1Le triangle de la sécurité que l’on connaît bien présente trois facettes : vulnérabilités et management du risque, détection d’incident et réponse en cas d’incident et, troisièmement, l’investigation numérique. Durant les cinq dernières années, cette dernière thématique a pris un essor fantastique dans les pays anglophones. Nous en voulons pour preuve le grand nombre d’entreprises qui développent et commercialisent des outils informatiques répondant à des besoins spécifiques de ce domaine. En plus des formations organisées par les grands éditeurs de logiciel du milieu, quelques hautes écoles aux États-Unis et en Grande-Bretagne offrent la possibilité de se former dans cette spécialité.
2Le domaine de l’investigation numérique demeure pour le moment un peu plus confidentiel dans le monde francophone. Heureusement, la situation évolue. Les éditeurs de logiciels très spécialisés de ce domaine comptent maintenant un Européen parmi eux et une formation francophone a été portée sur les fonds baptismaux. L’Institut de lutte contre la criminalité économique (www.ilce.ch) de la Haute école de gestion Arc (HEG Arc) de Neuchâtel (Suisse) vient en effet de compléter sa panoplie de cours postgrade en lançant un Certificate of Advanced Studies en investigation numérique, première et seule formation d’une haute école dispensée en français dans le domaine. La première volée franco-suisse d’étudiants terminera sa formation au printemps de cette année 2010.
Le programme d’études est découpé en trois axes : droit, informatique et ateliers de mise en pratique
3La partie juridique est consacrée à l’étude de thèmes que tout investigateur est censé bien maîtriser : procédure pénale (avec un accent mis sur la problématique de la preuve dans le domaine informatique), droit pénal informatique (exposé des principales infractions informatiques avec leurs éléments constitutifs), perquisition de documents et enregistrements, séquestre (saisie de matériel informatique), expertise (analyse détaillée des droits et obligations de l’expert), entraide internationale en matière pénale. Les cours sont basés sur le droit suisse, mais des adaptations sont prévues en fonction de l’origine des participants.
4En informatique, après une introduction à la preuve numérique et un approfondissement des connaissances de base que doivent posséder les étudiants en typologie des ordinateurs, réseaux, dangers et menaces liés à l’Internet, cryptologie, on entre dans le vif du sujet en étudiant les méthodes permettant d’acquérir les données d’un ordinateur d’une façon recevable par un tribunal. Pour atteindre cet objectif, les étudiants doivent maîtriser la façon dont chacun des systèmes de fichiers qu’ils pourraient être amenés à rencontrer fonctionne dans le détail. Ils doivent savoir quelles en sont les faces cachées, où sont dissimulées des informations de dates ou autres qui pourraient s’avérer très utiles à retracer dans le cadre d’enquêtes, comment les fichiers sont manipulés, ce qu’il en reste une fois que l’utilisateur les a effacés, a formaté son média ou a entrepris différents actes pour essayer de masquer des informations qu’il tient à cacher à la Justice. Cette étude des systèmes de fichiers les plus utilisés – FAT, NTFS, EXT2/3, HFS – est bien sûr complétée par de nombreux exercices pratiques qui permettent aux apprenants de vérifier qu’ils ont correctement acquis les fondements théoriques.
5Une partie de la troisième semaine de la formation est consacrée aux investigations dans les téléphones, les PDA (agendas électroniques) et autres objets familiers qui sont remplis d’informations numériques. Ces bijoux de technologies modernes sont en évolution constante et il est très difficile d’obtenir de la documentation technique de la part des concepteurs qui craignent la concurrence et tiennent donc à garder le plus secret possible le fonctionnement réel de leurs « gadgets ». Si l’écoute téléphonique a été pendant le dernier siècle un outil précieux pour les forces de l’ordre, c’est son successeur du vingt-et-unième siècle qu’il faut maintenant appréhender : l’écoute ou la surveillance réseau, un vaste programme et des techniques en pleine mutation. En quatrième semaine, l’accent de la formation est porté sur les techniques actuelles d’investigation en « live », c’est-à-dire d’étude de l’ordinateur quand il est en fonction. Ces toutes nouvelles techniques, qui ont pour but de lutter contre les disques chiffrés notamment, permettent aux enquêteurs de réussir même quand ils sont opposés à des professionnels avertis. Il n’est malheureusement pas possible de décrire ces techniques en détail ici, car, dans ce domaine, la connaissance est une arme redoutable !
6Des cas d’école, partagés avec des magistrats, permettent d’apprendre aussi à rédiger des rapports techniques compréhensibles et qui répondent aux questions posées par la Justice. Cette formation offre aussi aux étudiants de nombreux moments pour échanger leurs expériences et leurs connaissances du domaine.
7Pratiquement, la formation compte environ 160 leçons dispensées sur une durée de six à huit mois environ, complétées par du travail personnel et à distance. Les leçons sont dispensées en six sessions de trois jours ou en un cours de quatre semaines, consécutives ou espacées dans les temps, en fonction de la provenance des participants. La première promotion est composée exclusivement de personnes engagées dans la poursuite pénale. Il est toutefois prévu de mettre sur pied une option destinée à former des investigateurs privés en entreprise. Début de la prochaine formation : 4 octobre 2010.
8Pour tout renseignement : Haute école de gestion Arc, +41 32 930 20 20 ou info@ilce.ch.