Warakorn - Fotolia
Quelles pratiques de référence pour la gestion des logs ?
La gestion des journaux d’activité pose la question de celles qui méritent d’être conservées et de la période pour laquelle elles doivent l’être.
La gestion des logs, dans une perspective de sécurité, nécessite de trouver un équilibre pertinent entre des ressources de stockage contraintes et une génération de données qui s’opère en continu. Il est de plus en plus difficile de trouver cet équilibre compte de l’accroissement considérable du nombre, du volume et de la diversité des journaux générés par les systèmes d’information. Malgré ces défis, la gestion réussie des logs s’avère essentielle pour assurer une rétention suffisamment longue, avec un niveau de détail suffisamment fin.
Certaines données de logs doivent être conservées suivant des contraintes réglementaires claires, notamment en raison de législations comme Sarbanes-Oxley outre-Atlantique, ou encore du standard PCI-DSS. Les équipes juridiques doivent là conseiller les équipes de sécurité sur les règlements et standards s’appliquant aux différentes activités de l’entreprise.
Le type de données de logs générées doit également être examiné. Les incohérences entre contenus et formats de journaux peuvent accroître le volume de stockage nécessaire et les temps de traitement associés aux efforts d’analyse. Les réseaux peuvent être compromis bien avant que la brèche ne soit découverte. Dès lors, conserver les logs de sécurité au moins un an peut permettre aux équipes d’investigation de reconstruire la chronologie de l’attaque, voire d’identifier des responsabilités.
Malheureusement, il n’existe pas de standard absolu pour la rétention des logs à des fins d’audit ; chaque réglementation et standard définit ses propres exigences. Certaines sont trop vagues pour être réellement éclairantes. Selon la section 10.7 de PCI DSS, une trace d’audit doit être conservée durant au moins un an, avec un minimum de trois mois de trace immédiatement accessible pour analyse. En France, les opérateurs d’importance vitale des secteurs de l’alimentation, de la gestion de l’eau et des produits de santé doivent conserver « les événements enregistrés par le système de journalisation […] pendant une durée d’au moins six mois ». Un délai qui interpelle alors que, selon Mandiant, il s’écoule en moyenne 469 jours entre le début d’une compromission et sa découverte, dans la région Europe, Moyen-Orient, Afrique.
Mais gérer des journaux, c’est également assurer leur confidentialité, leur intégrité et leur disponibilité. Les logs doivent être conservés dans un environnement sécurité associé à un niveau de sécurité physique approprié, et à une surveillance étroite des accès. Si les données des journaux doivent être conservés plus de cinq ans, il convient de s’assurer que les supports de stockage utilisés affichent la durée de vie nécessaire. Mais il peut être nécessaire de procéder, avant l’échéance de la période de rétention requise, à un nettoyage afin de supprimer les données personnelles identifiables.
Les logs jouent un rôle croissant dans la sécurité informatique et doivent, en conséquence, être gérés suivant une stratégie rigoureuse et durable. Le guide 800-92 du Nist américain fournit des recommandations en la matière.
Adapté de l’anglais.