Au cours des dix dernières années, le nombre d’internautes a explosé. Aux États-Unis, trois personnes sur trois utilisent Internet dans le cadre de leurs activités ou à des fins professionnelles. Presque chaque jour, le nombre de personnes utilisant Internet augmente, ce qui signifie que le nombre d'activités illégales comme le vol d'identité, la fraude et le vol de données augmente également. 

Network Forensics implique la capture, l’enregistrement et l’analyse des paquets réseau pour déterminer l’origine des attaques de sécurité. Une enquête médico-légale sur les réseaux comprend également la détection des modèles d'intrusion et l'enquête sur les activités d'attaque. L'analyse du trafic réseau nécessite de collecter des données provenant de divers sites et de divers équipements réseau tels que des pare-feu et des systèmes de détection d'intrusion. En outre, l’analyse judiciaire des réseaux peut être utilisée pour surveiller, prévenir et analyser les attaques potentielles.

Une enquête médico-légale sur le réseau est utile pour identifier les fuites, les vols ou le trafic suspect sur le réseau. Ce type d'enquête vise à identifier et analyser le trafic sur un réseau soupçonné d'être compromis par des cybercriminels.

Besoin d'analyse judiciaire des réseaux

De nombreuses organisations ont augmenté le nombre d'appareils sur leurs réseaux et installé des ports haut débit. Aux débuts des réseaux d’entreprise, les ordinateurs dominaient. De nos jours, les réseaux permettent de connecter plus d’appareils qu’auparavant grâce aux smartphones et aux appareils connectés à Internet. Un nombre croissant d’appareils sur le réseau augmente les surfaces d’attaque. Les menaces d’aujourd’hui sont également plus sophistiquées et subtiles. Les attaquants passent aujourd’hui beaucoup de temps à échapper à la détection lors des attaques modernes. La plupart du temps, l’exfiltration de données ne déclenche pas d’alerte car elle se produit en volumes limités et est cryptée. En raison de ces problèmes, les enquêtes médico-légales sont beaucoup plus difficiles et complexes, et des enquêteurs formés et des outils avancés sont essentiels pour mener une enquête adéquate sur une attaque. 

Grâce à l'investigation du réseau, une organisation dispose de nombreuses informations sur la façon dont son trafic circule à travers le réseau. Dans ce cas, les enquêteurs ont la possibilité de parcourir le réseau et d’approfondir les détails. Il s’agit généralement d’un processus en deux étapes. La première étape consiste à collecter des données. Divers outils de recherche doivent rechercher des informations spécifiques sur la base des données collectées sur le réseau et des métadonnées indexées et extraites de celui-ci. Après avoir rassemblé les informations qui vous intéressent, l’étape suivante consiste à rechercher les données. 

Importance de l’analyse judiciaire du réseau

La capture du trafic réseau sur un réseau est relativement simple en théorie mais extrêmement difficile en pratique en raison de nombreux facteurs inhérents. Un protocole Internet est très complexe et il existe un grand nombre de flux de données dans un réseau. Le processus d’enregistrement du trafic réseau nécessite beaucoup de ressources. En raison du volume élevé de données circulant sur les réseaux, il peut ne pas être possible d'enregistrer toutes les données. Il est essentiel de sauvegarder ces données enregistrées sur des supports gratuits pour une analyse ultérieure.

L’analyse des données enregistrées est très importante et prend beaucoup de temps. À des fins médico-légales, il existe de nombreux outils d’analyse automatisés, mais aucun n’est infaillible. Un attaquant peut facilement faire passer du trafic malveillant pour du trafic réel si les outils ne sont pas programmés correctement. Il est également essentiel de faire appel au jugement humain puisque les outils automatisés d’analyse du trafic peuvent produire des faux positifs.

L'analyse médico-légale d'un réseau est nécessaire pour déterminer comment une attaque s'est produite et en retracer l'origine. Un enquêteur doit suivre un processus d’enquête approprié pour produire les preuves obtenues par l’enquêteur devant le tribunal.

Types d'analyse judiciaire des réseaux

TCP/IP : les protocoles de couche réseau tels que le protocole Internet (IP) sont chargés de diriger les paquets TCP à travers le réseau (par exemple, Internet) en combinant les informations source et de destination, puis en les transmettant aux routeurs sur tout le réseau. Les méthodes IP sont également applicables aux réseaux de paquets cellulaires, tels que GPRS, car elles utilisent des protocoles similaires.

Internet : plusieurs types de preuves numériques peuvent être obtenus sur Internet, notamment la navigation sur le Web, le courrier électronique, les groupes de discussion, le chat synchrone et la communication peer-to-peer. Un examen des journaux du serveur Web peut montrer dans quelles circonstances (ou si) les suspects ont accédé à des informations criminelles pertinentes. Il est possible de prouver l’origine exacte de documents incriminants grâce à l’investigation du courrier électronique, car les en-têtes des courriers électroniques sont facilement falsifiés et peuvent donc contenir des preuves précieuses. Grâce à l'investigation du réseau, des informations sur le compte utilisateur peuvent être extraites en fonction du trafic sur un service réseau afin de déterminer qui utilise un ordinateur particulier.

Ethernet : l'utilisateur peut filtrer les événements en fonction des données de cette couche. Il n'est possible de reconstruire les pages d'un site Web, les pièces jointes aux e-mails et tout autre trafic réseau que s'ils ne sont pas cryptés lors de la transmission ou de la réception. La collecte de données à ce niveau est avantageuse car les données se connectent directement à un hôte.

Analyse du trafic crypté : une analyse du trafic crypté inspecte le trafic pour déterminer s'il contient du trafic malveillant tel que des logiciels malveillants ou d'autres menaces en détectant les caractéristiques TLS suspectes, telles que celles provenant de réseaux ou de serveurs inhabituels. Une autre méthode d'analyse du trafic crypté consiste à créer des bases de données d'empreintes digitales basées sur les données générées, mais cette méthode a été critiquée comme étant facilement contournée par les pirates et inexacte.

Analyse médico-légale des réseaux : aperçu du marché

Le marché mondial de la médecine légale des réseaux devrait croître à un TCAC d’environ 18,9 % au cours de la période de prévision 2021-2027. 

Analyse régionale : le marché mondial de la criminalistique des réseaux

Le rapport fournit une analyse régionale du marché mondial de la criminalistique des réseaux en fonction des régions, notamment l’Amérique du Nord, l’Europe, l’Asie-Pacifique (APAC), le Moyen-Orient et l’Afrique (MEA) et l’Amérique latine. L’Amérique du Nord et l’Europe devraient générer le plus de revenus pour les fournisseurs de solutions d’investigation de réseaux. Cela résulte principalement de l’importance accordée à l’échelle mondiale à la recherche et au développement (R&D) et aux technologies de sécurité, en particulier dans les économies développées des États-Unis et du Canada. La région Asie-Pacifique connaîtra probablement la croissance la plus rapide du marché. Adoption croissante des appareils Internet des objets et des politiques Bring Your Device au sein des organisations pour stimuler la croissance dans cette région.

Analyse de segmentation : le marché de la criminalistique des réseaux

Le marché mondial de l’investigation des réseaux est segmenté en fonction de l’application, de la solution, de la taille de l’organisation, du modèle de déploiement et de la verticale. 

Segmentation basée sur la solution :

• Solutions
• Système de détection d'intrusion (IDS)/Système de prévention d'intrusion (IPS)
• Gestion des informations et des événements de sécurité (SIEM)
• Renseignements sur les menaces
• Analyse de capture de paquets
• Analytique
• Gestion des journaux
• Pare-feu
• Services
• Services de conseil en services professionnels
• Formation et éducation
• Conception et intégration
• Assistance et maintenance
• Services de réponse aux incidents
• Services gérés

Segmentation basée sur le domaine d'application :

• Sécurité des points de terminaison
• Sécurité du réseau
• Sécurité du centre de données
• Sécurité des applications
• Autres (sécurité Web et sécurité des bases de données)

Segmentation basée sur le mode de déploiement:

• Nuage
• Sur site

Segmentation basée sur la taille de l'organisation :

• Petites et moyennes entreprises (PME)
• Grandes entreprises

Segmentation basée sur la verticale :

• Fabrication
• Soins de santé
• Énergie et services publics
• Banque, Services Financiers et Assurances (BFSI)
• Gouvernement
• Éducation
• Télécom et informatique
• Vente au détail
• Autres (médias et divertissement, aérospatiale et défense, et hôtellerie)

Acteurs clés du marché et leurs évolutions : le marché mondial de la criminalistique des réseaux

Les principaux acteurs clés et leurs évolutions sur le marché mondial de la criminalistique des réseaux :

Acteurs clés :

• Systèmes Cisco
• Oeil de feu
• Société IBM
• Société Symantec
• Systèmes Netscout
• EMC RSA

Développements clés dans la région :  

En février 2017 : une société Dell Technologies, l'architecture RSA Business-Driven Security offre aux clients une nouvelle façon de gérer les cyber-risques et de protéger leurs actifs les plus précieux. Grâce à cette architecture et aux plusieurs solutions proposées, les organisations de toute taille peuvent mieux contrôler leurs risques, plus rapidement et plus efficacement. En plus des solutions RSA Business-Driven Security, les solutions RSA annoncées incluent également des fonctionnalités de détection des menaces, d'assurance de l'identité, de prévention de la fraude des consommateurs et de gestion des risques commerciaux.