Recommandations de sécurité pour l'architecture d'un système de journalisation

Cette note technique détaille les prérequis nécessaires à la mise en œuvre d’un système de journalisation efficace et sécurisé et présente les bonnes pratiques permettant de bâtir une architecture de gestion de journaux pérenne, quelle que soit la nature du système d’information (SI bureautique, SI industriel, SI classifié...).

Publié le 28 Janvier 2022 Mis à jour le 28 Janvier 2022
Recommandations de sécurité pour l'architecture d'un système de journalisation - couverture

Les journaux d’évènements constituent une brique technique indispensable à la gestion de la sécurité des systèmes d’information, quelles que soient la nature et la taille de ces derniers. Les journaux sont une source d’information riche qui peut être utilisée a priori pour détecter des incidents de sécurité.

Dans ce cas, les évènements constituant les journaux sont consultés et analysés en temps réel. Les journaux peuvent également être employés a posteriori pour retrouver les traces d’un incident de sécurité ; l’analyse des journaux d’un ensemble de composants (postes de travail, équipements réseaux, serveurs, etc.) peut alors permettre de comprendre le cheminement d’une attaque et d’évaluer son impact.

La version en vigueur de ce guide est disponible au téléchargement et se substitue à la version antérieure ; la version 1.0 du 02/12/2015 est caduque et a été dépubliée. Sans engagement d’exhaustivité, l’annexe E référence les évolutions.

Les principes génériques de journalisation décrits dans ce guide sont déclinés au cas des systèmes Microsoft Windows dans le guide « Recommandations de sécurité pour la journalisation des systèmes Microsoft Windows en environnement Active Directory ».