Pourquoi la journalisation est l'épine dorsale de la détection
Vous ne pouvez ni détecter, ni investiguer, ni prouver un incident sans journaux. Une politique de journalisation et supervision définit quels événements sont enregistrés, comment les journaux sont protégés et conservés, et comment les anomalies sont détectées et escaladées — le socle de la fonction Détecter du NIST CSF.
Quoi inclure
- Périmètre — quels systèmes, applications et événements de sécurité sont journalisés (authentification, changements d'accès, actions d'admin, échecs).
- Quoi capturer — assez de contexte pour investiguer (qui, quoi, quand, où), sans journaliser de secrets ni de données personnelles excessives.
- Centralisation — envoyer les journaux vers un stockage central résistant à l'altération.
- Conservation — durée de rétention, en équilibrant besoins d'investigation, coût et minimisation RGPD.
- Protection — contrôles d'accès et intégrité des journaux eux-mêmes.
- Supervision et alertes — ce qui déclenche une alerte et qui y répond.
- Synchronisation horaire — horloges synchronisées pour corréler les événements entre systèmes.
Erreurs fréquentes
- Tout journaliser sans rien d'exploitable (pas de stockage central, pas d'alerte).
- Journaliser des secrets ou des données personnelles excessives, créant un nouveau risque.
- Des horloges désynchronisées, rendant la corrélation impossible.
Alignement référentiels
Correspond à l'Annexe A 8.15–8.17 d'ISO 27001:2022 (journalisation, supervision, synchronisation des horloges), aux critères SOC 2, et à la fonction Détecter du NIST CSF (DE.CM).
Générez-la en quelques minutes
Voir un exemple de politique de journalisation et supervision ou générez la vôtre gratuitement.