L’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) partage avec la communauté l’outil qu’elle utilise depuis 8 ans dans ses missions d’investigation et de réponse à incident.
L’ANSSI met à disposition aujourd’hui le logiciel DFIR ORC (Outil de recherche de compromission) qui regroupe un ensemble d’outils permettant la recherche, l’extraction et la mise à disposition de données forensiques. L’outil, créé et utilisé de longue date par les équipes de l’ANSSI, est intégralement libre et se déploie sur l’intégralité d’un parc Windows
L’ANSSI indique : “DFIR ORC s’adresse aux professionnels de la sécurité informatique soucieux d’acquérir les données nécessaires à la réponse aux incidents de sécurité de façon fiable, ainsi qu’à tous les développeurs qui souhaiteront s’en inspirer ou contribuer à son développement.” l’Agence précise également que le logiciel DFIR ORC permet de disposer d’une vision de l’état du parc au moment de la collecte, mais qu’il ne vise pas “à pratiquer une analyse sur les données collectées”. “C’est le rôle de spécialistes disposant
d’une méthodologie et d’outils adaptés”.
