Par Bobby R. Williams Jr. le 22/07/20 09:00

Il sait ce que vous avez fait. Il se souvient. Il se cache dans l'ombre, attendant d'être analysé… Ce sont… vos données.

Plus précisément, il s'agit d'un instantané de vos données. Machines en marche Systèmes d'exploitation Microsoft Windows peut être configuré pour générer une copie de sauvegarde des volumes ou des fichiers. Ces copies peuvent même être créées lorsque les fichiers source sont en cours d'utilisation. Les sauvegardes sont appelées Clichés instantanés de volume, mais vous pouvez les voir référencés en tant que VSS (Volume Snapshot Service). Il existe des versions antérieures de cette même fonction de base. Les anciennes versions de Windows pouvaient déployer des points de restauration du système et/ou une version précédente utilisée pour accéder aux versions précédentes des fichiers et des dossiers. Ces instantanés existent pour restaurer votre système à des moments antérieurs.

Pourquoi les clichés instantanés sont-ils importants ?

D'un point de vue médico-légal, les clichés instantanés contiendront des versions plus anciennes des données système. Les artefacts qui contiennent des données précieuses peuvent avoir un contenu historique limité dans leurs emplacements par défaut. Si notre enquête nécessite un regard plus loin dans le passé, VSS peut avoir la réponse. Une version plus ancienne du même artefact pourrait contenir les informations que vous recherchez. Cette fonction est généralement activée par défaut. Malheureusement, de nombreuses organisations désactivent cette fonction parce qu'elles croient à tort qu'elle accapare les ressources. Il convient de noter que les instantanés sont généralement assez petits. De plus, si votre disque dur est plein, le service d'instantané de volume ne fonctionnera pas.

Quel est mon plat à emporter ?

Si vous n'utilisez pas Clichés instantanés de volume, vous devriez commencer. La génération d'un cliché instantané est transparente, en particulier par rapport à ses prédécesseurs. Les clichés instantanés nécessitent des ressources minimales et n'utilisent presque pas de temps système. En activant VSS, vous réduisez la probabilité de perte de données et augmentez la rétention d'artefacts médico-légaux précieux. Le tout en utilisant un outil déjà inclus dans votre système d'exploitation.

iDiscovery Solutions, Inc. (iDS) est une société de services primée, mondiale et experte qui propose des solutions personnalisées et innovantes pour les défis complexes des clients juridiques et des entreprises. Les experts en la matière d'iDS témoignent et consultent dans le cadre de la découverte électronique (eDiscovery), de la criminalistique numérique, de l'analyse de données et de la cybersécurité/gouvernance de l'information.