Sécurité : Tracer les opérations

Afin de pouvoir identifier un accès frauduleux ou une utilisation abusive de données personnelles, ou de déterminer l’origine d’un incident, il convient d’enregistrer certaines des actions effectuées sur les systèmes informatiques. Les traces alors collectées sont également des éléments de preuve utiles pour la démonstration de la conformité.

Les précautions élémentaires

• Prévoir un système de journalisation (c’est-à-dire un enregistrement dans des « fichiers journaux » ou « logs ») des activités métier des utilisateurs (traces applicatives), des interventions techniques (y compris par les administrateurs), des anomalies et des évènements liés à la sécurité (traces techniques ou « système »).
   
• Conserver ces évènements sur une période glissante comprise entre six mois et un an (sauf, par exemple, en cas d’obligation légale portant sur cette durée de conservation, de besoin de gestion des contentieux, de contrôle interne ou encore d’un besoin identifié d’analyse post-incident) ;
   
• Effectuer, pour les traces applicatives, un enregistrement des opérations de création, consultation, partage, modification et suppression des données en conservant l’identifiant de l’auteur, la date, l’heure et la nature de l’opération ainsi que la référence des données concernées (pour en éviter la duplication) ;
   
• Informer les utilisateurs, par exemple lors de l’authentification ou de l’accès au système, de la mise en place du dispositif de journalisation, après information et consultation des instances représentatives du personnel ;
   
• Protéger les équipements de journalisation et les informations journalisées pour empêcher les opérations non autorisées (ex. : en les rendant inaccessibles aux personnes dont l’activité est journalisée), les mésusages par des comptes habilités (ex. : en mettant en place une charte d’utilisation ou des alertes spécifiques) et l’écrasement des traces générées par les applicatifs concernés.
   
• S’assurer du bon fonctionnement du système de journalisation en intégrant les équipements dans un outil de supervision et vérifier régulièrement la présence de journaux exploitables.
   
• S’assurer que les sous-traitants sont contractuellement tenus de mettre en œuvre la journalisation conformément aux présentes recommandations et de notifier dans les plus brefs délais, toute anomalie ou tout incident de sécurité au responsable de traitement.
   
• Analyser de manière active, en temps réel ou à court terme, les traces collectées pour être en mesure de détecter la survenue d’un incident (voir la fiche n°19 - Gérer les incidents et les violations).

Ce qu’il ne faut pas faire

• Dupliquer et conserver de manière excessive les données personnelles concernées par le traitement au sein des journaux (ex. : y enregistrer les mots de passe ou leur empreinte (ou « hash ») lors de l’authentification des utilisateurs).
   
• Utiliser les informations issues des dispositifs de journalisation à d’autres fins que celles de garantir le bon usage du système informatique (ex. : utiliser les traces pour compter les heures travaillées est un détournement de finalité, puni par la Loi).
   
• Conserver les traces sans limite de durée.

Pour aller plus loin

• Voir la recommandation de la CNIL relative à la journalisation.
   
• Faire participer l’utilisateur à la surveillance des opérations faites sur son compte et ses données (ex. : proposer un récapitulatif des trois dernières connexions). Privilégier une surveillance automatique des journaux, couplée à une configuration adaptée des alertes
   
• Mettre en place une enclave de collecte centralisant les journaux d’évènements de l’ensemble du système d’information afin d’empêcher toute altération de ceux-ci.
   
• L‘ANSSI a publié des recommandations sur la mise en place d’un système de journalisation74 et plus spécifiquement des recommandations en environnement Active Directory.
   
• En cas d’incident ou pour s’y préparer, consulter le site d’assistance et prévention en sécurité numérique.