Recommandations de sécurité pour la mise en œuvre d'un système de journalisation

Règles de conception technique

La prise en compte de la fonction de journalisation est primordiale et doit se faire lors de toute démarche de conception et de développement.

Les événements doivent être horodatés

  • pour l'ensemble des événements et ce afin de permettre une meilleure exploitation des journaux ;

  • les horloges des équipements doivent être synchronisées sur plusieurs sources de temps internes cohérentes entre elles.

Dimensionnement

  • l'estimation de l'espace de stockage nécessaire à la conservation locale des journaux doit être prise en compte dans le dimensionnement des équipements,

Recommandations d'architecture et de conception

  • Les journaux doivent être automatiquement exportés sur une machine physique différente de celle qui les a générés ;

  • centralisation des journaux journaux de l'ensemble des équipements du système d'information sur des serveurs dédiés ;

  • redondance nécessaire du serveur central en cas de volume de journaux important ou selon le nombre de sites de collecte de journaux ;

  • selon la taille ou la typologie du système d'information mise en place d'une approche hiérarchique pour l'organisation des serveurs de collecte.

Exemple d'architecture de journalisation simple (image du document officiel de l'ANSSI)
Exemple d'architecture de journalisation simple (image du document officiel de l'ANSSI)
Exemple d'architecture de journalisation multi-sites (image du document officiel de l'ANSSI)
Exemple d'architecture de journalisation multi-sites (image du document officiel de l'ANSSI)

Protection des données échangées

  • privilégier un transfert en temps réel des journaux sur les serveurs centraux ;

  • ne pas effectuer de traitement sur les journaux avant leur transfert (peut conduire à dénaturer les événements et induire des pertes d'information).

Fiabilisation du transfert des journaux

  • il est recommandé d'utiliser des protocoles d'envoi de journaux basés sur TCP pour fiabiliser le transfert de données entre les machines émettrices et les serveurs centraux.

Sécurisation du transfert des journaux

  • utiliser des protocoles de transfert de journaux qui s'appuient sur des mécanismes cryptographiques robustes ;

  • contrôler la bande passante des flux réseau utilisée pour transférer les journaux d'événements ;

  • en cas de besoin de sécurité, le transfert des journaux doit se faire sur un réseau d'administration dédié ;

  • placer les serveurs de journalisation dans un réseau spécifique non exposé directement à des réseaux qui ne sont pas de confiance.

Stockage

  • dédier une partition disque au stockage des journaux d'événements ;

  • prendre en compte les durées réglementaires de stockage.

Protection des journaux

  • l'accès aux journaux doit être limité en écriture à un nombre restreint de comptes ayant le besoin d'en connaître ;

  • les processus de journalisation et de collecte doivent être exécutés par des comptes disposant de peu de privilèges ;

  • un outil spécifique doit être utilisé pour une meilleure exploitation des journaux présents sur les serveurs centraux ;

  • les comptes ayant accès à l'outil de consultation centralisée des journaux doivent être associés à des rôles prédéterminés.