Une piste d'audit est plus qu'une simple case à cocher de conformité : c'est l'épine dorsale de votre posture de sécurité des informations. Lorsqu'une violation se produit, lorsqu'un régulateur effectue un audit ou lorsqu'un conflit entre employés survient, votre piste d'audit est le dossier qui prouve ce qui s'est passé, quand et qui en était responsable.
La création de pistes d’audit efficaces nécessite bien plus que l’activation de la journalisation. Cela nécessite une approche stratégique de ce que vous capturez, de la manière dont vous le stockez et de qui peut y accéder.
Construire une base sécurisée
La base d’une piste d’audit fiable est une journalisation inviolable. Les enregistrements doivent être écrits de manière à rendre détectables les modifications non autorisées – généralement par hachage cryptographique, stockage en écriture unique ou une combinaison des deux.
La centralisation des journaux de l'ensemble de votre infrastructure dans un système de gestion des informations et des événements de sécurité (SIEM) permet une corrélation et une analyse que la journalisation distribuée ne peut pas fournir.
Garantir l’immuabilité des données
Les journaux d’audit n’ont de valeur que s’ils sont fiables. Un attaquant qui peut modifier ou supprimer les journaux peut brouiller les traces. La journalisation immuable (utilisant le stockage en ajout uniquement, la signature cryptographique ou le stockage cloud à écriture unique) garantit que l'enregistrement ne peut pas être modifié après coup.
Les cadres réglementaires, notamment SOC 2, HIPAA et ISO 27001, exigent explicitement des journaux d'audit immuables pour les systèmes critiques.
Capturer des informations contextuelles riches
Une entrée de journal qui enregistre le « fichier consulté » est beaucoup moins utile qu'une entrée qui enregistre qui y a accédé, à partir de quel appareil et emplacement, à quelle heure, ce qu'ils en ont fait et quel état du système a déclenché l'accès.
Une journalisation contextuelle riche transforme les pistes d'audit de simples enregistrements d'événements en outils d'enquête capables de reconstituer la chaîne complète des événements d'un incident.
Que consigner : une liste de contrôle pratique
- Tous les événements d'authentification : connexions, tentatives infructueuses, modifications de mot de passe, événements MFA.
- Accès privilégié : toute action entreprise par les comptes administratifs ou root.
- Accès et modification des données : lectures, écritures et suppressions d'enregistrements sensibles.
- Modifications de configuration : toute modification apportée aux paramètres du système, aux politiques ou aux contrôles d'accès.
- Transferts de fichiers : uploads, téléchargements et partage externe de fichiers sensibles.
- Événements réseau : connexions vers et depuis des systèmes sensibles.
- Événements d’application : événements de logique métier critiques dans les applications clés.
Conservation, examen et réponse
Les journaux d’audit doivent être conservés pendant une période adaptée à vos exigences réglementaires et à votre profil de risque. Les normes RGPD, HIPAA, SOX et PCI-DSS imposent chacune des exigences de conservation spécifiques qui doivent être mappées à votre infrastructure de journalisation.
Les journaux qui ne sont jamais examinés ne donnent qu’un faux sentiment de sécurité. Établissez des alertes automatisées pour les modèles anormaux (temps d'accès inhabituels, téléchargements de données en masse, échecs d'authentification répétés) et un processus défini pour enquêter sur les alertes.
- Définissez les périodes de conservation par type de données et exigence réglementaire.
- Automatisez les alertes en cas de modèles d'accès anormaux.
- Établir une procédure documentée de réponse aux incidents pour les alertes de piste d’audit.
- Effectuer des examens trimestriels de l’intégrité et de la couverture des pistes d’audit.