🇫🇷 Dafotec France · Laboratoire salle blanche ISO 5 à Roubaix depuis 2004 🇧🇪 Version Belgique  ·  09 83 70 00 00
Forensique · Expertise judiciaire

Forensique judiciaire : chaîne de custody et recevabilité

Récupérer une donnée ne suffit pas en justice : il faut prouver qu'elle n'a pas été altérée. ISO 27037, write blockers, condensats, chaîne de custody documentée de bout en bout.

Par Mhessan Kouassi · Laboratoire DAFOTEC, Roubaix · Mis à jour le 16 juin 2026
Cet article approfondit un point du guide complet de la récupération de données (diagnostic, méthodes professionnelles, prévention).

Récupérer des données est une chose ; en faire une preuve recevable devant un tribunal ou lors d'une enquête interne en est une autre. C'est tout l'objet de la forensique judiciaire, où la rigueur de la méthode compte autant que le résultat. Ce dernier volet du cluster s'adresse aux juristes, DSI et dirigeants confrontés à un litige ou à un incident.

Qu'est-ce que la forensique numérique ?

La forensique numérique consiste à identifier, préserver, analyser et présenter des données de façon à garantir leur authenticité et leur intégrité. Le cadre de référence international est la norme ISO/IEC 27037, qui décrit les bonnes pratiques d'identification, de collecte, d'acquisition et de préservation des preuves numériques. L'enjeu n'est pas de « trouver » la donnée, mais de pouvoir démontrer qu'elle n'a pas été altérée depuis sa saisie.

Pourquoi la recevabilité prime-t-elle sur la récupération ?

Une donnée techniquement exacte mais mal collectée peut être écartée. Le simple fait d'allumer un ordinateur, d'ouvrir un fichier ou de brancher un disque modifie des éléments (dates d'accès, journaux système, fichiers temporaires). En forensique, on inverse donc la priorité : préserver d'abord, analyser ensuite, et tout documenter. C'est cette discipline qui distingue une expertise opposable d'une récupération ordinaire.

Qu'est-ce qu'une copie d'intégrité ?

Le cœur de la méthode est l'image d'intégrité : une copie bit à bit du support, réalisée à travers un bloqueur en écriture (write blocker) pour ne rien modifier de la source. On calcule ensuite une empreinte cryptographique (condensat SHA-256, par exemple) de la source et de la copie : si les deux coïncident, on prouve que la copie est fidèle. Toute analyse ultérieure se fait sur cette image, jamais sur l'original scellé.

La chaîne de custody, étape par étape

La chaîne de custody (ou de traçabilité) documente le parcours de la preuve. Dans les grandes lignes :

  1. Identifier et isoler le support, photographier l'état initial.
  2. Saisir le support et le placer sous scellé numéroté.
  3. Acquérir une image bit à bit via un bloqueur en écriture.
  4. Calculer et consigner les empreintes (hash) de la source et de la copie.
  5. Stocker l'original scellé dans un lieu sécurisé à accès contrôlé.
  6. Travailler uniquement sur une copie de travail dérivée de l'image.
  7. Journaliser chaque accès : qui, quand, pourquoi, quelle action.
  8. Vérifier les empreintes avant et après chaque analyse.
  9. Rédiger un rapport reproductible décrivant méthode et outils.
  10. Restituer la preuve et sa documentation, prêtes à être contestées.
Une preuve fragile se brise vite

Une chaîne de custody rompue — un accès non journalisé, une empreinte manquante, un original manipulé — peut suffire à faire écarter une preuve, même parfaitement exacte. En cas d'incident susceptible de finir devant un juge, le premier réflexe est de ne rien toucher et de faire intervenir un expert.

Pourquoi confier une expertise à un laboratoire ?

Les contextes les plus sensibles — fraude interne, départ de salarié, sinistre, attaque par ransomware, défaillance d'un serveur RAID — exigent à la fois des moyens techniques (salle blanche, imageurs, bloqueurs) et une méthode opposable. Un laboratoire spécialisé garantit la traçabilité de bout en bout et produit un rapport défendable. Chez DAFOTEC, l'analyse s'inscrit dans un cadre conforme (RGPD, ISO 27001), avec un diagnostic préalable gratuit et un paiement au résultat.

Litige ou enquête interne ? La preuve numérique se manipule selon des règles strictes.Diagnostic gratuit sous 24 h · paiement au résultat · 25 € seulement si échec.
09 83 70 00 00 Récupération entreprises

Questions fréquentes

Qu'est-ce que la forensique numérique ?

C'est la discipline qui identifie, préserve, analyse et présente des données numériques de manière à ce qu'elles soient recevables comme preuves. Elle ne vise pas seulement à récupérer une donnée, mais à démontrer qu'elle est authentique et n'a pas été modifiée.

Pourquoi ne pas simplement copier les fichiers comme preuve ?

Parce qu'une simple copie ne prouve rien sur l'intégrité ni l'origine, et qu'allumer ou explorer un support modifie déjà des données (dates d'accès, journaux). En forensique, on travaille sur une copie d'intégrité réalisée avec un bloqueur en écriture, et l'on documente chaque étape.

Qu'est-ce qu'un write blocker ?

Un bloqueur en écriture est un dispositif matériel ou logiciel qui autorise la lecture d'un support mais interdit toute écriture. Il garantit que l'acquisition de la preuve ne modifie pas la source — condition essentielle de sa recevabilité.

Qu'est-ce que la chaîne de custody ?

C'est la traçabilité documentée d'une preuve, de sa saisie à sa présentation : qui l'a manipulée, quand, comment, et avec quelles empreintes numériques. Une chaîne de custody rompue peut suffire à faire écarter une preuve, même techniquement valable.

À lire aussi

Une perte de données ? Ne prenez pas le risque d'une mauvaise première décision.

Le laboratoire DAFOTEC diagnostique gratuitement votre support sous 24 h, en salle blanche ISO 5. Vous validez la liste des fichiers récupérables (VeriFiles) avant tout paiement — et vous ne payez qu'en cas de succès.

09 83 70 00 00 Diagnostic gratuit 36 centres en France

Paiement au résultat · 25 € seulement si échec · Conforme RGPD & ISO 27001 · 4,9/5 sur 797 avis vérifiés

Diagnostic gratuit Urgence 24h/7j ★★★★★ Avis Google