La forensique couvre le recueil et l’analyse des traces informatiques disponibles au sein d’un système afin d’identifier les actions d’un attaquant ou les abus d’un utilisateur. L’analyse forensique permet de répondre à des questions telles que comment l’attaquant est-il entré ? Quelles vulnérabilités a-t-il exploité ? Quels outils a-t-il utilisé ? Quelles sont leurs caractéristiques ? Des données ont-elles été exfiltrées ? Lesquelles ? Cette analyse s’appuie aussi bien sur les traces consignées par les systèmes (journaux d’événements) que des rémanences (contenu de la mémoire qui n’a pas encore été purgé, bribes de fichiers effacés encore accessibles dans la structure du disque dur, etc.)
L’expert forensique est généralement vu tel un moine persévérant et méticuleux. Mais à la différence de ce dernier, la communauté cyber-forensique ne produit ni fromage ni bière.