Ces dix dernières années, le nombre d'internautes a explosé. Aux États-Unis, trois personnes sur trois utilisent Internet à des fins personnelles ou professionnelles. Presque chaque jour, le nombre d'utilisateurs d'Internet augmente, ce qui entraîne une hausse des activités illégales telles que l'usurpation d'identité, la fraude et le vol de données. 

L'analyse forensique des réseaux consiste à capturer, enregistrer et analyser les paquets réseau afin de déterminer l'origine des attaques de sécurité. Une enquête forensique sur les réseaux comprend également la détection des schémas d'intrusion et l'étude des activités d'attaque. L'analyse du trafic réseau nécessite la collecte de données provenant de divers sites et équipements réseau, tels que les pare-feu et les systèmes de détection d'intrusion. De plus, l'analyse forensique des réseaux peut être utilisée pour surveiller, prévenir et analyser les attaques potentielles.

Une analyse forensique de réseau est utile pour identifier les fuites, les vols ou le trafic suspect sur un réseau. Ce type d'enquête vise à identifier et analyser le trafic sur un réseau soupçonné d'avoir été compromis par des cybercriminels.

Nécessité de l'analyse forensique des réseaux

De nombreuses organisations ont augmenté le nombre d'appareils connectés à leurs réseaux et installé des ports haut débit. À l'époque des premiers réseaux d'entreprise, les ordinateurs étaient prédominants. Aujourd'hui, grâce aux smartphones et aux objets connectés à Internet, les réseaux permettent de connecter bien plus d'appareils qu'auparavant. Cette augmentation du nombre d'appareils sur le réseau accroît la surface d'attaque. Les menaces actuelles sont également plus sophistiquées et subtiles. Les attaquants consacrent aujourd'hui beaucoup de temps à échapper à la détection dans les attaques modernes. Le plus souvent, l'exfiltration de données ne déclenche pas d'alertes car elle concerne des volumes limités et est chiffrée. De ce fait, les enquêtes numériques sont beaucoup plus difficiles et complexes, et des enquêteurs formés ainsi que des outils avancés sont indispensables pour mener à bien une investigation suite à une attaque. 

L'analyse forensique du réseau offre à une organisation une visibilité précieuse sur le flux de trafic de son réseau. Les enquêteurs peuvent alors explorer le réseau et approfondir leurs recherches. Ce processus se déroule généralement en deux étapes. La première consiste à collecter des données. Différents outils de recherche permettent d'identifier des informations spécifiques à partir des données collectées sur le réseau et des métadonnées indexées et extraites. Une fois les informations pertinentes rassemblées, la seconde étape consiste à rechercher les données. 

Importance de l'analyse forensique des réseaux

La capture du trafic réseau est relativement simple en théorie, mais extrêmement complexe en pratique en raison de nombreux facteurs inhérents. Le protocole Internet est très complexe et le flux de données sur un réseau est considérable. L'enregistrement du trafic réseau est gourmand en ressources. Compte tenu du volume important de données circulant sur les réseaux, il est parfois impossible de tout enregistrer. Il est donc essentiel de sauvegarder ces données enregistrées sur un support libre pour une analyse ultérieure.

L'analyse des données enregistrées est primordiale et chronophage. De nombreux outils d'analyse automatisés existent à des fins de criminalistique numérique, mais aucun n'est infaillible. Un attaquant peut facilement faire passer du trafic malveillant pour du trafic légitime si les outils sont mal programmés. Le recours au jugement humain est également essentiel, car les outils d'analyse de trafic automatisés peuvent générer de faux positifs.

L'analyse forensique d'un réseau est essentielle pour déterminer le déroulement d'une attaque et en retracer l'origine. Un enquêteur doit suivre une procédure rigoureuse afin de pouvoir présenter les preuves recueillies devant un tribunal.

Types d'analyse forensique des réseaux

TCP/IP : Les protocoles de la couche réseau, tels que le protocole Internet (IP), acheminent les paquets TCP à travers le réseau (par exemple, Internet) en combinant les informations de source et de destination, puis en les transmettant aux routeurs du réseau. Les méthodes IP sont également applicables aux réseaux de communication cellulaire, tels que le GPRS, car ils utilisent des protocoles similaires.

Internet : Plusieurs types de preuves numériques peuvent être obtenus sur Internet, notamment la navigation web, la messagerie électronique, les forums de discussion, les conversations instantanées et les communications peer-to-peer. L’examen des journaux de serveurs web peut révéler si des suspects ont accédé à des informations pertinentes pour une affaire criminelle. Il est possible de prouver l’origine exacte de documents compromettants grâce à l’analyse forensique des courriels, car les en-têtes de courriel sont facilement falsifiables et peuvent donc contenir des preuves précieuses. L’analyse forensique des réseaux permet d’extraire des informations sur le compte utilisateur à partir du trafic réseau afin de déterminer qui utilise un ordinateur donné.

Ethernet : L’utilisateur peut filtrer les événements en fonction des données de cette couche. La reconstitution des pages web, des pièces jointes aux courriels et autres données de trafic réseau n’est possible que si elles ne sont pas chiffrées lors de leur transmission ou de leur réception. La collecte de données à ce niveau est avantageuse car les données se connectent directement à un hôte.

Analyse du trafic chiffré : L’analyse du trafic chiffré examine ce dernier afin de déterminer s’il contient des activités malveillantes, telles que des logiciels malveillants ou d’autres menaces, en détectant les caractéristiques TLS suspectes, notamment celles provenant de réseaux ou de serveurs inhabituels. Une autre méthode d’analyse consiste à créer des bases de données d’empreintes numériques à partir des données générées, mais elle est critiquée pour sa facilité de contournement par les pirates et son manque de précision.

Analyse forensique des réseaux : aperçu du marché

Le marché mondial de l'analyse forensique des réseaux devrait croître à un TCAC d'environ 18,9 % au cours de la période de prévision allant de 2021 à 2027. 

Analyse régionale : le marché mondial de l'analyse forensique des réseaux

Le rapport propose une analyse régionale du marché mondial de l'analyse forensique des réseaux, segmentée par régions : Amérique du Nord, Europe, Asie-Pacifique (APAC), Moyen-Orient et Afrique (MEA) et Amérique latine. L'Amérique du Nord et l'Europe devraient générer la plus grande part des revenus pour les fournisseurs de solutions d'analyse forensique des réseaux. Cette situation s'explique principalement par l'importance accordée à la recherche et au développement (R&D) et aux technologies de sécurité à l'échelle mondiale, notamment dans les économies développées que sont les États-Unis et le Canada. La région Asie-Pacifique devrait connaître la croissance la plus rapide du marché. L'adoption croissante des objets connectés et des politiques « Apportez votre propre appareil » (BYOD) au sein des entreprises devrait stimuler cette croissance.

Analyse de segmentation : le marché de l'investigation numérique

Le marché mondial de l'analyse forensique des réseaux est segmenté en fonction de l'application, de la solution, de la taille de l'organisation, du modèle de déploiement et du secteur vertical. 

Segmentation basée sur la solution :

• Solutions
• Système de détection d'intrusion (IDS) / Système de prévention d'intrusion (IPS)
• Gestion des informations et des événements de sécurité (SIEM)
• Renseignements sur les menaces
• Analyse de capture de paquets
• Analytique
• Gestion des journaux
• Pare-feu
• Services
• services de conseil professionnels
• Formation et éducation
• Conception et intégration
• Assistance et maintenance
• Services d'intervention en cas d'incident
• Services gérés

Segmentation basée sur le domaine d'application :

• Sécurité des terminaux
• Sécurité du réseau
• Sécurité des centres de données
• Sécurité des applications
• Autres (sécurité web et sécurité des bases de données)

Segmentation basée sur le mode de déploiement:

• Nuage
• Sur site

Segmentation basée sur la taille de l'organisation :

• Petites et moyennes entreprises (PME)
• Grandes entreprises

Segmentation basée sur le secteur vertical :

• Fabrication
• Soins de santé
• Énergie et services publics
• Banque, Services Financiers et Assurances (BFSI)
• Gouvernement
• Éducation
• Télécommunications et technologies de l'information
• Vente au détail
• Autres (médias et divertissement, aérospatiale et défense, et hôtellerie)

Acteurs clés du marché et leurs développements : le marché mondial de l'analyse forensique des réseaux

Les principaux acteurs et leurs développements sur le marché mondial de l'analyse forensique des réseaux :

Acteurs clés :

• Systèmes Cisco
• Œil de feu
• Société IBM
• Société Symantec
• Systèmes Netscout
• EMC RSA

Principaux développements dans la région :  

En février 2017 : RSA, une société de Dell Technologies, a annoncé que son architecture de sécurité axée sur les besoins des entreprises offrait une nouvelle approche pour la gestion des cyber-risques et la protection des actifs les plus précieux. Grâce à cette architecture et aux différentes solutions proposées, les organisations de toutes tailles peuvent mieux maîtriser leurs risques, plus rapidement et plus efficacement. Outre les solutions de sécurité axées sur les besoins des entreprises, RSA a également annoncé des solutions de détection des menaces, de vérification d’identité, de prévention de la fraude à la consommation et de gestion des risques d’entreprise.