Mettre OpenText EnCase Forensic à l'épreuve

Ils sont plus rapides – réalité ou fiction ?

J'avais récemment une conversation avec un client lors d'un événement de l'industrie médico-légale. Nous discutions des outils dont dispose son équipe dans ses boîtes à outils d'enquête et pourquoi. Je pense qu'il est prudent de dire que nous sommes tous d'accord pour dire qu'avoir plusieurs outils dans votre boîte à outils est une bonne chose. Après tout, lorsque vous construisez une maison, vous n'utilisez pas seulement un marteau pour toutes les activités de construction. Vous utilisez une cloueuse, une scie, un tournevis – chaque outil est optimisé pour un travail spécifique. Il en va de même pour une enquête médico-légale numérique. Ainsi, le fait que cet enquêteur disposait de plusieurs produits médico-légaux numériques dans sa boîte à outils n'était pas une surprise.

Dans ce cas particulier, la boîte à outils de l'enquêteur comprendOpenText^MTEnfermer^MTLégal et un produit logiciel d'investigation numérique concurrent d'un autre fournisseur. Ils utilisent ces deux outils spécifiques pour enquêter sur les preuves contenues sur les ordinateurs suspects. La conversation a pris une tournure intéressante lorsqu'il a mentionné que s'il préférait les fonctionnalités d'EnCase Forensic, il pensait que "l'autre gars" était plus rapide. Ma question immédiate était : « Pourquoi pensez-vous que c'est plus rapide ? Avez-vous comparé les performances des deux produits en tête-à-tête ? Au cours de votre travail d'enquête, avez-vous constaté que l'autre produit était plus rapide ? » Sa réponse a été honnête et directe. « Non, je ne l'ai pas fait. Je viens d'entendre qu'ils sont plus rapides. Pensez-vous que cette affirmation plus rapide est un fait ou une fiction ? »

D'après tout ce que je savais sur EnCase Forensic, j'étais sceptique quant au fait que l'autre produit serait intrinsèquement plus rapide. Mais je savais aussi qu'ils étaient tous les deux d'excellents produits, utilisés par des personnes très intelligentes, j'allais donc avoir besoin de données pour répondre à la question « réalité ou fiction ».

À la recherche de la vérité dans les données

Les statistiques de performances sont omniprésentes lorsque vous travaillez dans une entreprise de 3 milliards de dollars dotée de vastes ressources de développement, de qualité et de support client. Mais dans ma quête de la vérité, je suis tombé sur une donnée particulière qui indiquait ce qu'un enquêteur du monde réel vivrait, et les résultats ont fourni des informations intéressantes.

Plus de 75 000 enquêteurs en criminalistique numérique à travers le monde ont suivi des cours dans le laboratoire de formation OpenText. Cela donne au laboratoire une exposition complète aux types d'outils qui sont utilisés dans les enquêtes numériques du monde réel. En tant que tels, ces environnements d'utilisateurs ont été dupliqués au sein du laboratoire et fournissent des expériences et des résultats représentatifs de ce que les enquêteurs verraient dans leurs propres laboratoires de criminalité. C'est dans ce laboratoire qu'une comparaison directe a été effectuée entre EnCase Forensic et un logiciel d'investigation numérique concurrent.

La plate-forme de test utilisée pour traiter les preuves comprenait deux stations de travail Silicon Forensics, l'une exécutant EnCase Forensic CE 21.2 et l'autre exécutant la version 4.11 du logiciel d'un concurrent. Les deux ordinateurs contenaient des processeurs Intel i7-7700, disposaient de 32 Go de RAM, utilisaient des disques durs NVMe et exécutaient Windows 10. Le même fichier de preuves, qui contenait 41 Go de photos, e-mails, recherches sur Internet, documents et chats, a été traité sur chaque plate-forme de test.

Bien que 41 Go puissent ne pas être représentatifs de la taille de votre fichier de preuve particulier,étant donné que de nombreux fichiers de preuve vont de 256 Go à 500 Go, il est utile dans cette analyse en fonction de son contenu et du fait que le même fichier de preuve a été testé sur la même configuration informatique pour les deux produits, fournissant une comparaison précise des performances.

L'expérience de performance : à vos marques, prêts, partez !

Compte tenu du travail de développement effectué pour améliorer l'efficacité des enquêtes, je n'ai pas été surpris qu'EnCase traite les preuves plus rapidement, mais je dois admettre que j'ai été surpris par la façon dontPlus vite. Dans une comparaison directe, en utilisant la même configuration informatique et le même fichier de preuves, EnCase Forensic a traité les preuves en seulement 4 heures et 14 minutes, contre 6 heures et 20 minutes avec l'autre produit. Le test a indiqué qu'EnCase Forensic était 33 % plus rapide que la concurrence !

Économiser deux heures du temps d'un enquêteur sur chaque cas sur lequel il enquête avec EnCase Forensic a des implications importantes. Il permet à l'enquêteur de travailler plus efficacement, de travailler plus rapidement, d'éviter la frustration, d'obtenir de meilleurs résultats et de parvenir à une conclusion plus rapidement. Cela a également des impacts potentiels sur les budgets de la masse salariale, surtout s'il réduit le besoin de payer des heures supplémentaires.

Travailler plus intelligemment : gagner du temps sur les enquêtes numériques s'additionne

Supposons que votre fichier de preuve ne fait pas 41 Go mais 256 Go. Sur la base des résultats des tests ci-dessus, vous pourrez traiter cette preuve avec EnCase en 26 heures, mais il faudra 39 heures pour traiter cette même preuve avec l'autre produit. Autrement dit, avec EnCase, il ne faudra que trois jours de travail standard pour traiter ces preuves contre une semaine entière avec l'autre produit.

Bien sûr, les performances sont l'un de ces points de données qui s'apparentent à "votre kilométrage peut varier". Mais quel moyen plus fiable de fournir de véritables comparaisons de vitesse que d'effectuer le test sur la même plate-forme en utilisant les mêmes données probantes ?

Donc, en ce qui concerne les questions du client quant à savoir si c'est un fait ou une fiction que cet autre produit est plus rapide qu'EnCase, la réponse est…

C'est de la FICTION. Les faits dans ce cas sont qu'EnCase traite les preuves 33 % plus rapidement.