Aller au contenu

Renforcez la sécurité de votre infrastructure informatique grâce à une stratégie de journalisation efficace

Infos Cyber

avril 12, 2024

2 minutes de lecture

Lors de nos interventions lors d’incidents, nous constatons régulièrement l’importance critique de la collecte et de la conservation des journaux. Les journaux d’activité jouent un rôle crucial dans la réponse aux incidents en enregistrant chaque activité, des connexions d’utilisateurs aux transactions réseau, en passant par les tentatives d’accès non autorisées.

La collecte et la configuration des journaux d’activité provenant de divers équipements tels que les serveurs, les pare-feux et les solutions de sécurité offrent une vision globale de votre infrastructure. La synchronisation des horloges, la sécurisation et la centralisation des journaux, tout en respectant les politiques de rétention, garantissent une gestion optimale de la sécurité informatique.

Les journaux ne sont pas seulement des enregistrements passifs, mais des outils précieux pour comprendre la chronologie d’un incident, le vecteur d’intrusion et les éventuelles vulnérabilités de votre SI utilisées par l’attaquant. Il est essentiel d’avoir une rétention suffisamment longue (> 3 mois), mais conforme au RGPD (< 1 an sauf obligation légale spécifique) pour répondre aux besoins d’investigation numérique tout en respectant les exigences de confidentialité des données.

Cependant, nos expériences montrent souvent des politiques de journalisation inadéquates qui réduisent la capacité à mener des investigation numériques complètes et permettre de répondre aux questions :

  • Quel est le vecteur d’intrusion ?
  • Quelles vulnérabilités ont-été utilisées par l’attaquant ?
  • Y a-t-il eu une exfiltration de données ?
  • Quelles actions l’attaquant a-t-il réalisées sur le système d’information ?

Assurez-vous que vos politiques de rétention des journaux de vos équipements et notamment de vos solutions de sécurité sont adéquates. Lors du choix des licences de produits, vérifiez que les politiques de journalisation offrent une rétention des journaux compatible avec une investigation numérique. 

Guide ANSSI – Recommandations de sécurité pour l’architecture d’un système de journalisation

Partager :

Abonnez-vous à la newsletter
Breizh Cyber