque dur, éventuellement dans un contexte de sinistre plus global (incendie, dégât des eaux, effondrement suite à un attentat, etc.).
L’accident peut également être logiciel, et, dans ce cas, les origines sont extrêmement variées : effacement involontaire de fichiers, formatage intempestif, écrasement partiel de données tierces par l’enregistrement en continu d’un « gros » fichier (vidéo, copie bit à bit, etc.), corruption d’un fichier qui « explose » à force de grossir (fichier Exchange de plusieurs téra-octets, fichier Powerpoint contenant plusieurs milliers d’images, base de données, fichier qui dépasse la taille maximale autorisée par les spécifications du système de fichiers, etc.), corruption de la structure du support...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première