FAQ récupération de données : réponses à vos questions

Le tarif d'une analyse forensique dépend de la portée de l'investigation, du type de support et du niveau d'urgence :

• Acquisition forensique seule (clonage + rapport d'intégrité) : facturation au support traité
• Analyse complète (acquisition + investigation + rapport d'expertise) : facturation selon la complexité et le volume de données à analyser
• Témoignage d'expert devant un tribunal : sur devis selon la durée et la préparation requise

Les délais standard sont :

• Acquisition forensique : sous 24 heures
• Rapport d'analyse standard : 5 à 10 jours ouvrés
• Rapport d'urgence (procédure judiciaire imminente) : 24 à 72 heures

Un devis détaillé est établi après évaluation gratuite du dossier. Nos tarifs sont transparents et détaillés dans notre devis — aucun frais caché.

L'expertise forensique numérique est sollicitée dans de nombreux contextes professionnels et judiciaires :

• Litiges commerciaux — recherche de preuves de détournement, violation de clause de confidentialité, fraude interne
• Procédures pénales — assistance judiciaire sur saisie de matériel informatique, analyse de supports saisis
• Incidents de sécurité — analyse post-incident d'une cyberattaque, identification du vecteur d'intrusion, étendue de l'exfiltration
• Droit du travail — recherche de preuves d'infractions commises sur le matériel de l'entreprise (harcèlement, vol de données, utilisation abusive)
• Procédures de divorce ou familiales — récupération de preuves numériques dans le cadre de procédures civiles
• Assurances — reconstitution d'incidents pour les déclarations de sinistre

La confidentialité est un principe fondamental de notre pratique forensique. Nous appliquons des règles strictes :

• Accès restreint — seuls les techniciens en charge du dossier ont accès aux données. Chaque accès est journalisé.
• Accord de confidentialité — un NDA (accord de non-divulgation) peut être signé sur demande avant toute intervention
• Destruction sécurisée — après remise du rapport et accord du client, les copies de travail sont détruites par écrasement sécurisé certifié
• Hébergement en Suisse — toutes les données restent dans notre laboratoire de Ins (BE), soumis au droit suisse sur la protection des données (LPD)
• Certification CyberSafe — nos pratiques de sécurité sont auditées et certifiées par le label CyberSafe reconnu par la Confédération suisse

Oui, à condition que l'analyse ait été conduite selon les normes forensiques reconnues. Pour qu'une preuve numérique soit admissible devant un tribunal suisse ou européen, plusieurs conditions doivent être réunies :

• Intégrité des données garantie — le support original n'a pas été modifié (utilisation d'un bloqueur d'écriture matériel lors de l'acquisition)
• Traçabilité de la chaîne de preuve — documentation de chaque manipulation depuis la saisie jusqu'à l'analyse
• Hachage cryptographique — empreinte MD5 et SHA-256 calculée à l'acquisition pour prouver l'intégrité
• Rapport d'expertise certifié — rédigé par un expert pouvant témoigner de sa méthodologie

Nos rapports forensiques sont rédigés selon les normes ISO/IEC 27037 (identification et collecte de preuves numériques) et peuvent être présentés devant les juridictions suisses et françaises.

Partiellement, oui. L'écrasement d'un disque dur ne détruit pas instantanément toutes les données. Plusieurs mécanismes permettent une récupération partielle :

• Fichiers partiellement écrasés — si seul l'en-tête ou la fin d'un fichier a été écrasé, le reste peut souvent être reconstruit
• File carving — technique forensique qui recherche les signatures de fichiers (magic bytes) directement dans les secteurs bruts, indépendamment du système de fichiers. Efficace même après reformatage.
• Secteurs de réserve et zones HPA — certains disques conservent des copies dans des zones inaccessibles en utilisation normale
• Rémanence magnétique — sur les HDD anciens, des traces d'écriture précédentes peuvent parfois être détectées avec des équipements spécialisés

Un écrasement sécurisé avec plusieurs passes (standard DoD 5220.22-M ou Gutmann) rend la récupération pratiquement impossible. Un simple formatage rapide ou une suppression classique ne suffit pas.

La récupération de données forensique (ou investigation numérique) est un processus technique rigoureux qui vise non seulement à récupérer des données supprimées ou cachées, mais aussi à préserver la chaîne de preuve pour que ces données soient admissibles devant un tribunal.

Les différences principales avec une récupération de données classique :

Notre procédure forensique suit un protocole strict en 5 étapes :

1. Réception et documentation — enregistrement du support avec photos, numéro de série, état physique constaté. Remise d'un accusé de réception signé.
2. Acquisition forensique — clonage bit-à-bit du support original via un write-blocker matériel certifié. Calcul des empreintes MD5 et SHA-256 sur l'image acquise. Le support original n'est jamais modifié.
3. Analyse — investigation sur la copie de travail : récupération de fichiers supprimés, analyse des métadonnées, reconstruction de la timeline d'activité, identification des artefacts (logs, historique, registre).
4. Documentation — chaque action est consignée dans un journal horodaté. Les fichiers pertinents sont extraits et catalogués.
5. Rapport d'expertise — rapport détaillé incluant la méthodologie, les outils utilisés, les résultats et les conclusions, accompagné des pièces jointes numériques.