DFIR ORC, logiciel conçu en 2011, a finalement été libéré par l’Anssi. Initialement créé pour répondre aux missions de l’Agence nationale pour la sécurité des systèmes d’information lorsqu’il s’agit des réponses aux incidents, DFIR ORC (Outil de recherche de compromission) a beaucoup évolué afin de rassembler tous les outils permettant de rechercher, d’extraire et de mettre à disposition des données forensiques dans les parcs Windows. Libre d’accès, le logiciel est désormais disponible aux acteurs et professionnels de la communauté.
Un logiciel adapté aux missions d’enquête et de réponse à l’incident
Logiciel de collecte de données forensiques qui a fait ses preuves, DFIR ORC permet de faire face aux APTs (Advanced Persistent Threats), des incidents d’un nouveau genre apparu lors de la dernière décennie. C’est donc pour y faire face que l’Anssi s’est attelée à adapter sa méthodologie en matière de traitement, mais aussi ses outils. DFIR ORC est né de cette démarche en 2011. Depuis, il n’a eu de cesse d’évoluer « pour regrouper un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition de données forensiques dans un environnement Microsoft Windows », confirme l’Agence nationale pour la sécurité des systèmes d’information.
Nous vous le disions, DFIR ORC regroupe désormais plusieurs outils qui permettent la recherche, l’extraction et la mise à disposition de données forensiques. Longtemps utilisé par les équipes de l’Anssi, le logiciel de collecte a spécialement été développé pour l’écosystème Microsoft Windows à grande échelle, et de manière dématérialisée. A ce propos, le sous-directeur Opérations de l’Anssi, François Deruty, explique : « Après 8 ans d’usage, DFIR ORC a été utilisé sur plus de 150 000 postes dans le cadre de nos activités opérationnelles en matière de réponse à incident ». Aujourd’hui, en partageant ce logiciel qu’elle utilise depuis plusieurs années, l’Anssi affiche clairement sa volonté de s’ouvrir à la communauté de la sécurité numérique.
Qui peut utiliser DFIR ORC, et pourquoi faire ?
Vous avez envie de comprendre le fonctionnement détaillé du logiciel de collecte de données forensiques ? Nous ne pouvons que vous recommander ce très bon tutoriel concernant DFIR ORC sur ce site de cybersécurité.
Cela étant dit, signalons que DFIR ORC est principalement destiné à l’usage des professionnels de la sécurité informatique, ou du moins ceux d’entre eux qui veulent avoir à leur disposition des données permettant de répondre aux incidents de sécurité de manière fiable. L’outil s’adresse aussi aux développeurs qui souhaitent s’en inspirer ou contribuer à son développement.
Pour rappel, le logiciel DFIR ORC a été pensé pour être déployé sur tout le parc Microsoft Windows, en ayant le minimum d’impact sur son fonctionnement normal. Il permet ainsi de collecter des informations souhaitées de manière fiable, en maintenant une exigence de qualité et de traçabilité, le tout en gardant intacte la configuration des machines analysées et en réduisant le risque de voir les données collectées altérées.
Conclusion
Ainsi, ce logiciel de collecte libre de données forensiques permet donc d’avoir une vision globale de l’état du parc, sans pour autant qu’il ne vise à analyser les données collectées. Pour cela, il faudra s’adresser à des spécialistes qui ont les compétences, les méthodes et les outils nécessaires.
