Les meilleures certifications en criminalistique numérique

Il existe un nombre appréciable de programmes de certification disponibles et de haute qualité qui se concentrent sur les enquêtes et la criminalistique numériques. Cependant, il existe également de nombreuses certifications et programmes dans ce domaine qui sont beaucoup moins transparents et largement connus.

Il y a eu une demande constante pour les certifications en criminalistique numérique au cours des dernières années, principalement en raison de ce qui suit :

La criminalité informatique continue de s’intensifier. Comme plus de cybercrimes sont signalés, plus d’enquêtes et d’enquêteurs qualifiés sont nécessaires. C’est une bonne nouvelle pour les forces de l’ordre et les enquêteurs privés qui se spécialisent dans l’investigation numérique.
Il y a une forte demande pour des professionnels qualifiés en investigation numérique, car presque tous les services de police ont besoin de candidats formés avec des références appropriées.
Les professionnels de l’informatique intéressés à travailler pour le gouvernement fédéral (soit en tant qu’employés à temps plein, soit en tant que contractants privés) doivent répondre à certaines normes minimales de formation en sécurité de l’information. La criminalistique numérique se qualifie comme faisant partie du mélange nécessaire pour les satisfaire, ce qui ajoute encore à la demande de professionnels certifiés en criminalistique numérique.

En conséquence, il y a une augmentation continue des entreprises qui offrent des formations et des certifications en criminalistique numérique. Hélas, beaucoup d’entre elles sont des titres de compétences de « marque privée » qui ne sont pas bien reconnus. Donner du sens à toutes les options et trouver la certification qui vous convient peut s’avérer plus délicat qu’il n’y paraît.

Pour nous aider à choisir nos cinq meilleures certifications pour 2019, nous avons consulté plusieurs sites d’emploi en ligne populaires pour déterminer le nombre de postes annoncés qui nécessitent ces certifications. Bien que les résultats réels varient d’un jour à l’autre et par tableau d’affichage des emplois, cela devrait vous donner une idée du nombre d’emplois en criminalistique numérique avec des exigences de certification spécifiques.

Résultats de la recherche sur les tableaux d’affichage des emplois (par ordre alphabétique, par certification)*

	SimplyHired	Indeed	Lynx Jobs	LinkUp	Total
Fournisseur neutre
CFCE (IACIS)
CHFI (EC-Conseil)
	GCFA (SANS GIAC)						2,062
GCFE (SANS GIAC)					1,005
Spécifique au fournisseur
ACE (AccessData)						EnCE (EnCase)

*Nous avons couvert deux habilitations GIAC, présentés ensemble dans une seule section GIAC ci-dessous.

La criminalistique numérique est un espace relativement lucratif pour les praticiens. Le salaire moyen pour les emplois intermédiaires en criminalistique numérique aux États-Unis – 63 959 $, selon SimpyHired – est inférieur à celui des ingénieurs réseau, des administrateurs système et des chefs de projet. Toutefois, un spécialiste senior ou un analyste judiciaire, qu’il travaille dans le secteur privé ou dans les services publics, gagne souvent un salaire à six chiffres dans les grandes agglomérations. Nous avons trouvé des salaires à l’extrémité supérieure atteignant près de 107 000 $ pour les analystes judiciaires et plus de 127 000 $ pour les rôles de criminalistique numérique.

ACE : AccessData Certified Examiner

AccessData est le fabricant de la populaire solution Forensic Toolkit (FTK) pour les enquêtes numériques. La société propose également une variété de produits et de services connexes, tels que AD Lab, AD eDiscovery, AD Enterprise et AD Triage.

La certification AccessData Certified Examiner (ACE) vaut la peine d’être suivie par ceux qui utilisent déjà ou prévoient d’utiliser FTK, qui jouit d’une utilisation répandue dans les forces de l’ordre et les sociétés privées de recherche et de conseil. La certification nécessite un examen, qui couvre en détail les outils FTK Imager, Registry Viewer, PRTK (Password Recovery Toolkit) et FTK Examiner Application/Case Management Window. AccessData recommande d’avoir des connaissances de base à modérées en forensic avant de se présenter à l’examen. Cela inclut une compréhension des artefacts numériques, des fichiers de registre, du cryptage et du décryptage des fichiers, du hachage, des types d’attaques, de l’utilisation de la recherche en direct et de l’index, ainsi que d’autres sujets. Voir le dernier guide d’étude ACE pour plus de détails.

La recertification est requise tous les deux ans. Les détenteurs d’accréditations doivent passer l’examen ACE actuel, qui se concentre sur les versions les plus récentes de FTK et d’autres outils, pour maintenir leurs accréditations.

Les faits et chiffres de l’ACE

Nom de la certification	Examinateur certifié AccessData (ACE)
Prérequis et cours obligatoires	Aucune ; formation recommandée : AccessData FTK BootCamp (trois jours en classe ou en direct en ligne) Cours intermédiaires FTK	Nombre d’examens	Un examen (ACE 6) ; comprend des parties basées sur les connaissanceset des parties pratiques L’inscription est requise pour recevoir un code de jonction permettant d’accéder au portail de test	Coût par examen	100 $. (Les frais d’examen comprennent les reprises et les examens de recertification)
URL	http://accessdata.com/training/computer-forensics-certification
Self-matériel d’étude	Il y a un lien vers le guide d’étude ACE gratuit est sur la page web de la certification. Le portail de test comprend des vidéos d’étude, des leçons en PDF et un test pratique (avec un fichier image).

CFCE : Certified Forensic Computer Examiner

L’International Association of Computer Investigative Specialists (IACIS) est l’organisation à l’origine du titre de Certified Forensic Computer Examiner (CFCE). Cette organisation s’adresse principalement au personnel des forces de l’ordre, et vous devez être employé dans les forces de l’ordre pour être admissible à une adhésion régulière à l’IACIS.

Un formulaire de demande officiel, ainsi que des frais de demande, sont nécessaires pour adhérer à l’IACIS. L’adhésion régulière comprend les praticiens actuels de l’informatique légale/numérique qui sont des employés actuels ou anciens du gouvernement ou des forces de l’ordre, ou des entrepreneurs de l’informatique légale pour une agence gouvernementale. Tous les autres praticiens peuvent demander à devenir membres associés de l’IACIS, à condition qu’ils puissent passer une vérification de leurs antécédents. Des frais d’adhésion et des frais de renouvellement annuels sont exigés. L’adhésion à l’IACIS n’est pas nécessaire pour obtenir le titre CFCE.

Pour obtenir le titre CFCE, les candidats doivent démontrer leur maîtrise des compétences fondamentales du CFCE. Une option est le cours de formation de deux semaines de l’IACIS intitulé Basic Computer Forensic Examiner (BCFE) ; il répond à l’exigence de formation de 72 heures, coûte 2 995 $, comprend un ordinateur portable gratuit et renonce aux frais d’adhésion à l’IACIS pour les non-membres. L’adhésion à l’IACIS est obligatoire pour suivre le cours. Les candidats qui suivent le cours de formation peuvent s’inscrire directement au programme CFCE à l’issue du cours. Ceux qui ne participent pas au cours BCFE peuvent satisfaire à l’exigence de formation de 72 heures avec un cours comparable (sous réserve de l’approbation de l’IACIS), payer des frais d’inscription de 750 $ et passer avec succès une vérification des antécédents pour s’inscrire au programme CFCE et passer l’examen.

L’examen CFCE est un processus de test en deux étapes qui comprend une évaluation par les pairs et un test de certification CFCE :

L’évaluation par les pairs consiste à accepter et à compléter quatre problèmes pratiques assignés basés sur les domaines de connaissances et de compétences de base pour le titre de compétence. Ceux-ci doivent être résolus, puis présentés à un mentor pour une évaluation initiale (et une assistance, le cas échéant) avant d’être présentés à l’examen par les pairs. Les candidats disposent de 30 jours pour résoudre chacun des problèmes pratiques.
Si l’examen par les pairs est concluant, les candidats passent automatiquement à la phase de certification.
- Les candidats doivent commencer à travailler sur un problème pratique de disque dur dans les sept jours suivant la fin de la phase d’examen par les pairs. Quarante jours sont alloués aux candidats pour analyser de manière indépendante et faire un rapport sur l’image forensique d’un disque dur qui leur est fournie. En suivant des instructions spécifiques, un rapport écrit est préparé pour documenter les activités et les résultats du candidat.
- Une fois que ce rapport est accepté et réussi, le processus se termine par un examen écrit de 100 questions (qui comprend des questions vrai/faux, à choix multiples, d’appariement et à réponse courte). Les candidats ont 14 jours pour passer l’examen écrit. Une note de passage de 80 pour cent ou plus est requise à la fois pour le rapport médico-légal et l’examen écrit pour obtenir le CFCE.

À l’issue de l’examen par les pairs et de la phase de certification, les candidats doivent soumettre un formulaire notarié certifiant que les examens pratiques et écrits ont été effectués de manière indépendante, sans l’aide de quiconque.

Les certifiés doivent renouveler leur certification tous les trois ans pour conserver le titre de CFCE. La recertification exige la preuve d’au moins 40 heures de formation professionnelle, une note de passage à un test de compétence au cours de la troisième année, une preuve d’expérience professionnelle en criminalistique informatique/numérique, ou des notes de passage à trois tests de compétence en trois ans, et soit trois ans d’adhésion à l’IACIS, soit le paiement de frais de recertification de 150 $.

Malgré le temps et les dépenses nécessaires pour obtenir le CFCE, ce titre a une grande valeur et une excellente reconnaissance du nom dans le domaine de la criminalistique informatique. De nombreux professionnels de la criminalistique considèrent le CFCE comme un badge de mérite nécessaire à obtenir, en particulier pour ceux qui travaillent dans ou pour les forces de l’ordre.

Faits et chiffres du CFCE

Nom de la certification	Certified Forensic Computer Examiner (CFCE)
Préalables et cours obligatoires	Cours de formation de base d’examinateur en informatique légale (BCFE) recommandé (2,995) 72 heures de formation en criminalistique informatique/numérique comparable aux compétences de base du CFCE ; Le cours de formation BCFE répond aux exigences de formation Sans formation BCFE : suivre un cours comparable, payer des frais d’inscription de 750 $ et passer une vérification des antécédents
Nombre d’examens	Processus en deux parties : Examen par les pairs (doit être réussi pour passer à la phase suivante) et phase de certification (comprend un examen pratique et écrit sur disque dur)
Coût par examen	Inclus dans la formation BCFE ; 750 $ pour l’ensemble du processus de test pour ceux qui ne participent pas à la formation BCFE
URL	https://www.iacis.com/certification-2/cfce/
Self-matériel d’étude	IACIS est le principal conduit pour la formation et le matériel d’étude pour cette certification.

CHFI : Computer Hacking Forensic Investigator

L’EC-Council est un organisme de formation et de certification bien connu, spécialisé dans les domaines de l’anti-piratage, de la criminalistique numérique et des tests de pénétration. La certification Computer Hacking Forensic Investigator (CHFI) de l’organisation met l’accent sur les outils d’expertise judiciaire, les techniques d’analyse et les procédures impliquées dans l’obtention, la conservation et la présentation de preuves et de données d’expertise numérique dans un tribunal.

L’EC-Council propose une formation pour cette certification mais permet aux candidats de se présenter à l’examen sans suivre le cours, à condition d’avoir au moins deux ans d’expérience en sécurité de l’information et de payer des frais de demande d’admissibilité non remboursables de 100 $.

Le cours CHFI couvre un large éventail de sujets et d’outils (cliquez sur le bouton Blueprint de l’examen sur la page Web de la certification). Les sujets abordés comprennent une vue d’ensemble de la criminalistique numérique, une couverture approfondie du processus d’enquête de la criminalistique informatique, le travail avec des preuves numériques, l’antiforensics, la base de données et le cloud forensics, l’enquête sur le trafic réseau, la criminalistique mobile et la criminalistique du courrier électronique, ainsi que l’éthique, les politiques et les réglementations. Des didacticiels sont disponibles, ainsi qu’une formation en classe dirigée par un instructeur.

L’EC-Council propose de nombreuses autres certifications potentiellement utiles aux lecteurs intéressés par le CHFI. Il s’agit notamment des certifications suivantes : Certified Ethical Hacker (CEH), CEH (pratique), EC-Council Certified Security Analyst (ECSA), ECSA pratique, Certified Network Defender (CND) et Licensed Penetration Tester (LPT), Certified Application Security Engineer (CASE) et Certified Chief Information Security Officer (CCISO). Il propose également des certifications dans des domaines connexes tels que la reprise après sinistre, le cryptage et l’analyse de la sécurité. Visitez le site d’EC-Council pour plus d’informations sur ses titres de compétences populaires et respectés.

Faits et chiffres du CHFI

Nom de la certification	Computer Hacking Forensic Investigator (CHFI) v9
	Prérequis et cours obligatoires	Candidature avec CV et informations sur l’employeur actuel ou précédent requis. Les candidats doivent accepter les termes de l’accord de non-divulgation, de candidature et de certification des candidats EC-Council. Une formation est recommandée mais pas obligatoire : Formation dirigée par un instructeur, en direct et en ligne (comprend le didacticiel, six mois d’accès aux iLabs, un bon d’examen et un programme de préparation aux tests ; contactez directement EC-Council pour connaître le prix) Cours autodidacte iLearn (comprend un an d’accès aux vidéos de formation dirigées par un instructeur, le didacticiel, six mois d’accès aux laboratoires et un bon d’examen ; 1 899 $) Les didacticiels d’auto-apprentissage (677 $) La formation mobile (contactez EC-Council pour obtenir des informations sur les prix) Pour passer l’examen sans formation, vous devez avoir deux ans d’expérience professionnelle en sécurité de l’information et/ou une formation reflétant la spécialisation, payer des frais de demande non remboursables de 100 $ et remplir le formulaire de demande d’admissibilité à l’examen. Plus d’informations sur le processus de demande sont situées sur la page Web du processus d’admissibilité à l’examen.
Nombre d’examens	Un examen : EC0 312-49 (150 questions, quatre heures, note de passage de 70 %, choix multiple). Disponible sur le portail des examens de l’ECC.
Coût par examen	500 $ (plus 100 $ de frais de dossier ; les candidats qui ne participent pas à la formation doivent payer des frais d’examen de 650 $ plus 100 $ de frais de dossier)
	URL	https://www.eccouncil.org/programs/computer-hacking-forensic-investigator-chfi/
Matériel d’auto-apprentissage	.matériel d’étude	Visitez la boutique EC-Council et recherchez « CHFI » pour obtenir du matériel de préparation, y compris les laboratoires. Des guides d’étude et d’examen sont disponibles sur Amazon, ainsi que certains examens pratiques.

EnCe : Examinateur certifié EnCase

Guidance Software, acquis par OpenText en 2017, est un leader dans le domaine des outils et services forensiques. Son logiciel EnCase Forensic, bien connu et largement utilisé, aide les professionnels à acquérir des données à partir de nombreux types de dispositifs, à effectuer des examens au niveau du disque et à produire des rapports sur leurs conclusions. La société vend également des logiciels pour les enquêtes à distance (EnCase Endpoint Investigator), l’eDiscovery, la gestion des risques, les enquêtes mobiles et la sécurité des points d’extrémité.

Le programme de certification de la société comprend le Certified Forensic Security Responder (CFSR), EnCase Certified eDiscovery Practitioner (EnCEP) et EnCase Certified Examiner (EnCe). Accessible aux professionnels des secteurs public et privé, l’EnCE reconnaît la compétence d’une personne à utiliser le logiciel EnCase Forensic et la maîtrise de la méthodologie d’investigation informatique, notamment la collecte et la préservation des preuves, la vérification des fichiers, les signatures et le hachage des fichiers, les activités de premier répondant, et bien plus encore.

Pour obtenir la certification EnCe, les candidats doivent justifier d’un minimum de 64 heures de formation autorisée en informatique légale ou de 12 mois d’expérience professionnelle qualifiée, remplir une demande, puis réussir un examen en deux phases comprenant une partie écrite et une partie pratique.

Les certifications EnCe sont valables trois ans à compter de la date d’obtention. La recertification nécessite l’un des éléments suivants :

32 heures de crédit de formation continue en informatique légale ou en réponse aux incidents
Une certification en informatique légale ou en réponse aux incidents-.
Une participation à une conférence Enfuse (au moins 10 sessions)

Les faits et chiffres de l’Enfuse

	Nom de la certification	Examinateur certifié EnCase (EnCe)
Préalables et cours requis	Requise : 64 heures de formation autorisée en informatique légale ou 12 mois d’expérience professionnelle en informatique légale Options de formation par Guidance Software : Cours préparatoire EnCE (DF310), en classe, en classe virtuelle ou à la demande (2 195 $) Bootcamp de certification EnCE (destiné aux nouveaux enquêteurs numériques) – comprend DF120 (Fondements de la criminalistique numérique), DF210 (Construire une enquête) et DF310 (5 085 $ pour le forfait) Réalisation de l’application EnCE
Nombre d’examens	Un examen en deux phases : Examen écrit de la phase I (180 questions, deux heures, note de passage minimale de 80 %), présenté via ExamBuilder Examen pratique de la phase II (18 questions, 60 jours, note de passage minimale de 85 %) La réussite de l’examen de la phase I permet d’obtenir une licence électronique pour passer l’examen de la phase II.
Coût par examen	200 $ au total, ou 300 $ à l’international 75 $ de frais de renouvellement
	URL	https://www2.guidancesoftware.com/training/Pages/ence-certification-program.aspx
Matériel d’auto-apprentissage	Matériel d’apprentissage fourni dans les cours de Guidance Software. Consultez Amazon pour connaître la disponibilité des examens courants et pratiques. L’abonnement à Learning On Demand donne accès à 400 cours sur l’ensemble de la plateforme OpenText Learning Services.

CertificationsGCFA et GCFE

Le SANS est l’organisation à l’origine du programme de certification de l’assurance de l’information mondiale (GIAC). C’est un acteur très respecté et très estimé dans le domaine de la sécurité de l’information en général. SANS ne se contente pas d’enseigner et de faire des recherches dans ce domaine, elle fournit également des nouvelles de dernière heure, exploite un service d’alerte de sécurité et fait partie de toutes sortes de groupes de travail et de groupes de travail sur la sécurité de l’information au sein du gouvernement, de la recherche et des universités, ainsi que d’organisations industrielles.

Les références de l’organisation en matière de réponse aux incidents et de criminalistique sont les suivantes :

Giac Certified Forensic Examiner (GCFE)
GIAC Certified Forensic Analyst (GCFA)
GIAC Reverse Engineering Malware (GREM)
GIAC Network Forensic Analyst. (GNFA)
GIAC Advanced Smartphone Forensics (GASF)
GIAC Cyber Threat Intelligence (GCTI)

Le GCFE intermédiaire et le GCFA plus senior font l’objet de cette section. Aucun de ces titres ne nécessite de suivre les cours du SANS (qui ont la réputation d’être parmi les meilleurs de la communauté de la cybersécurité, avec des instructeurs de haut niveau à l’avenant), mais ils sont recommandés aux candidats et souvent proposés avant, pendant ou après les conférences du SANS qui se tiennent à travers les États-Unis à intervalles réguliers.

La GCFE et la GCFA se concentrent toutes deux sur l’informatique légale dans le contexte de l’enquête et de la réponse aux incidents, et se concentrent donc également sur les compétences et les connaissances nécessaires pour collecter et analyser les données des systèmes informatiques Windows et/ou Linux au cours de ces activités. Les candidats doivent posséder les compétences, les connaissances et la capacité nécessaires pour mener des enquêtes formelles sur les incidents et le traitement avancé des incidents, y compris la gestion des violations de données internes et externes, des intrusions et des cybermenaces ; la collecte et la préservation des preuves ; la compréhension des techniques anti-forensic ; et la construction et la documentation des cas d’investigation numérique avancée.

La plupart des accréditations GIAC du SANS sont valables pendant quatre ans. Les candidats peuvent se recertifier pour le GCFE et le GCFA en obtenant 36 crédits d’expérience professionnelle continue (CPE). En outre, les détenteurs de titres doivent payer des frais de maintien de certification de 429 $ tous les quatre ans.

Le programme SANS GIAC englobe plus de 36 certifications de sécurité de l’information couvrant un large éventail de sujets et de disciplines. Les professionnels de l’informatique qui s’intéressent à la sécurité de l’information en général, ainsi qu’à la criminalistique numérique, seraient bien avisés de se renseigner davantage sur la page d’accueil du GIAC.

Faits et chiffres sur le GCFE et le GCFA

Nom de la certification	Examinateur judiciaire certifié par l’IGAC (GCFE) Analyste judiciaire certifié par l’IGAC (GCFA)		Préalables et cours obligatoires	Non Cours recommandé par l’IGAC : FOR500 : Windows Forensic Analysis (6 210 $) Cours recommandé par le GCFA : FOR508 : Advanced Digital Forensics, Incident Response, and Threat Hunting (6 210 $)
Nombre d’examens	Un examen pour chaque titre (115 questions, trois heures, note de passage de 71 %) Les examens sont surveillés par Pearson VUE. Inscription auprès de GIAC requise pour programmer un examen.
Coût par examen	769 $ si cela fait partie de la formation/bootcamp 1 899 $ (sans formation – appelé défi de certification) Détails supplémentaires disponibles ici.
URL	www.giac.org	Matériel d’auto-apprentissage	Tests pratiques disponibles sur la page de préparation à l’examen GIAC (deux tests inclus dans les frais d’examen ; les tests pratiques supplémentaires coûtent 159 $ chacun). Les guides d’étude et les examens pratiques peuvent être trouvés sur Amazon et d’autres canaux typiques.

Au delà du top 5 : D’autres certifications en criminalistique numérique

Il existe de nombreux autres programmes de certification qui peuvent contribuer à faire progresser la carrière des professionnels de l’informatique qui travaillent dans le domaine de la criminalistique numérique.

Une certification que nous avons présentée par le passé est celle d’analyste en criminalistique de cybersécurité (CSFA) du CyberSecurity Institute. Le CyberSecurity Institute fournit des services de criminalistique numérique destinés aux cabinets d’avocats, aux entreprises et aux particuliers, et administre un programme de certification restreint mais très respecté. Le CSFA est conçu pour les professionnels de la sécurité ayant au moins deux ans d’expérience dans l’analyse numérique légale d’ordinateurs et de périphériques fonctionnant sous le système d’exploitation Windows et dans la création de rapports d’enquête. Bien que la certification n’ait pas généré autant de visites sur les sites d’emploi que nos autres certifications vedettes, le CSFA mérite tout de même votre attention.

Il en va de même pour le Certified Computer Examiner (CCE) de l’International Society of Forensic Computer Examiners, également connu sous le nom d’ISFCE. Le CCE est bien reconnu dans l’industrie et dans la communauté des forces de l’ordre comme un titre de compétence de premier plan pour les professionnels de l’informatique légale, mais il a été un peu court en termes de visites sur les sites d’emploi lors de notre examen cette année.

Les autres bonnes certifications comprennent le Professional Certified Investigator (PCI), un titre de compétence de niveau supérieur, neutre par rapport aux fournisseurs, pour les enquêtes et l’informatique légale, disponible auprès d’ASIS International. L’organisation propose également le Certified Protection Professional (CPP), qui comprend un volet enquête, et le Physical Security Professional (PSP) dans son programme de certification. Les candidats à la criminalistique peuvent également poursuivre l’une des certifications neutres du fournisseur High Tech Crime Network – le Certified Computer Crime Investigator ou le Certified Computer Forensic Technician, qui ont tous deux un titre de base et un titre avancé.

Si vous regardez en ligne, vous trouverez de nombreux autres fournisseurs de matériel et de logiciels de criminalistique qui offrent des certifications et beaucoup d’autres organisations qui n’ont pas fait la coupe pour la liste 2019 des meilleures certifications de criminalistique numérique. Mais avant de vous éloigner des éléments mentionnés dans cet article, vous voudrez peut-être faire des recherches sur l’histoire de l’organisation commanditaire et sur le nombre de personnes qui ont obtenu ses titres de compétences, puis déterminer si le commanditaire non seulement exige la formation, mais s’apprête à tirer profit de son achat.

Vous voudrez peut-être aussi demander à un professionnel de la criminalistique numérique en exercice s’il a entendu parler des certifications que vous avez trouvées par vous-même et, le cas échéant, ce que ce professionnel pense de ces offres.

La liste des meilleures certifications de criminalistique numérique de 2019 comprend les certifications suivantes