Journalisation
Journalisation centralisee, SIEM et correlation des evenements
Rappel grille
3 items de 5 pts chacun : A = Tracabilite acces | B = Surveillance securite | C = Gestion des changements
Journalisation (Logging)
Sources de logs
- Active Directory : authentifications, modifications de comptes, elevations de privileges
- Firewall : flux reseau, tentatives de blocage
- Serveurs : evenements systeme, acces aux fichiers sensibles
- Applications critiques : connexions, actions sur donnees Niveau 4
- VPN et acces distants : toutes les sessions
- Equipements reseau : switches, routeurs
Retention
- Duree de conservation : 1 an minimum pour logs de securite (recommandation CNIL / NIS2 Art.23)
- Logs d'administration : 6 mois minimum
- Stockage centralise – Logs proteges contre modification/suppression
SIEM – Centralisation et correlation
- Agregation de tous les logs dans le SIEM
- Regles de detection d'anomalies : tentatives d'authentification multiples echouees, acces hors heures ouvrables, elevations de privileges, transferts inhabituels
- Alerting par criticite :
- Criticite 1 : Alerte immediate RSSI + astreinte
- Criticite 2 : Email RSSI
- Criticite 3 : Dashboard quotidien
- Lecture reservee : RSSI et administrateurs nommement designes (secret professionnel – PSSI section 5)
- Conf. NIS2 Art.23 : notification incidents sous 24h (alerte precoce) / 72h (rapport)
Pages liées
- Complétez avec Surveillance Sécurité et SIEM.
- Voir aussi Gestion des Accès pour l'authentification.