Politique de journalisation et de surveillance

La politique de journalisation et de surveillance (P22) établit un cadre robuste et applicable pour capturer et analyser les événements système et de sécurité dans l’ensemble de l’environnement informatique de l’organisation. L’objectif principal de cette politique est de soutenir des systèmes de détection d'anomalies efficaces, une réponse rapide aux menaces, l’enquête forensique, la préparation à l’audit et une conformité juridique stricte. Pour atteindre ces objectifs, la politique définit des exigences claires pour générer, conserver et protéger les journaux, avec un accent sur une corrélation précise des événements grâce à une synchronisation de l’heure à l’échelle des systèmes. Le champ d’application de la politique est étendu. Il inclut tous les types d’infrastructure, sur site, en informatique en nuage (IaaS, PaaS, SaaS), environnements hybrides, ainsi que les systèmes d’exploitation, bases de données, applications, équipements réseau et systèmes de sécurité spécialisés tels que les SIEM et les pare-feu. La politique s’applique à un large éventail de parties prenantes, notamment les utilisateurs système et administratifs, l’exploitation informatique, les équipes du Centre opérationnel de sécurité (SOC), les développeurs, les propriétaires d’applications et les prestataires tiers de services. Chacun de ces groupes a des responsabilités spécifiques, telles que garantir la capture des journaux, vérifier l’intégrité des journaux, intégrer les journaux aux systèmes de surveillance centralisés et soutenir les fonctions d’audit et de conformité. Les objectifs sont clairement définis et couvrent l’ensemble du cycle de vie des données d’événements. Tous les systèmes critiques doivent générer et conserver des journaux détaillant l’accès utilisateur, les activités à privilèges, les changements de configuration, les défaillances, les détections de protection contre les logiciels malveillants et les événements réseau, afin de satisfaire les obligations réglementaires et contractuelles. Les journaux doivent être protégés contre toute altération ou suppression non autorisée, avec l’utilisation obligatoire de canaux chiffrés pour le transfert des journaux. Une agrégation et une corrélation centralisées via un SIEM sécurisé sont requises, permettant une surveillance coopérative, une escalade fondée sur des règles et une réponse aux incidents en quasi temps réel. La politique introduit également des exigences strictes de synchronisation d’horloge via NTP, permettant une corrélation inter-systèmes précise et une analyse forensique fiable. Les exigences de gouvernance imposent la mise en place d’une norme de journalisation et de surveillance, qui définit les types d’événements, les actifs critiques, les périodes de conservation et les formats de journaux, garantissant une application cohérente dans l’organisation. Si des systèmes ne peuvent pas respecter les exigences de journalisation en raison de limitations techniques, une demande de dérogation de journalisation (LER) formelle doit être soumise, évaluée formellement et revue périodiquement afin de maintenir les risques à un niveau acceptable. La conformité est obligatoire pour l'ensemble du personnel et vérifiée par des audits réguliers, avec des sanctions sévères, notamment le retrait de l’environnement de production, une escalade vers les Ressources humaines (RH) ou une action en justice, en cas de violations intentionnelles de la politique. Enfin, cette politique est étroitement alignée sur les normes internationales et cadres réglementaires actuels, notamment ISO/IEC 27001:2022 et 27002:2022, NIST SP 800-53 Rev.5, GDPR, NIS2, DORA et COBIT 2019. Cet alignement garantit non seulement la conformité, mais aussi la résilience opérationnelle grâce à une surveillance, une détection, une protection et des pratiques d’amélioration continue approfondies.