Résumé exécutif

Dans un dossier cloud, la perte probatoire arrive souvent avant la perte technique: versions écrasées, journaux expirés, partages modifiés, permissions altérées. La bonne réaction n’est pas “tout télécharger”, mais préserver rapidement les versions, geler les journaux critiques et documenter qui a accès à quoi. [1] [2] [3] [4] [5]

La règle opérationnelle: versions + logs + partages doivent être traités ensemble. Isoler un seul axe donne des analyses incomplètes et contestables. [6] [7] [8] [9] [10]

Versions: quoi préserver immédiatement

  • Historique de versions des documents sensibles.
  • Snapshots/points de restauration pertinents (infrastructure ou stockage).
  • Exports des états avant remédiation.

Sans versions, il est difficile de démontrer quand un contenu a été modifié, par qui et avec quel impact. [1] [2] [3]

Logs: lesquels sont prioritaires

  1. Authentification et risques d’accès (sign-ins, anomalies, MFA).
  2. Activités d’administration (changement de rôles, permissions, apps).
  3. Accès et actions sur objets (download/share/delete).
  4. Événements de plateforme (API, consoles, opérations critiques).

Ces logs construisent la timeline. Ils doivent être exportés tôt car la rétention et la disponibilité varient selon plateformes et licences. [5] [6] [7] [8]

Partages: l’angle mort le plus coûteux

Les litiges cloud impliquent souvent des partages externes, liens publics, délégations et droits hérités. Si ces éléments ne sont pas capturés au début, il devient difficile de prouver l’exposition réelle d’un document. [6] [9]

Il faut documenter non seulement “qui a le droit”, mais “qui a utilisé ce droit” et quand. [6] [8]

Playbook 0–24h

0–2h

  • Incident ID, périmètre initial, responsable preuve.
  • Gel des purges/rotations critiques.
  • Début des exports d’audit et captures d’état de partage.

2–8h

  • Consolidation des versions/snapshots/exports.
  • Normalisation UTC et inventaire des sources collectées.
  • Première corrélation accès-identité-objet.

8–24h

  • Timeline initiale et hypothèses prioritaires.
  • Liste des limites (trous de logs, droits manquants, latence).
  • Décision d’escalade expert si nécessaire.

Erreurs fréquentes

  • Supposer que la rétention “par défaut” couvre le besoin du dossier.
  • N’analyser que les fichiers sans les logs d’accès.
  • Confondre accès autorisé et accès effectivement utilisé.
  • Corriger trop tôt la configuration et perdre l’état initial.

Ce qu’un rapport défendable doit contenir

Un rapport cloud crédible présente: sources collectées, méthodes d’export, fenêtre temporelle, couverture réelle, limites, et corrélations démontrables. L’objectif n’est pas le volume, mais la traçabilité de la preuve. [4] [5]

Conseil pratique: si vous n’avez pas capturé les versions et partages avant la remédiation, vous perdez souvent la partie la plus explicative du dossier.

Incertitudes et limites

Chaque environnement cloud applique ses propres contraintes de rétention, latence d’ingestion et droits d’accès. Les conclusions doivent intégrer ces contraintes explicitement, sinon la chronologie devient contestable. [1] [2] [3] [6] [8]

Références

  1. AWS — Collect and analyze forensic evidencehttps://docs.aws.amazon.com/security-ir/latest/userguide/collect-analyze-forensic-evidence.html
  2. Azure — Computer Forensics Chain of Custodyhttps://learn.microsoft.com/en-us/azure/architecture/example-scenario/forensics/
  3. Google Cloud forensicshttps://cloud.google.com/transform/how-google-does-it-collecting-and-analyzing-cloud-forensics
  4. NIST SP 800-86https://csrc.nist.gov/pubs/sp/800/86/final
  5. NIST SP 800-92https://csrc.nist.gov/pubs/sp/800/92/final
  6. Microsoft Purview audit searchhttps://learn.microsoft.com/en-us/purview/audit-search
  7. Microsoft Entra sign-in logshttps://learn.microsoft.com/en-us/entra/identity/monitoring-health/concept-sign-ins
  8. Office 365 Activity APIhttps://learn.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-reference
  9. Slack data exporthttps://slack.com/help/articles/201658943-Export-your-workspace-data
  10. Discord transparencyhttps://discord.com/safety-transparency

Articles qui pourraient vous intéresser