Lorsque les choses tournent mal, c’est généralement vers un avocat qu’on se tourne. Il est donc important que vous donniez de judicieux conseils à vos clients lorsqu’il est question de préservation des données et de juricomptabilité informatique.
L’importance d’agir rapidement
Comme l’a mentionné notre article précédent, A lawyer’s guide to digital forensics (en anglais seulement), la rapidité est de mise lorsqu’il est question de préservation des preuves. Plus la preuve est saisie rapidement, plus elle est importante.
Il arrive trop souvent qu’un membre de l’équipe de juricomptabilité informatique reçoive un ordinateur portable ayant appartenu à l’employé visé, mais qui a déjà été reconfiguré pour un autre employé depuis des mois, ou encore qu’une fuite de données ait été soupçonnée, mais que le serveur en question n’ait été mis hors ligne et isolé que plusieurs semaines ou mois plus tard. Après ce temps, tous les renseignements utiles (données supprimées, fichiers journaux, artéfacts du système d’exploitation) ont été écrasés par de nouvelles données ou purgés par le système lui-même. Cela fait de l’appareil une preuve beaucoup moins intéressante, car bien souvent, rien d’utile ne peut en être extrait.
Les disques SSD ne retiennent pas beaucoup de données supprimées
Les disques SSD sont de plus en plus utilisés dans les ordinateurs portables et de bureau, avec raison. Dix fois plus rapides que les disques durs ordinaires (plateaux magnétisés), ils sont à l’abri des champs magnétiques et des chutes. Toutefois, leur vitesse ralentit lorsqu’ils commencent à se remplir. Pour atténuer ce problème, deux techniques complémentaires ont été inventées, soit l’ajustement et la récupération de l’espace mémoire, qui effacent les données supprimées en arrière-plan pendant que l’appareil est en cours d’utilisation.
Comme le système d’exploitation n’a pas à attendre un effacement pour écrire de nouvelles données, celui-ci ayant déjà été fait en arrière-plan, la performance globale est améliorée. Le hic est que la récupération des données supprimées devient difficile, voire impossible. Cet article et celui-ci (les deux en anglais seulement) fournissent des précisions sur le fonctionnement et les solutions offertes. Le dernier des deux articles porte sur des tests effectués où, dans certains cas, absolument aucune donnée supprimée n’a pu être récupérée.
Saisir ou ne pas saisir
La taille moyenne du disque SSD d’un ordinateur portable d’entreprise est de 256 Go. Lorsque l’on tient compte de la taille de Windows 10, de Microsoft Office et d’Adobe Acrobat, il ne reste plus beaucoup d’espace disque. Cela signifie que la récupération de l’espace mémoire en arrière-plan commencera assez rapidement après la mise en service d’un ordinateur. Si vous pensez que quelque chose ne va pas, agissez rapidement et avec détermination. Dans le doute, consultez un spécialiste en juricomptabilité informatique qui saura vous offrir conseils et recommandations.
Pour en savoir plus, communiquez avec Ken Lew, Juricomptabilité et soutien en cas de litige, au 778.309.4750 ou à l’adresse [email protected].