Recommandations de sécurité pour l’architecture d’un système de journalisation

Les journaux d’évènements constituent une brique technique indispensable à la gestion de la sécurité des systèmes d’information, quelles que soient la nature et la taille de ces derniers. Les journaux sont une source d’information riche qui peut être utilisée a priori pour détecter des incidents de sécurité.

Dans ce cas, les évènements constituant les journaux sont consultés et analysés en temps réel. Les journaux peuvent également être employés a posteriori pour retrouver les traces d’un incident de sécurité ; l’analyse des journaux d’un ensemble de composants (postes de travail, équipements réseaux, serveurs, etc.) peut alors permettre de comprendre le cheminement d’une attaque et d’évaluer son impact.

La version en vigueur de ce guide est disponible au téléchargement et se substitue à la version antérieure ; la version 1.0 du 02/12/2015 est caduque et a été dépubliée. Sans engagement d’exhaustivité, l’annexe E référence les évolutions.

Les principes génériques de journalisation décrits dans ce guide sont déclinés au cas des systèmes Microsoft Windows dans le guide « Recommandations de sécurité pour la journalisation des systèmes Microsoft Windows en environnement Active Directory ».