Un forensic analyst (analyste forensique, analyste DFIR) est l'investigateur numérique d'une équipe cyber : il acquiert, préserve, analyse et interprète les preuves numériques suite à un incident — compromission, ransomware, fraude interne, vol de propriété intellectuelle, violation de données personnelles. La discipline couvre cinq domaines — host forensics, memory forensics, network forensics, mobile forensics, cloud forensics — et repose sur un arsenal d'outils spécialisés (Autopsy, Volatility 3, Velociraptor, Wireshark, Plaso, KAPE, FTK, EnCase). La rigueur méthodologique est structurante : chaîne de custody documentée, hashes d'intégrité SHA-256, write blockers matériels, adhésion aux référentiels NIST SP 800-86, ISO/IEC 27037/27041/27042/27043 et principes ACPO. Les salaires juniors 2026 s'étalent de 45 à 68 k€ bruts, atteignent 80-110 k€ en senior 5-8 ans et 110-150 k€ en lead DFIR. Le métier est en forte tension depuis 2021 sous la pression conjointe du ransomware industrialisé et des obligations NIS 2/DORA de notification d'incident. Cet article détaille la définition, les 5 disciplines, la méthodologie, la stack technique, les types de cas investigués, la spécificité française de l'expert judiciaire, le profil type et les certifications.
1. Définition et périmètre du forensic analyst
Définition opérationnelle : un forensic analyst est responsable de la reconstruction technique d'un incident cyber à partir des traces numériques laissées sur les systèmes compromis. Il produit un rapport d'investigation exploitable en interne (amélioration des défenses, compréhension du vecteur), en externe (déclaration ANSSI/CNIL/ACPR, communication clients, notification SEC ou ESA), et potentiellement en justice (plainte pénale, action civile).
Distinction forensic / incident response / SOC
| Métier | Moment d'intervention | Activité dominante | Livrable type |
|---|---|---|---|
| Analyste SOC | Temps réel, avant et pendant | Détection, triage, escalade | Ticket ou case d'incident |
| Incident responder (IR) | Pendant la crise | Confinement, éradication, restauration | Playbook exécuté, système restauré |
| Forensic analyst | Pendant et après la crise | Acquisition, analyse, reconstruction | Rapport d'investigation avec timeline |
| Threat hunter | Proactif, hors incident | Chasse aux compromissions latentes | Hypothèses validées, nouvelles détections |
En pratique, les trois rôles IR/forensic/threat hunting sont souvent fusionnés chez un même profil confirmé dans les équipes DFIR des ESN spécialisées (Mandiant, CrowdStrike Services, Orange Cyberdefense CERT, Volexity, Kroll).
2. Les cinq disciplines du digital forensics
| Discipline | Surface analysée | Artefacts typiques | Outils leaders 2026 |
|---|---|---|---|
| Host forensics | Disque posts et serveurs | Master File Table NTFS, registre Windows, journaux EVTX, bash history Linux, crontabs, services | Autopsy, EnCase, FTK, X-Ways, KAPE, Sleuth Kit |
| Memory forensics | RAM acquise à chaud | Processus, connexions réseau, DLLs injectées, malware in-memory, artefacts Cobalt Strike | Volatility 3, Rekall, MemProcFS |
| Network forensics | Captures PCAP, logs réseau | Flux C2, exfiltration, lateral movement, beacon patterns | Wireshark, Zeek, Suricata, Arkime, NetworkMiner |
| Mobile forensics | iOS, Android, extraction chiffrée | Keychain iOS, base SQLite WhatsApp, iMessage, localisation, artefacts applicatifs | Cellebrite UFED, Magnet Axiom, MSAB XRY, iLEAPP, ALEAPP |
| Cloud forensics | AWS, Azure, GCP, SaaS | CloudTrail, GuardDuty findings, VPC Flow Logs, Azure Activity Logs, GCP Audit Logs | AWS CLI plus jq, Cartography, Prowler, Steampipe, Chainsaw Cloud |
Host forensics reste la discipline historique et la plus couverte en certification. Memory forensics est critique face aux malwares modernes (Cobalt Strike, BRc4, Metasploit Meterpreter) qui opèrent majoritairement en mémoire et laissent peu de traces disque. Cloud forensics est le segment émergent avec la plus forte demande en 2026 — peu de spécialistes, beaucoup d'incidents cloud (Capital One 2019, SolarWinds SUNBURST 2020, Snowflake 2024).
3. Méthodologie et chaîne de custody
Principes fondateurs : trois principes ACPO (UK Association of Chief Police Officers, révisés 2012) structurent la discipline.
- Aucune action prise ne doit modifier les données stockées sur un système dont le contenu pourrait faire l'objet d'une utilisation ultérieure en justice.
- Dans les cas où un accès aux données originales est nécessaire, la personne qui y accède doit être compétente pour le faire et capable d'expliquer ses actions.
- Un enregistrement de toutes les actions prises sur la preuve numérique doit être créé et conservé, permettant à un tiers indépendant de reproduire les conclusions.
Référentiels structurants 2026
| Référentiel | Éditeur | Portée |
|---|---|---|
| NIST SP 800-86 | NIST (US, 2006) | Guide d'intégration du forensic dans l'incident response |
| NIST SP 800-61r2 | NIST (US, 2012) | Computer Security Incident Handling Guide |
| ISO/IEC 27037:2012 | ISO | Identification, collecte, acquisition et préservation de la preuve numérique |
| ISO/IEC 27041:2015 | ISO | Lignes directrices pour l'assurance de l'adéquation et de l'adéquation des méthodes d'investigation |
| ISO/IEC 27042:2015 | ISO | Lignes directrices pour l'analyse et l'interprétation de la preuve numérique |
| ISO/IEC 27043:2015 | ISO | Principes et processus d'investigation d'incident |
| ACPO Principles | UK ACPO | Règles de preuve judiciaire |
| ENFSI Forensic IT Guidelines | European Network of Forensic Science Institutes | Standards européens |
Exemple de fiche de chaîne de custody (modèle exploitable en portfolio GitHub) :
# chain-of-custody-template-v1.yml
# Fiche de chaine de custody pour une preuve numerique.
# Conforme ISO 27037:2012 et principes ACPO.
preuve:
identifiant: "COC-2026-0042"
description: "Image disque integrale poste de travail compromis"
type: "E01 (Expert Witness Format)"
source:
hostname: "PC-FR-LAPTOP-087"
utilisateur: "pierre.durand (service finance)"
localisation: "Siege Paris, bureau 412"
numero_serie: "5CG2345ABC"
os: "Windows 11 23H2 Enterprise"
acquisition:
date: "2026-04-23T10:15:00+02:00"
operateur: "Prenom Nom - Analyste forensique senior"
methode: "Write blocker materiel Tableau TD3 plus FTK Imager v4.7"
duree_minutes: 95
outil: "FTK Imager 4.7.1"
mediums_source:
- type: "SSD NVMe M.2"
capacite_go: 512
fabricant: "Samsung"
modele: "PM981a"
serial: "S4GAN12N6B0123"
image_destination:
type: "HDD externe chiffre (LUKS2)"
capacite_to: 4
chemin: "/mnt/evidence/COC-2026-0042/image-disque.e01"
integrite:
hash_md5_acquisition: "d41d8cd98f00b204e9800998ecf8427e"
hash_sha1_acquisition: "da39a3ee5e6b4b0d3255bfef95601890afd80709"
hash_sha256_acquisition: "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
verification_post_copie: "OK - hashes concordants"
methode_verification: "FTK Imager verification integrale plus sha256sum manuel"
transferts:
- date: "2026-04-23T12:30:00+02:00"
de: "Analyste forensique senior"
a: "Coffre fort numerique DFIR (chambre forte 3)"
motif: "Stockage securise en attente analyse"
scelle: "Sac scellee numero SCL-2026-0119"
- date: "2026-04-24T09:00:00+02:00"
de: "Coffre fort numerique DFIR"
a: "Poste d'analyse forensique P-ANA-03"
motif: "Lancement analyse approfondie"
scelle: "Sac scellee ouvert, scelle SCL-2026-0119 brise en presence de temoin"
temoin: "Responsable DFIR"
analyses_effectuees:
- date: "2026-04-24T09:30:00+02:00"
operateur: "Analyste forensique senior"
action: "Montage read-only via ewfmount sur station analyse"
outil: "libewf 20240204"
- date: "2026-04-24T10:15:00+02:00"
operateur: "Analyste forensique senior"
action: "Timeline complete genere via Plaso log2timeline"
outil: "plaso 20231224"
sortie: "/case/COC-2026-0042/timeline.plaso"
signatures:
analyste_acquisition: "Prenom Nom - Signature numerique GPG"
responsable_validation: "Responsable DFIR - Signature numerique GPG"Ce format structuré constitue un livrable professionnel et peut être publié sur portfolio GitHub (version anonymisée) comme démonstrateur de maturité méthodologique.
4. Stack technique complète
Six catégories d'outils composent l'arsenal d'un forensic analyst 2026.
| Catégorie | Outils open-source | Outils commerciaux |
|---|---|---|
| Acquisition disque | FTK Imager (gratuit), Guymager, dd, dcfldd | EnCase Forensic Imager, Tableau TD3/TX1 |
| Analyse disque | Autopsy, The Sleuth Kit, Plaso, KAPE | EnCase Forensic, FTK, X-Ways Forensics, Magnet Axiom |
| Memory analysis | Volatility 3, Rekall, MemProcFS, AVML | Redline (FireEye, gratuit pour usage non commercial) |
| Network analysis | Wireshark, Zeek, Suricata, Arkime | NetWitness, ExtraHop, Corelight |
| Timeline | Plaso, Timesketch, Aurora IR | Magnet Axiom Timeline |
| Enterprise DFIR live | Velociraptor (open-source, leader 2024-2026), GRR, osquery | Mandiant Advantage, CrowdStrike Falcon Forensics, Carbon Black Enterprise Response |
| Triage rapide | KAPE, CyLR, MIR-CP | AccessData Triage |
| Mobile | ALEAPP (Android), iLEAPP (iOS), libimobiledevice | Cellebrite UFED, Magnet Axiom, MSAB XRY |
| Cloud forensics | Prowler, Steampipe, CloudTrail Parser, Cartography, Chainsaw | Mandiant Advantage Cloud, Palo Alto Unit 42 Cloud Response |
| Rapport / documentation | Aurora, Hayabusa, Chainsaw | Magnet Review |
Stack recommandée pour un junior 2026 : Autopsy plus Volatility 3 plus Velociraptor plus KAPE plus Plaso plus Timesketch, tous open-source, montables en lab personnel gratuit pour construire un portfolio démontrable avant embauche.
5. Types de cas investigués
Un forensic analyst intervient sur quatre familles de cas en entreprise privée et ESN.
Cas 1 — Ransomware et double extortion
Le scénario le plus fréquent depuis 2019. Investigation portant sur : vecteur d'entrée initial (phishing, exploit Internet-facing, credentials volés), lateral movement (Active Directory, Kerberoasting T1558.003, Pass-the-Hash T1550.002), exfiltration préalable au chiffrement (staging, compression, exfiltration rclone vers Mega ou Transfer.sh), déclenchement du ransomware (LockBit, ALPHV/BlackCat, Clop, Play, RansomHub, Rhysida, 8Base). Coût médian incident France 2024 : 500 k€ à 3 M€ hors rançon (source CESIN 2024). Timeline typique d'investigation : 2-6 semaines.
Cas 2 — Insider threat et vol de propriété intellectuelle
Investigation portant sur : accès anormaux aux données sensibles, téléchargement massif pré-démission, exfiltration via email perso, clé USB, cloud drive personnel (Dropbox, Google Drive perso), transferts WeTransfer. Analyse des artefacts shellbags, UserAssist, Jump Lists, prefetch, USBSTOR registry, mailstore Outlook/Exchange. Coordination avec DRH et juridique. Cas récurrents dans l'industrie, la recherche pharmaceutique et la finance quantitative.
Cas 3 — Fraude financière et BEC (Business Email Compromise)
Investigation portant sur : prise de contrôle de compte cadre (MFA fatigue, phishing ciblé, OAuth consent abuse), création de règles d'inbox rule silencieuses, détournement de virement fournisseur, fausse facturation. Analyse Unified Audit Log Microsoft 365 ou Google Workspace audit logs, timeline des accès, IPs suspectes, user-agent anormaux. Cas en forte croissance 2022-2025, cible privilégiée des petites ETI.
Cas 4 — Compromission cloud
Investigation portant sur : credentials AWS/Azure/GCP exposées (GitHub public, fuite secret, SSRF vers IMDS), création d'IAM users et access keys illégitimes, lancement de workloads (crypto-mining, proxies résidentiels), exfiltration depuis S3/Blob Storage/Cloud Storage. Analyse CloudTrail, Azure Activity Logs, GCP Audit Logs, CloudTrail Lake ou Chronicle pour les requêtes analytiques. Cas canonique : Capital One 2019 (SSRF ModSecurity → IMDS → credentials → exfiltration 106 M dossiers).
6. Forensic analyst versus expert judiciaire : la spécificité française
En France, deux rôles aux compétences proches mais aux statuts juridiques distincts coexistent.
| Dimension | Forensic analyst en entreprise / ESN | Expert judiciaire en informatique |
|---|---|---|
| Statut légal | Aucun requis | Inscription liste cour d'appel ou Cour de cassation |
| Base légale | Contrat de travail ou mission commerciale | Loi n° 71-498 du 29 juin 1971 modifiée |
| Mission | Investigation interne, breach response, conseil | Mission judiciaire confiée par un magistrat |
| Rémunération | Salaire annuel 45-150 k€ ou TJM mission | Honoraires fixés barème Cour d'appel, 90-160 € l'heure typique |
| Production | Rapport interne ou client | Rapport d'expertise opposable en justice |
| Prestation de serment | Non | Oui, à l'inscription |
| Responsabilité | Civile employeur | Personnelle, couverture assurance RC Pro exigée |
| Accès | Direct | Accès aux scellés judiciaires |
La bascule « forensic analyst confirmé vers expert judiciaire » est possible et courante après 7-10 ans de pratique documentée. Dossier à constituer via la Compagnie nationale des experts judiciaires en informatique (CNEJITA) ou la Chambre nationale des compagnies d'experts de justice (CNCEJ).
7. Profil type et certifications
Profils d'entrée les plus compatibles
| Profil initial | Durée de bascule forensic | Prérequis clés |
|---|---|---|
| Analyste SOC L2/L3 senior | 9-12 mois | Windows internals, logs EVTX, scripting PowerShell |
| Admin système Linux ou Windows senior | 12-18 mois | Connaissance OS profonde, bases scripting |
| Reconvertis du judiciaire (gendarmerie IT crime, police cyber) | Directement junior avec formation entreprise 3-6 mois | Méthodologie enquête, rigueur preuve |
| Reverse engineer, malware analyst | 6-9 mois | Analyse binaires, yara, obfuscation |
| Développeur senior passionné par l'investigation | 12-18 mois | Scripting avancé, reverse engineering |
| Ingénieur réseau senior | 12-18 mois | TCP/IP profond, analyse PCAP |
Certifications par palier
| Palier | Certification recommandée | Éditeur | Coût examen indicatif |
|---|---|---|---|
| Entrée (avant ou 0-1 an) | CompTIA Security+ plus CySA+ | CompTIA | ≈ 400 € plus 380 $ |
| Confirmé host forensics | GCFE (GIAC Certified Forensic Examiner) | SANS/GIAC | ≈ 1 000 $ |
| Confirmé DFIR | GCFA (GIAC Certified Forensic Analyst) | SANS/GIAC | ≈ 1 000 $ |
| Confirmé network forensics | GNFA (GIAC Network Forensic Analyst) | SANS/GIAC | ≈ 1 000 $ |
| Confirmé response | GCFR (GIAC Certified Forensics Responder) | SANS/GIAC | ≈ 1 000 $ |
| Confirmé incident handler | GCIH (GIAC Certified Incident Handler) | SANS/GIAC | ≈ 1 000 $ |
| Expert forensic | CFCE (Certified Forensic Computer Examiner) | IACIS | ≈ 750 $ |
| Expert forensic | CCE (Certified Computer Examiner) | ISFCE | ≈ 395 $ |
| Expert EnCase | EnCE (EnCase Certified Examiner) | OpenText | ≈ 300 $ |
| Senior management | CISSP avec domaine 7 Security Operations | (ISC)² | ≈ 749 $ |
Séquence recommandée France 2026 : Security+ plus CySA+ en entrée, puis GCFE (host) plus GCFA (DFIR) en années 2-3, puis GNFA ou GCFR selon spécialisation en années 4-5.
8. Salaires et bifurcations
| Niveau | Ancienneté | Province (brut annuel) | Île-de-France (brut annuel) |
|---|---|---|---|
| Forensic analyst junior | 0-2 ans | 45-60 k€ | 50-68 k€ |
| Forensic analyst confirmé | 2-5 ans | 58-78 k€ | 62-85 k€ |
| Forensic analyst senior | 5-8 ans | 75-100 k€ | 80-110 k€ |
| Lead forensic / Head of DFIR | 8+ ans | 100-135 k€ | 110-150 k€ |
| Expert judiciaire agréé (honoraires mission) | 7+ ans | 90-160 € l'heure | 90-180 € l'heure |
Sources indicatives : Apec Cadres Cybersécurité 2023-2024, Numeum, observatoires LinkedIn France. Les cabinets spécialisés (Mandiant, Volexity, Crowdstrike Services, Kroll, PwC Cyber Forensic, EY Forensic, Orange Cyberdefense CERT, Lexsi, Digitemis) tirent la fourchette haute. Secteur bancaire et assurance tirent également la fourchette haute via équipes CERT internes.
Bifurcations possibles après 5-8 ans
- Threat Intel Analyst : bascule vers CTI, tracking d'acteurs, OSINT approfondi.
- Malware Analyst / Reverse Engineer : spécialisation sur les binaires et l'obfuscation.
- Detection Engineer : écriture de règles avancées Sigma, KQL, EQL basées sur l'expérience terrain.
- Expert judiciaire : complément rémunérateur et reconnaissant (voir section 6).
- Consulting indépendant DFIR : TJM 800-1 400 €, forte demande post NIS 2/DORA.
- Lead forensic ou Head of DFIR : management d'équipe 3-15 analystes.
- Trajectoire RSSI : passage en management global, voir Qu'est-ce qu'un RSSI et Les étapes pour devenir RSSI.
9. Pour aller plus loin
- Panorama des métiers de la cybersécurité : guide complet.
- Qu'est-ce qu'un analyste SOC : métier complémentaire qui remonte les incidents au forensic.
- Qu'est-ce qu'un ingénieur sécurité : rôle build-centric qui implémente les recommandations forensic.
- Qu'est-ce qu'un ingénieur IAM : surface d'attaque n°1 à investiguer en forensic.
- Qu'est-ce qu'un RSSI : rôle qui pilote les équipes DFIR.
- Les étapes pour devenir Cloud Security Analyst : bascule possible depuis forensic cloud.
Points clés à retenir
- Le forensic analyst investigue après les faits : acquisition, analyse, reconstruction de preuve numérique. DFIR combine forensic et incident response en un métier fusionné.
- Cinq disciplines : host (Autopsy, KAPE), memory (Volatility 3), network (Wireshark, Zeek, Arkime), mobile (Cellebrite, ALEAPP/iLEAPP), cloud (CloudTrail, Prowler).
- Chaîne de custody obligatoire : hashes SHA-256, write blockers, ISO 27037/27041/27042/27043, principes ACPO. Cassure = preuve potentiellement irrecevable.
- Stack open-source complète pour junior : Autopsy plus Volatility 3 plus Velociraptor plus KAPE plus Plaso plus Timesketch — tout gratuit, lab montable en 1 semaine.
- Quatre familles de cas : ransomware (le plus fréquent), insider threat, BEC/fraude, compromission cloud.
- Spécificité française : expert judiciaire = statut légal distinct, inscription liste cour d'appel, honoraires barème.
- Certifications socle : GCFE (host), GCFA (DFIR), GNFA (network), GCFR (response). CFCE ou CCE pour dimension expert.
- Salaires juniors 45-68 k€, senior 80-110 k€, lead DFIR 110-150 k€. Cabinets spécialisés et banques/assurances tirent la fourchette haute.
L'accompagnement cyber 6 mois propose un cursus forensic avec préparation GCFE plus GCFA, lab Autopsy plus Volatility plus Velociraptor plus KAPE plus Plaso monté en local, analyse de cas DFIR réels (disk image publics Lone Wolf, CFReDS, DFRWS Challenges), construction d'un rapport complet et coaching d'entretien ESN spécialisées DFIR (Mandiant, Orange Cyberdefense CERT, Volexity, Digitemis, Kroll).
