💿 Copie forensique
Réplique bit-à-bit exacte d’un support de données préservant toutes les informations
📁 Glossaire › Preuves numériques & Intégrité • Public visé : avocats, enquêteurs • Mise à jour : février 2026
🔎 Définition rapide
Une copie forensique (ou image forensique) est une réplique exacte, bit par bit, d’un support de stockage numérique. Contrairement à une simple copie de fichiers, elle capture l’intégralité du support : fichiers visibles, fichiers supprimés, espaces non alloués, métadonnées système et secteurs défectueux. C’est la méthode standard pour préserver les preuves numériques.
📋 Copie forensique vs copie standard
| Aspect | Copie forensique | Copie standard (Explorer) |
|---|---|---|
| Contenu | Tout le support bit par bit | Fichiers visibles seulement |
| Fichiers supprimés | ✅ Inclus et récupérables | ❌ Perdus |
| Métadonnées | ✅ Préservées intégralement | ❌ Modifiées (dates d’accès) |
| Espace non alloué | ✅ Capturé | ❌ Ignoré |
| Vérification | Hash SHA-256 calculé | Aucune |
| Valeur juridique | ⭐⭐⭐ Élevée | ⭐ Faible |
⚖️ Importance juridique
La copie forensique est la méthode reconnue par les tribunaux pour préserver l’intégrité des preuves numériques.
- LCCJTI art. 17 — Le transfert d’un document d’un support à un autre doit préserver l’intégrité. Une copie forensique satisfait cette exigence.
- Norme ISO 27037 — Standard international pour l’identification, la collecte et la préservation des preuves numériques.
Principe clé : L’original n’est jamais manipulé directement. Toute analyse se fait sur la copie forensique, préservant ainsi l’original intact pour vérification ultérieure.
🔧 Outils et formats
| Outil | Format | Usage |
|---|---|---|
| FTK Imager | .E01, .dd | Standard industrie, gratuit |
| EnCase | .E01 | Outil professionnel complet |
| Cellebrite | Propriétaire | Forensique mobile |
| dd (Linux) | .dd, .raw | Outil ligne de commande |
✅ Bonnes pratiques
- Utiliser un bloqueur d’écriture
- Calculer le hash avant ET après
- Documenter le processus complet
- Stocker l’original séparément
- Vérifier l’intégrité régulièrement
❌ Erreurs à éviter
- Copier-coller via l’explorateur
- Travailler sur l’original
- Omettre la vérification du hash
- Ne pas documenter la chaîne de custody
- Utiliser des outils non forensiques
📦 Cas vécu (anonymisé)
Vol de propriété intellectuelle
Un employé quitte l’entreprise et emporte des fichiers confidentiels. L’expert forensique :
- Crée une copie forensique du disque dur avec bloqueur d’écriture
- Calcule le hash SHA-256 et le documente
- Analyse la copie pour retrouver les fichiers supprimés et l’historique USB
- Identifie les fichiers copiés vers une clé USB le jour du départ
Résultat : La copie forensique préserve les preuves des fichiers supprimés et des traces USB. L’entreprise obtient une injonction.
🔗 Termes reliés
💿 Besoin d’une copie forensique certifiée?
Nos experts réalisent des copies forensiques conformes aux normes ISO 27037, avec documentation complète de la chaîne de custody pour utilisation en tribunal.
Sans frais : 1-888-796-8706 • Courriel : expertise@firmeh2e.com
Dernière mise à jour : février 2026 • Ce glossaire fournit des définitions à titre informatif et ne constitue pas un avis juridique.
