Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Conformité réglementaire > Qu’est-ce qu’un journal d’audit pour la conformité ?
Qu’est-ce qu’un journal d’audit pour la conformité ?

Qu’est-ce qu’un journal d’audit pour la conformité ?

par Bob Ertl updated juin 22, 2021 Conformité réglementaire
temps de lecture: 9 minutes

Un journal d’audit peut aider votre organisation à assurer la conformité et la sécurité. Mais qu’est-ce qu’un journal d’audit, comment le mettre en place et comment l’utiliser pour la conformité ?

Commençons par la question suivante : quelle est la fonction d’un journal d’audit ? Un journal d’audit garde la trace des informations sur qui a accédé au système, ce qui a été consulté et quelles actions ont été entreprises. Ces informations temporelles sont essentielles pour prouver la conformité et la sécurité.

Quelles normes de conformité des données sont essentielles ?

Pour en savoir plus :

Qu’est-ce qu’un journal d’audit ?

Un journal d’audit enregistre les événements au fur et à mesure qu’ils se produisent dans un système informatique. Un système de tenue de journaux et d’archives devient une piste d’audit qui permet à toute personne menant une enquête de retracer les actions des utilisateurs, les accès à certains fichiers ou d’autres activités comme l’exécution de fichiers avec des droits root ou administrateur, ou encore les modifications des paramètres de sécurité et d’accès du système d’exploitation.

À grande échelle, un journal d’audit peut suivre presque tous les changements survenus dans un système. Il s’avère donc important, voire indispensable, pour trois raisons principales :

  • La piste d’audit permet de mener des investigations sur le fonctionnement du système ou sur les causes d’un dysfonctionnement. Cela inclut la traque des bugs ou erreurs de configuration, ou l’identification d’un accès non autorisé à des données. Elle aide aussi la direction à auditer la performance et les activités des collaborateurs disposant de droits d’accès à des données sensibles.
  • Les journaux d’audit fournissent également des informations utiles lors d’incidents de sécurité. Une piste d’audit permet de vérifier si les contrôles de sécurité sont en place et fonctionnent pour protéger les données critiques. Elle peut aussi révéler comment des hackers ont compromis certains systèmes ou contourné les contrôles, ainsi que les données auxquelles ils ont accédé.
  • Enfin, les journaux d’audit aident les administrateurs système à diagnostiquer les problèmes au quotidien.

L’immutabilité d’une piste d’audit est essentielle à son utilité. Les journaux sont des données, comme n’importe quel fichier sur un ordinateur, et s’ils sont endommagés, ils deviennent inutilisables. Les bonnes pratiques recommandent de conserver une piste d’audit pendant au moins un an, voire plus si la conformité réglementaire l’exige (par exemple, HIPAA impose de conserver les journaux pendant au moins 6 ans sur les systèmes contenant des ePHI).

Journaux d’audit vs. journaux système classiques

Les journaux d’audit sont générés pour enregistrer les activités des utilisateurs et les événements système liés à la sécurité à des fins d’investigation. Ils offrent un historique détaillé des événements critiques pour la sécurité et des activités des utilisateurs, permettant d’identifier et d’enquêter sur tout comportement suspect.

Les journaux système classiques enregistrent les activités du système comme les défauts, dysfonctionnements et données d’utilisation générale. Ils donnent une vue d’ensemble plus globale du fonctionnement du système.

Utiliser les journaux d’audit pour la sécurité et la conformité

Les journaux d’audit sont des outils essentiels pour la sécurité et la conformité, car ils fournissent un historique détaillé des activités réalisées dans le système informatique d’une organisation. Ces données permettent d’identifier des activités suspectes ou des violations potentielles de conformité.

Il faut surveiller régulièrement les journaux d’audit pour détecter toute activité suspecte pouvant signaler une faille de sécurité ou de conformité. Ils servent aussi à alerter les administrateurs sur des vulnérabilités potentielles avant qu’elles ne soient exploitées. Les journaux doivent être examinés fréquemment pour repérer des tendances ou des schémas d’activité révélant un accès non autorisé ou suspect. Toute activité nouvelle ou inhabituelle doit être immédiatement analysée et traitée.

Les journaux d’audit permettent aussi d’identifier les faiblesses du système et de vérifier que les utilisateurs respectent les règles de sécurité de l’organisation. Cela contribue à garantir la sécurité du système et sa conformité aux lois et réglementations applicables.

Les journaux d’audit servent également à générer des rapports pour les audits de conformité. Ces rapports fournissent un historique détaillé de toute activité liée à la sécurité ou à la conformité et permettent de prouver la conformité de l’organisation avec les lois et réglementations en vigueur.

Quels sont les avantages des journaux d’audit ?

Il va de soi que si vous travaillez dans un secteur soumis à un cadre de conformité imposant la tenue de journaux (comme HIPAA, RGPD ou FedRAMP), les journaux ne sont pas seulement utiles : ils sont indispensables au fonctionnement.

Cela dit, les journaux d’audit offrent plusieurs avantages aux administrateurs systèmes et responsables IT de votre organisation :

  • Prouver la conformité : comme évoqué plus haut, les journaux vous permettent de démontrer aux auditeurs que vous respectez un cadre donné. C’est d’ailleurs la raison pour laquelle de nombreux référentiels imposent la tenue de journaux d’audit.
  • Créer une chaîne de preuves : dans une démarche de sécurité ou de conformité, de nombreux référentiels exigent la tenue de journaux comme preuve. Une chaîne de preuves ininterrompue permet aux enquêteurs d’identifier la source d’une faille de sécurité ou de prouver qu’une entreprise a bien mis en place les mesures de sécurité annoncées.
  • Assurer la traçabilité : dans un contexte juridique, la façon dont les fichiers sont modifiés ou manipulés peut constituer une preuve devant un tribunal. Un journal d’audit immuable fournit cette preuve aux autorités compétentes.
  • Analyse et optimisation : de façon plus positive, les journaux permettent à la direction et aux spécialistes de comprendre le fonctionnement d’un système dans certaines conditions, ce qui facilite l’optimisation de plusieurs systèmes internes. Les journaux peuvent par exemple indiquer le temps nécessaire à l’exécution d’une tâche ou des opérations conflictuelles susceptibles d’affecter la stabilité ou la performance du système.
  • Gestion de la sécurité et des risques : pour gérer la sécurité et les profils de risques, il faut disposer d’informations : sur les partenaires, les fournisseurs, les systèmes cloud et les produits, etc.
  • Suivi des processus métier : la piste d’audit permet aux utilisateurs métiers de savoir comment leurs données ont été utilisées ou non. Par exemple, lorsqu’un avocat envoie un document à la partie adverse et que celle-ci prétend ne pas l’avoir reçu, l’expéditeur peut utiliser la piste d’audit pour prouver la réception, avec des détails comme la date, l’adresse IP et l’équipement utilisé pour le téléchargement.

Selon votre configuration logicielle, votre réseau informatique et vos exigences réglementaires, la tenue de journaux d’audit peut vous apporter un ou plusieurs de ces bénéfices.

Qu’est-ce qu’une piste d’audit ?

Concrètement, une piste d’audit est une série de journaux retraçant des activités, actions ou utilisateurs sur un système. Cela peut inclure des informations temporelles sur le fonctionnement d’un système d’exploitation ou une suite de journaux documentant l’accès d’un utilisateur à des ressources et données du système.

Les pistes d’audit sont essentielles à la sécurité, car un seul journal d’événement ne suffit généralement pas à gérer les situations évoquées dans cet article. Une suite de preuves permet en revanche de comprendre ce qui s’est passé et d’y remédier.

Par exemple, si un serveur tombe en panne et que des données sont perdues ou endommagées, la piste d’audit précédant l’incident permet aux administrateurs de reconstituer le déroulement des événements.

De même, si un hacker compromet un système et vole des données, les spécialistes de la sécurité informatique peuvent utiliser la piste d’audit pour retracer les actions de l’individu, déterminer ce qui a été compromis, endommagé ou volé, et comment il a pénétré le système.

Quels sont les éléments d’un journal d’audit ?

Les journaux ne constituent pas un ensemble unique. Selon leur finalité, ils peuvent comporter différents éléments. La norme ISO 27002 fournit des recommandations sur les événements et informations à consigner pour les clients professionnels. En général, les journaux conformes à ces recommandations incluent les informations suivantes :

  • Identifiants utilisateurs (personnes autorisées et personnes accédant au système)
  • Dates et heures de chaque événement de la piste d’audit
  • Toutes les informations système, y compris la localisation du périphérique, l’adresse MAC, etc.
  • Toutes les tentatives de connexion au système, qu’elles soient légitimes ou refusées
  • Modifications des privilèges utilisateurs, numéros d’identification ou paramètres de configuration du système
  • Tentatives d’accès à des fichiers et dossiers concernés (ou à l’ensemble des fichiers et dossiers)
  • Informations réseau liées à tout accès au système (adresse IP, port utilisé, protocole associé)
  • Alertes générées par les logiciels de sécurité (pare-feu, anti-malware, systèmes de détection d’intrusion)
  • Toutes les transactions, partages de données ou autres connexions externes effectuées par les utilisateurs via les logiciels du système
  • Tout accès à des informations sécurisées ou à des informations personnelles identifiables (PII)

Certains journaux de sécurité spécifiques peuvent aussi inclure des informations propres à certains systèmes ou événements pour une documentation supplémentaire.

Il existe peu d’exemples de logiciels commerciaux de journalisation d’audit autonomes. De nombreux systèmes d’exploitation ou applications tierces (y compris les services cloud SaaS) intègrent des fonctions de journalisation, parfois personnalisables. Il existe en revanche un large marché de solutions capables d’agréger les journaux pour fournir des tendances essentielles sur la sécurité, la performance, le suivi des bugs et les alertes aux collaborateurs. Ces systèmes sont appelés solutions de gestion des informations et des événements de sécurité (SIEM) et incluent des produits comme Splunk, IBM QRadar, LogRhythm, HPE ArcSight, etc.

De façon générale, les outils d’audit d’un système doivent pouvoir suivre les événements selon les données listées ci-dessus, et générer des journaux sécurisés et conformes en fonction de l’activité de la plateforme ou du logiciel, des exigences de conformité en vigueur et du type de données traitées (selon le secteur ou l’activité).

Combien de temps conserver les journaux d’audit ?

La durée de conservation des journaux d’audit varie selon l’organisation et le secteur. Les politiques internes, réglementations sectorielles, obligations légales et le type de données collectées déterminent la durée de conservation. Par exemple, dans le secteur de la santé, HIPAA exige la conservation des journaux d’audit contenant des informations médicales protégées (PHI) pendant au moins six ans. De même, dans la finance, la règle SEC 17a-4 impose une conservation d’au moins six ans. Certaines organisations choisissent de conserver les journaux plus longtemps pour des raisons juridiques, de conformité ou de sécurité. Au minimum, il est recommandé de conserver les journaux d’audit pendant un an.

Comment sécuriser les journaux d’audit sur mes serveurs ?

Les journaux d’audit ne servent à rien s’ils ne sont pas protégés. Des journaux endommagés ou modifiés rompent la piste d’audit et rendent les informations collectées moins efficaces pour protéger votre système.

Il est à la fois regrettable et avantageux que les journaux d’audit soient des fichiers comme les autres sur votre ordinateur. D’un côté, ils peuvent être volés, modifiés ou corrompus comme n’importe quel fichier. De l’autre, vous pouvez les protéger avec des contrôles de sécurité classiques, notamment :

  1. Chiffrement : Chiffrer les fichiers de journaux d’audit permet de les protéger contre les hackers ayant compromis votre système. Même si ces fichiers peuvent encore être corrompus, ils seront plus difficiles à lire ou à manipuler.
  2. Protection contre les accès non autorisés : Les fichiers d’un système informatique sont régis par des autorisations d’accès qui permettent ou non la lecture, l’écriture ou l’exécution. En définissant des exigences d’autorisation spécifiques pour les journaux d’audit, vous pouvez empêcher les utilisateurs non autorisés d’y accéder ou de les modifier.
  3. Contrôle des accès administrateurs : Un administrateur pourrait modifier les journaux le concernant, rendant difficile le suivi de ses actions. Vous pouvez configurer les journaux relatifs à certains utilisateurs ou administrateurs pour leur interdire la lecture ou la modification de ces données.
  4. Détection de modification, suppression ou arrêt des journaux : Un attaquant cherche généralement à effacer ses traces en supprimant ou arrêtant les journaux dès qu’il pénètre un système. Le système doit immédiatement alerter le personnel en cas de tentative de modification ou de destruction des journaux.
  5. Exportation des journaux vers des systèmes externes : Au-delà des avantages analytiques de l’exportation vers un SIEM centralisé, cela garantit qu’en cas de suppression accidentelle ou malveillante d’un journal, une copie existe ailleurs. Configurez le SIEM pour alerter le personnel si un système cesse d’envoyer des journaux, signe d’un arrêt ou d’une attaque.
  6. Archivage et journalisation : Envoyez les journaux à un service d’archivage externe pour les conserver pendant la durée requise par la réglementation, même en cas de catastrophe naturelle, de vol ou de corruption des systèmes ou du data center d’origine.

La plateforme Kiteworks pour les journaux de données

Lorsque vous utilisez une plateforme pour des activités telles que le partage sécurisé de fichiers et le stockage, la messagerie sécurisée ou les formulaires sécurisés et la collecte de données, la tenue de journaux devient incontournable. La plateforme Kiteworks propose ces services avec des fonctions de journalisation sécurisées et exhaustives, reposant sur trois principes clés :

  1. Conformité : Si votre entreprise a besoin de MFT, SFTP ou d’e-mails sécurisés pour ses opérations, nous proposons ces services avec les fonctions de journalisation nécessaires pour garantir votre conformité. Nous accompagnons les organisations des secteurs de la santé, du gouvernement, de la finance, etc., et les aidons à être conformes à des référentiels comme HIPAA, FedRAMP, PCI DSS et RGPD.
  2. Sécurité : Nos systèmes sécurisés intègrent toute la journalisation nécessaire pour servir d’outil d’investigation en cas de problème, mais aussi d’outil préventif pour faciliter l’utilisation de la plateforme Kiteworks dans votre démarche de gestion des risques.
  3. Accessibilité : Nos produits privilégient l’accessibilité des données pour les membres de votre organisation, y compris l’accès aux journaux de données pour les personnes concernées. Lors des audits (suite à un incident de sécurité ou pour répondre à des exigences annuelles de conformité), nos outils offrent un accès simplifié aux données nécessaires.
  4. Intégration SIEM : La plateforme Kiteworks Enterprise exporte en continu les journaux vers le SIEM de votre organisation via un journal d’audit standard, avec des intégrations pour IBM QRadar, ArcSight, FireEye Helix, LogRhythm, etc. Elle prend aussi en charge Splunk Forwarder et inclut une application Splunk.
  5. Données de journal propres, complètes et exploitables : Nos ingénieurs testent et améliorent la qualité, l’exhaustivité et l’utilité des entrées de journal à chaque version. Ils utilisent un tableau de bord RSSI et des affichages de reporting pour garantir aux clients l’accès aux métriques et paramètres nécessaires au suivi des activités, à la détection des menaces et à l’investigation.
  6. Journal unifié et standardisé : Les flux d’événements issus des applications et composants système sont centralisés dans un journal unique, avec des messages standardisés permettant aux analystes et à l’IA de détecter et d’analyser des schémas couvrant plusieurs canaux de communication, comme l’e-mail, le MFT, le partage de fichiers, le SFTP, ainsi que les modifications administratives des règles, autorisations et configurations, les activités du système d’exploitation, les connexions, les accès aux dépôts et les analyses par DLP, antivirus, ATP et CDR.
  7. Intelligence, analyses et notifications : L’IA détecte les événements suspects, comme une possible exfiltration, et envoie une alerte par e-mail et via le journal d’audit.
  8. Reporting administratif étendu : Les interfaces d’administration exploitent les journaux pour des tableaux de bord lisibles, ainsi que des rapports personnalisés ou standards.
  9. Piste d’audit pour l’utilisateur final : La plateforme propose des affichages de suivi conviviaux pour que les utilisateurs finaux puissent vérifier si les destinataires ont accédé, modifié ou téléchargé du contenu via des dossiers partagés sécurisés, des e-mails sécurisés ou SFTP.

Pour découvrir comment Kiteworks facilite la collaboration, l’intégration et la conformité réglementaire, réservez une démonstration personnalisée de Kiteworks dès aujourd’hui.

Ressources complémentaires

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks