Autres pages associées au log management : Introduction au log management, focus sur les outils de log management
Le log management est une brique nécessaire à la mise en place d’une démarche efficiente de cybersécurité permettant notamment :
- D’identifier rapidement les risques et tentatives d’intrusion,
- Après attaque, d’identifier rapidement la source et identifier les dommages,
- De consulter l’historique des logs (durée de rétention), notamment en cas de vol de données,
- De se mettre en conformité avec le cadre réglementaire.
Ce système permet également de suivre les mesures édictées par la norme ISO 27002 :
En conclusion sur le log management :
En conclusion, trois points d’attention sont à considérer lors de la mise en place d’une démarche de log-management :
La démarche permet de gérer de manière efficace les volumes de logs :
De plus en plus de logs sont générés et cela constitue donc un enjeu important pour le log-management. Disposer de beaucoup de données sur le système d’information est une opportunité à saisir pour améliorer la démarche de cybersécurité et cela est possible par la mise en œuvre d’un outillage spécifique.
En effet, disposer d’un volume important de logs est important pour obtenir une vue transversale de la santé du SI mais cela n’est rien s’il n’est pas possible de les analyser et de les corréler de manière automatique. Cela permet également de générer des alertes le plus tôt possible après la découverte d’un comportement douteux ou d’une intrusion afin de réduire les délais de traitement de l’incident.
Importance de l’architecture et de la scalabilité :
Au regard du volume de données à collecter, il faut être vigilant sur le choix de l’outil et de l’architecture associée. La gestion des logs, dans une perspective de sécurité, nécessite de trouver un équilibre pertinent entre des ressources de stockage contraintes et une génération de données qui s’opère en continu.
Nécessité de définir un processus de cycle de vie des logs :
Les logs doivent être conservés dans un environnement sécurisé associé à un niveau de sécurité physique approprié, et à une surveillance étroite des accès. Si les données des journaux doivent être conservés plus de cinq ans, il convient de s’assurer que les supports de stockage utilisés sont pérennes (problématique associée à l’archivage électronique).
Il peut être nécessaire de procéder, avant l’échéance de la période de rétention requise, à un nettoyage afin de supprimer les données à caractère personnel (problématique associée au RGPD).
Dans tous les cas, des processus sont à définir et l’outillage à lui seul ne suffit pas à résoudre toutes les problématiques.
Page qui pourrait vous intéresser : Principales menaces en cybersécurité