Pourquoi mettre en place un système de journalisation dans vos process de sécurité informatique ?
Depuis la RGPD et la loi informatique et libertés la gestion des données personnelles et des accès sont devenues un enjeu de taille pour les entreprises.
La journalisation est une mesure de sécurité récente qui permet d’enregistrer l’historique des événements survenus sur un serveur, une machine ou un logiciel. Les événements peuvent être filtrés et catégorisés en fonction de leur niveau de gravité : information, débogage, avertissement ou erreur, par exemple.
Les fichiers journaux ou « logs » assurent la traçabilité de la maintenance et des accès de votre SI en produisant des rapports interprétables par les collaborateurs (administrateurs système, ingénieurs d’exploitation…). Ces enregistrements prennent tout leur sens dans un contexte multi utilisateurs, où plusieurs acteurs ont accès à un même serveur.
La CNIL insiste sur l’importance de leur mise en place et du suivi de ces fichiers. Les logs permettent ainsi de retracer toutes les actions, modifications, intrusions ou incidents apportés par les utilisateurs.
Quelle durée de conservation pour vos fichiers de journalisation ?
Ces mesures de sécurité impliquent une bonne gestion de la conservation et de la durée de conservation des données numériques pour identifier les failles et les incidents sans surcharger le serveur. Nous conseillons de stocker les données sur une période d’une durée de 6 mois à un an (période pouvant être allongée à trois ans si besoin).
La CNIL propose un outil sous forme de grille qui permet de déterminer cette durée selon les spécificités : risque de détournement des données pour les personnes concernées par le traitement, obligation légale de conservation particulière, ou autre spécificité justifiant un allongement. Dans ce cas, une analyse doit être faite au cas par cas pour justifier ce besoin.
Dans quels cas utiliser la journalisation ?
Ces enregistrements sont utilisés dans diverses applications : pour effectuer des analyses statistiques, pour comprendre les dysfonctionnements d’un système ou une baisse de performance. Dans un cadre légal, pour les besoins d’une enquête, la journalisation permet aussi de fournir l’historique des connexions de clients, comme ceux des fournisseurs d’accès à internet (FAI).
Que mettre dans ses logs ?
Les fichiers logs doivent contenir un certain nombre d’informations comme :
- Les identifiants des utilisateurs
- Les activités du système
- Les dates, heures, et détails des évènements clés
- L’identité ou l’emplacement du dispositif, ainsi que l’identifiant du système
- Les enregistrements des tentatives d’accès au système
- Les enregistrements des tentatives d’accès aux données et ressources
- Les modifications de la configuration du système
Retrouvez le document de la CNIL sur la Recommandation de la Journalisation ici.
Et retrouvez les guides de la CNIL sur la sécurité des données ici