C’est quoi un journal d’évènements?
Un journal d’évènements, également connu sous le nom de journal d’audit ou de log, est un enregistrement qui documente les actions effectuées par les systèmes informatiques, les applications, et les utilisateurs.
Ces journaux sont essentiels pour assurer la sécurité informatique, le dépannage, la conformité réglementaire et la surveillance des activités.
Voici quelques éléments clés à comprendre à propos des journaux d’événements :
Contenu d’un Journal d’Événements
Un journal d’événements typique peut inclure des informations telles que :
- Date et heure de l’événement.
- Type d’événement, qui peut indiquer s’il s’agit d’une erreur, d’un avertissement, d’une information, ou d’une activité de sécurité, entre autres.
- Source de l’événement, qui peut être le nom du logiciel, du système d’exploitation, ou du composant matériel qui a généré l’événement.
- ID de l’événement, un code unique attribué à chaque type d’événement pour faciliter son identification.
- Utilisateur concerné ou compte associé à l’événement, si applicable.
- Description détaillée de l’événement, qui peut inclure des informations spécifiques sur l’action effectuée, les résultats et tout message d’erreur associé.
Producteurs de journaux d’événements
Les journaux d’événements sont générés par une variété de sources au sein d’un environnement informatique, y compris :
- Systèmes d’exploitation : Windows, Linux, macOS, et autres systèmes d’exploitation génèrent des journaux pour suivre les activités systèmes et les interactions avec l’utilisateur.
- Applications et logiciels : Les applications métier, les bases de données, les serveurs web, et d’autres logiciels produisent des journaux pour documenter les opérations internes et les transactions utilisateur.
- Composants de sécurité : Les pare-feu, les systèmes de prévention d’intrusion, les antivirus, et d’autres outils de sécurité génèrent des journaux d’événements liés à la sécurité pour tracer les tentatives d’accès, les menaces détectées, et les actions de sécurité prises.
- Équipements réseau : Les routeurs, les commutateurs, et d’autres dispositifs réseau enregistrent les événements liés au trafic et aux performances réseau.
Pourquoi ils existent?
Les journaux d’événements sont utilisés pour :
- Surveillance de la sécurité : Détecter les activités suspectes ou non autorisées et répondre aux incidents de sécurité.
- Enquêter sur les incidents : Après un incident, les journaux permettent d’identifier qui a effectué quelles actions et comment, c’est des informations essentielles pour contenir les dommages et prévenir leur répétition.
- Conformité réglementaire : Démontrer la conformité avec les normes de sécurité et les réglementations en conservant un historique des activités.
- Dépannage : Identifier et résoudre les problèmes système ou applicatifs en analysant les événements enregistrés avant ou au moment de l’incident.
- Analyse de performance : Évaluer les performances des systèmes et des applications en examinant les activités enregistrées.
Alors, combien de temps conserver les journaux d’évènements?
La durée de conservation des journaux d’évènements dépend de plusieurs facteurs cruciaux :
- Types d’informations : Les données sensibles, critiques pour la sécurité ou liées à des transactions financières peuvent nécessiter une conservation prolongée.
- Normes et lois applicables : Les exigences légales ou réglementaires varient selon le secteur d’activité (ex. : PCI DSS pour les transactions par carte, HIPAA pour les données de santé).
- Objectifs opérationnels : L’analyse des performances, le dépannage, et la prévention des incidents peuvent aussi influencer la durée de conservation des journaux.
- Politiques internes : Chaque organisation doit développer des lignes directrices basées sur ses besoins spécifiques, ses évaluations de risques et ses obligations contractuelles.
ISO 27001
La norme ISO 27001 ne précise pas une durée exacte de conservation, mais exige que chaque organisation :
- Évalue les risques pour définir ses besoins.
- Définisse des politiques de gestion des journaux.
- Mettre en œuvre des contrôles pour leur collecte, conservation et destruction.
- Personnelement je suggère 6 mois à 1 an.
PCI DSS
Ces exigences s’appliquent spécifiquement dans le contexte de la gestion des transactions par carte de crédit, où la traçabilité des évènements est cruciale pour détecter et répondre aux violations de sécurité potentielles. Les journaux doivent être conservés pendant :
- Au moins un an en archive
- Facilement accessibles pour les trois derniers mois.
HIPAA
La loi HIPAA impose de conserver les journaux liés aux informations de santé protégées pendant:
- Au moins six ans.
CAN/CIOSC 104:2021 (CyberSecure Canada)
La norme ne mentionne pas spécifiquement la durée de conservation des journaux par contre le gouvernement du Canada fournit des recommandations:
Une période de conservation de
- 2 ans après la dernière utilisation administrative pour les informations ayant une valeur opérationnelle dans les processus de TI ou de sécurité.
Pour les fournisseurs de services en nuage :
- Au moins 90 jours
Loi 25 (Protection des renseignements personnels, Québec)
Les organisations sont tenues de conserver le registre des incidents de confidentialité pendant cinq ans suivant la date ou la période au cours de laquelle l’entreprise s’est rendue compte de l’incident (Article 3.8)
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.
