Politique de journalisation et de surveillance - PME

La Politique de journalisation et de surveillance (P22S) établit un cadre robuste pour sécuriser, conserver et auditer l’activité des systèmes au sein des petites et moyennes entreprises (PME). Cette politique est spécifiquement adaptée aux organisations qui ne disposent pas d’équipes informatiques ou de sécurité dédiées, en soutenant des rôles opérationnels simplifiés tels que le Directeur général, le prestataire de support informatique et le coordinateur de la protection des données. Malgré cette approche rationalisée, la politique garantit une conformité stricte aux normes internationales, notamment ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, le RGPD de l’UE, NIS2 de l’UE, DORA de l’UE et COBIT 2019. L’objectif de la politique est d’imposer des contrôles de journalisation et de surveillance qui préservent à la fois la sécurité et l’intégrité opérationnelle des systèmes informatiques de l’organisation. Elle définit quels événements doivent être journalisés (couvrant l’authentification, la gestion des configurations, l’accès aux données sensibles et les alertes automatisées), comment les journaux sont stockés et protégés de manière sécurisée, ainsi que les responsabilités de revue et d’escalade des incidents. La gestion des journaux au titre de cette politique soutient directement la conformité réglementaire, les enquêtes forensiques et la préparation à l’audit en continu, en répondant à la confiance des clients et aux exigences obligatoires de réponse aux violations. Un périmètre clair est défini : chaque système (des serveurs et équipements réseau aux services cloud et aux environnements d’usage de terminaux personnels) et chaque utilisateur (employés, sous-traitants, MSP) relève de sa couverture. Les journaux générés par des services gérés ou des plateformes tierces doivent être inclus lorsque des droits d’administration ou des droits d’audit sont fournis contractuellement. La politique exige des revues hebdomadaires et mensuelles des journaux critiques, une attention immédiate aux alertes de gravité élevée, et impose des durées de conservation d’au moins 12 mois, étendues à 3 ans pour les journaux d’incidents. Les mesures de protection des journaux incluent la protection en écriture, le contrôle d’accès restreint, des systèmes de sauvegarde chiffrés et des pistes d’audit pour toute modification critique des systèmes. Les rôles et responsabilités sont explicitement définis pour les PME : le Directeur général supervise l’approbation de la politique, répond aux alertes critiques et autorise les dérogations lorsque des contraintes techniques ou opérationnelles existent. Les prestataires de support informatique sont responsables de la configuration des journaux, de la revue régulière, du maintien des systèmes de sauvegarde et d’alerte, tandis que le coordinateur de la protection des données veille à ce que les journaux contenant des données à caractère personnel soient conformes au RGPD et soutient l’analyse des violations et les notifications réglementaires. Le personnel et les sous-traitants ne doivent jamais altérer ni désactiver les systèmes de journalisation et sont tenus de signaler les anomalies. Les mécanismes de gouvernance et de conformité couvrent les calendriers de gouvernance des journaux, les exigences de conservation et les contrôles de protection. Des politiques relatives aux services cloud, à la synchronisation de l’heure (NTP), à la configuration des alertes, à la couverture d’usage de terminaux personnels, à la sauvegarde et aux procédures de conservation pour litige sont incluses afin d’assurer la préparation forensique et la défendabilité juridique. Les dérogations doivent être documentées, revues semestriellement et atténuées de manière appropriée. La mise en application est soutenue par des sanctions en cas d’altération, de non-conformité ou de défaut d’escalade des alertes critiques, garantissant que les exigences d’audit et réglementaires sont toujours respectées. La politique impose des revues annuelles et prévoit des déclencheurs de mises à jour non planifiées sur la base des constatations d’audit, des incidents ou des changements d’infrastructure ou du paysage réglementaire. Cette politique soutient directement et est soutenue par des politiques PME connexes, notamment Protection des données et confidentialité, Sécurité des réseaux, Développement sécurisé, Réponse aux incidents et Synchronisation de l’heure. Ces liens constituent une base complète pour la traçabilité, la gestion des violations et la conformité, adaptée aux petites organisations mais suffisamment robuste pour répondre aux principales normes internationales.