Certification CHFI : maîtriser l'investigation numérique
La CHFI d'EC-Council certifie les compétences d'investigation forensique. Public, examen, parcours et missions ESN typiques pour consultants en cybersécurité.
Certification CHFI : maîtriser l'investigation numérique
Quand une intrusion est détectée, la question qui suit immédiatement la remédiation est : que s'est-il vraiment passé, par où, depuis quand, et avec quels impacts ? Y répondre suppose une démarche forensique rigoureuse, capable de produire des preuves recevables en justice. La certification CHFI (Computer Hacking Forensic Investigator) d'EC-Council valide précisément ces compétences et ouvre la porte à des missions ESN à très forte valeur ajoutée.
La techno / l'éditeur
EC-Council propose avec la CHFI une certification consacrée à l'investigation post-incident, complémentaire de la CEH. Là où la CEH apprend à attaquer pour défendre, la CHFI apprend à reconstruire le scénario d'attaque à partir des artefacts laissés sur disque, en mémoire, sur le réseau et dans le cloud.
Le programme s'appuie sur des outils standards du marché : EnCase, FTK, Autopsy, Volatility, Wireshark, X-Ways, sans imposer une suite propriétaire. Cette neutralité est appréciée par les clients qui ont déjà investi dans un écosystème forensique et qui cherchent un consultant capable de s'adapter. La CHFI est reconnue par plusieurs juridictions et figure dans les exigences de nombreux référentiels (ISO 27037, NIST SP 800-86).
À qui s'adresse cette certification
La CHFI s'adresse à un public déjà installé dans la cybersécurité :
- Analyste CERT/CSIRT chargé de la réponse à incident
- Consultant DFIR souhaitant formaliser son expertise
- Auditeur sécurité voulant ajouter une dimension post-mortem à ses livrables
- Officier de police judiciaire ou enquêteur en cybercriminalité
- Responsable juridique IT ayant besoin de comprendre la chaîne de preuve numérique
Une expérience en administration système Linux et Windows est nécessaire, ainsi qu'une bonne compréhension des systèmes de fichiers (NTFS, ext4, APFS) et des principaux protocoles réseau.
Contenu de l'examen
L'examen 312-49 dure 4 heures et propose 150 questions à choix multiples avec un score de passage autour de 70 %. Les domaines abordés sont :
- Processus d'investigation forensique et chaîne de garde
- Analyse de systèmes de fichiers et récupération de données effacées
- Forensic Windows (registre, prefetch, journaux d'événements, shellbags)
- Forensic Linux et macOS
- Analyse de la mémoire vive avec Volatility et Rekall
- Forensic réseau et capture de trafic
- Investigation sur applications web, bases de données et messagerie
- Forensic cloud (AWS, Azure, GCP) et conteneurs
- Investigation mobile (iOS, Android)
- Analyse de malware et détection d'antiforensique
- Cadre légal, RGPD et production de rapports d'expertise
Parcours recommandé
Compter quatre à huit mois de préparation selon le niveau initial :
- Mois 1 : consolidation des bases système et réseau, lecture du NIST SP 800-86
- Mois 2 : prise en main des outils open source (Autopsy, Volatility, plaso)
- Mois 3-4 : formation officielle EC-Council ou bootcamp en centre agréé, accès aux labs
- Mois 5-6 : entraînement sur les images forensiques publiques (CFREDS, DFRWS challenges)
- Mois 7 : examens blancs et révision des modules juridiques
- Mois 8 : passage de la CHFI puis enchaînement éventuel sur GCFA pour une double validation
La participation à des CTF orientés forensic (DFIR Madness, BelkaCTF) est un excellent moyen de pratiquer en conditions réelles.
Cas d'usage en mission ESN
Les missions typiques pour un consultant CHFI incluent : intervention d'urgence sur un poste compromis dans une banque, investigation suite à un ransomware industriel, expertise judiciaire pour un cabinet d'avocats, audit de logs sur incident frauduleux, accompagnement d'un CERT interne dans la formalisation de ses procédures. Le TJM moyen se situe entre 650 et 850 euros, avec des pointes au-delà de 1 000 euros lors de cellules de crise.
La rareté du profil DFIR sur le marché français fait que les missions s'enchaînent rapidement, souvent en mode forfait pour les phases d'investigation et en régie pour la phase d'amélioration continue qui suit.
Pourquoi passer par ForTeam IT
ForTeam IT cultive un réseau de clients qui ont besoin de capacités DFIR ponctuelles ou récurrentes. Nous positionnons nos consultants CHFI sur des missions à fort enjeu, en garantissant un cadre contractuel adapté (clause de confidentialité renforcée, assurance responsabilité civile professionnelle adaptée, gestion des astreintes). Nous valorisons votre certification dans la négociation initiale et nous accompagnons les renouvellements.
En conclusion
La CHFI est une certification de niveau intermédiaire à avancé, qui transforme un profil cybersécurité généraliste en spécialiste DFIR recherché. Elle se combine particulièrement bien avec une CEH ou une OSCP pour couvrir l'ensemble de la chaîne offensive et défensive. Sur un marché où les attaques se multiplient et où la responsabilité légale des organisations s'accroît, la capacité à produire une investigation propre et défendable est devenue un actif rare.
Pour aller plus loin
- Consultant cybersécurité EC-Council : panorama du parcours
- Expert cybersécurité : trajectoire et missions
- Certification CEH : ethical hacking
- Certification CND : défense de réseau
- Pourquoi passer par une ESN comme ForTeam IT
Vous êtes consultant certifié CHFI et cherchez votre prochaine mission ? Rejoignez ForTeam IT et accédez à des projets stratégiques chez nos clients grands comptes.
À lire aussi
Vous êtes consultant IT freelance ?
Rejoignez ForTeam IT et accédez à des missions sélectionnées chez nos clients grands comptes.
Rejoindre la communauté