Cyber Shelf
Florian Amette
25 mai 20265 min de lecture

Les meilleurs livres de forensique numérique & réponse à incident en 2026

Incident Response and Computer Forensics, The Art of Memory Forensics, Practical Linux Forensics, Practical Packet Analysis, The Practice of Network Security Monitoring : cinq livres DFIR qui valent votre temps en 2026, dans le bon ordre.

#dfir#incident-response#forensics#reading-list

La forensique numérique et la réponse à incident est une discipline qui punit l'improvisation et récompense les répétitions. Les bons livres raccourcissent l'écart entre votre premier triage et le premier où vous restez calme — ils donnent le modèle structurel sur lequel le métier fonctionne encore, plus le tradecraft spécifique pour la mémoire, le disque et les preuves réseau.

Les choix en un coup d'œil

  1. Incident Response and Computer Forensics — le primer structurel : à quoi ressemble un vrai programme IR de bout en bout. Commencez ici.
  2. The Art of Memory Forensics — le livre canonique sur Volatility ; la mémoire est là où vivent les attaquants modernes.
  3. Practical Linux Forensics — la référence IR Linux post-systemd que le champ attendait.
  4. Practical Packet Analysis — la mémoire musculaire Wireshark pour le triage piloté par pcap.
  5. The Practice of Network Security Monitoring — le cadre NSM de Bejtlich, encore l'articulation la plus propre de « collecter large, alerter étroit, enquêter large ».

Les revues complètes, avec à qui chaque livre est destiné et qui devrait passer son tour, sont en dessous.

Le primer structurel

Incident Response and Computer Forensics de Luttgens, Pepe et Mandia est ce qui se rapproche le plus d'un manuel pour le champ. Préparation pré-engagement, acquisition de preuves, forensique host et réseau, et — la moitié sous-estimée — la discipline de gestion de projet qui sépare une réponse contrôlée d'une panique.

Le livre est largement on-prem 2014, donc fin sur la réponse aux attaques d'identité (AAD, abus OAuth, golden SAML) et l'IR cloud. À coupler avec les write-ups Mandiant actuels et les runbooks IR AWS/Azure pour la couche manquante, mais à lire en premier pour le modèle de maturité sur lequel le champ fonctionne encore.

Le livre mémoire

The Art of Memory Forensics de Ligh, Case, Levy et Walters est la référence canonique pour analyser la mémoire avec Volatility, sur Windows, Linux et macOS. Le tradecraft post-exploitation moderne est de plus en plus uniquement-mémoire ; si vous ne savez pas analyser une image mémoire, vous ne pouvez pas attraper ce qui se passe vraiment.

Le livre cible Volatility 2.x et le champ est passé à Volatility 3, mais le matériel conceptuel — ce que les plugins cherchent, pourquoi, et ce que font les internals OS en-dessous — se traduit proprement.

Si vous n'avez jamais fait d'IR, ce n'est pas votre premier livre. Lisez IR&CF, puis venez ici.

La référence Linux moderne

Practical Linux Forensics de Bruce Nikkel est la référence IR Linux post-systemd. Internals ext4 / XFS / Btrfs, journaling systemd, emplacements de persistance, et la discipline de chaîne de garde qui distingue les preuves des notes.

La plupart des workloads cloud sont Linux, et la plupart des livres de forensique Linux ont été écrits avant que systemd ne prenne le contrôle. C'est celui qui correspond vraiment aux systèmes que vous allez imager.

À sauter si vous travaillez uniquement Windows. Sinon, c'est le complément moderne à The Art of Memory Forensics.

Le livre pcap

Practical Packet Analysis de Chris Sanders est le livre Wireshark qui transforme l'outil d'intimidant en extension de vos mains. Analystes SOC, incident responders, ingénieurs réseau — quiconque a besoin de lire les pcaps couramment.

Il est écrit pour le troubleshooting et l'IR, pas pour la recherche réseau côté attaque. Pour la profondeur protocolaire, enchaînez avec Attacking Network Protocols (Forshaw) ; pour la lecture réseau adversariale, avec Silence on the Wire (Zalewski). Pour le travail DFIR spécifiquement, c'est le bon niveau.

Le cadre détection

The Practice of Network Security Monitoring de Richard Bejtlich est plus vieux que la plupart des choses sur cette liste, et c'est justement le point. Le tooling spécifique est daté face à l'EDR moderne et à la télémétrie cloud-native, mais le cadrage — collecter large, alerter étroit, enquêter large — définit le champ de la détection moderne et n'a pas été remplacé.

À lire pour la doctrine. À appliquer la doctrine au stack que vous opérez vraiment.

Et SANS, GIAC, et les certifications ?

Si vous visez GCFA, GCIH, GCFE ou GREM, ces livres couvrent environ 60 à 70 % du matériel conceptuel ; les 30 à 40 % restants sont du tradecraft qu'on n'obtient que via les cours SANS ou via de vrais engagements. Les livres sont nécessaires, pas suffisants. Prévoyez de les lire en parallèle d'un travail en lab — les CTF DFIR (Magnet Weekly CTF, DFIR Madness, BlueSky CON) sont là où les réflexes se construisent vraiment.

Le bon ordre

  1. Incident Response and Computer Forensics pour le modèle structurel — à quoi ressemble un programme de bout en bout.
  2. Practical Packet Analysis en parallèle — la fluidité pcap débloque toutes les autres disciplines.
  3. The Art of Memory Forensics une fois au moins un triage géré et le vocabulaire internals OS chargé.
  4. Practical Linux Forensics si votre environnement est Linux-lourd (et la plupart des environnements cloud modernes le sont).
  5. The Practice of Network Security Monitoring à tout moment — la doctrine se lit court, mais prend des années à absorber.

La seule meilleure chose à faire en parallèle de ces livres est de faire des CTF forensiques régulièrement. Un par mois, chaque mois. Les livres vous disent quelles preuves existent ; les CTF transforment leur découverte en réflexe.

Questions fréquentes

Where should I start with digital forensics and incident response in 2026?
Start with Incident Response and Computer Forensics (Luttgens, Pepe, Mandia). It is the structural primer the field still operates on — pre-engagement readiness, evidence acquisition, host and network forensics, and the project-management discipline that separates a controlled response from a panic. Read it before any of the more specialised tradecraft books.
Is The Art of Memory Forensics still relevant given Volatility 3?
Yes. The book targets Volatility 2.x and the tooling has moved to Volatility 3, but the conceptual material — what the plugins look for, why, and the operating-system internals underneath — translates cleanly. It remains the canonical reference for memory analysis across Windows, Linux, and macOS, and nothing has replaced it in print.
Do I need to read all five DFIR books before working a real incident?
No. Read Incident Response and Computer Forensics first, then Practical Packet Analysis in parallel for pcap fluency. The other three are reference material you can layer in as the work demands it — memory forensics for malware-heavy cases, Practical Linux Forensics for cloud workloads, and Bejtlich for detection doctrine.
Are these books enough to prepare for GCFA, GCIH, GCFE, or GREM?
They cover roughly 60–70% of the conceptual material; the remaining 30–40% is tradecraft you only get from the SANS courses themselves or from actual engagements. Treat the books as necessary but not sufficient — pair them with DFIR CTFs (Magnet Weekly, DFIR Madness) and, if possible, real triage work.