PROTECTION DE VOTRE ENTREPRISE. Principes fondamentaux

Transcription

1 PROTECTION DE VOTRE ENTREPRISE Gestion des logs Principes fondamentaux

2 Sommaire Introduction...2 Défis que la gestion des logs permet de relever...3 Recherche de preuves informatiques...3 Conformité...3 Prise en charge de la gestion des informations et des événements de sécurité (SIEM)..3 La solution : une infrastructure de gestion des logs...4 Centralisation...4 Fiabilité élevée...4 Évolutivité...4 Sécurité...4 Introduction Les environnements informatiques comportent une grande variété de sources qui génèrent des logs dans différents formats. Pare-feu, applications de prévention des intrusions, routeurs, serveurs, VPN... ne sont que quelques exemples des nombreuses applications pour lesquelles des logs décrivant le fonctionnement des réseaux sont créés. Les logs proviennent typiquement de trois types de sources : les serveurs, les équipements réseau et les applications. Si vous souhaitez tirer parti de ce volume de données brutes pour en retirer des informations à la fois utiles et exploitables sur l activité, il est nécessaire de collecter, de filtrer et de normaliser les messages de ces différentes sources, puis de les rendre facilement accessibles à des fins d analyse et de conformité en les stockant de façon centralisée. Plus l environnement est étendu, donc complexe, plus les données générées sont difficiles à exploiter. C est là qu interviennent les infrastructures de gestion des logs. Secteurs...5 Télécommunications...5 Finance...6 Santé...6 Enseignement supérieur...7 Meilleures pratiques...8 Définition des résultats escomptés de la gestion des logs...8 Définition de votre stratégie de conservation et d accès...9 Analyse des logs...9 Révision de votre stratégie de gestion des logs...9 Résumé...9 En savoir plus...9 Les entreprises peuvent utiliser les données de logs à des fins multiples. Selon l équipe concernée au sein d un département informatique, les logs peuvent servir à gérer les capacités, à résoudre les problèmes, à fournir des informations dans le cadre de la conformité, à mesurer les interactions avec les utilisateurs, à prendre en charge la détection des menaces, etc. Une infrastructure de gestion des logs commune aux équipes de sécurité et les métiers peut permettre à l entreprise d économiser des sommes considérables, en plus de leur offrir la possibilité d accéder à davantage de sources d informations. 2

3 Défis que la gestion des logs permet de relever Recherche de preuves informatiques Dans les environnements informatiques actuels, la question n est pas tant de savoir si des violations de sécurité vont se produire, mais quand. Le défi pour les équipes de sécurité informatique est de réagir rapidement aux menaces internes et externes. Que l entreprise ait subi une attaque par déni de service (DDoS), un vol de données sensibles ou une fraude, les données de logs des équipements réseau et des applications jouent un rôle crucial dans l identification de la cause du problème. Dans le cadre de la recherche de preuves informatiques, il est impossible de savoir avant un incident quelles données vont être nécessaires à sa résolution. Pour cette raison, l entreprise doit absolument pouvoir disposer d un ensemble le plus complet possible de logs. Si un réseau informatique a été compromis, l équipe de sécurité doit détecter l attaque le plus vite possible afin de limiter les dégâts. Et, vu que les entreprises se tournent de plus en plus vers les applications Web pour interagir avec leurs clients, elles sont de plus en plus vulnérables aux attaques externes. Les attaques par déni de service, les virus et autres logiciels malveillants peuvent désactiver des applications Web stratégiques, ce qui peut avoir des conséquences désastreuses pour l entreprise. Quel est le premier endroit où les administrateurs système recherchent des indices sur une attaque? Les données de logs des différents équipements réseau et applications. Or, si les logs sont manquants ou enregistrés à des emplacements disparates, cette tâche d analyse des messages peut s avérer extrêmement longue et onéreuse. Les logs stockés dans des répertoires non centralisés et non sécurisés risquent d être supprimés des machines compromises ou modifiés par les attaquants qui cherchent à effacer les traces de leur passage. Conformité À mesure que la législation, la réglementation et les normes industrielles édictent des exigences de plus en plus strictes en matière de sécurité et de protection des données sensibles, les départements informatiques se retrouvent confrontés à une augmentation exponentielle des dépenses dédiées à la conformité. Selon le type de l entreprise et sa situation géographique, il est possible que plusieurs directives s appliquent. Ces directives, variables d une région à une autre et d un secteur d activité à un autre, peuvent se révéler assez obscures. Certaines, comme celle portant sur la sécurité des données dans le secteur des cartes de paiement (Payment Card Industry Data Security Standard, PCI DSS), définissent précisément le traitement des données et les audits ; d autres, telles que le Sarbanes-Oxley Act (SOX), exigent de mettre en place des procédures de contrôle générale. Quels que soient leur taille et leur secteur d activité, les entreprises encadrent leurs activités d audit à l aide de normes (ISO27001 ou COBIT par exemple). Le défi pour les responsables informatiques est de répondre aux différentes obligations réglementaires de la façon la plus rentable possible. La mise en conformité ne devrait pas être considérée comme un poste de dépense, mais plutôt comme un investissement. Dès lors qu une entreprise met en place des procédures conformes à la norme PCI DSS, elle bénéficie d une meilleure protection et peut améliorer ses résultats. Prise en charge de la gestion des informations et des événements de sécurité (SIEM) Le déploiement de solutions SIEM pour protéger les réseaux des menaces internes et externes est de plus en plus courant dans le monde professionnel. Si les grandes entreprises et institutions investissent des ressources financières et humaines considérables pour mettre en œuvre et maintenir des SIEM, elles négligent souvent l élément le plus important de ces systèmes : la gestion des logs. Les solutions SIEM offrent un panel vertigineux de diagrammes, de graphiques et de tableaux de bord basés sur des analyses sophistiquées de mise en corrélation des événements. Mais la qualité de ces analyses dépend de celle des données collectées sur les équipements réseau et les applications. Un aspect fondamental est d assurer le transfert fiable et sécurisé des logs de leur source d origine à un serveur central. À défaut d une infrastructure solide de gestion des logs, un déploiement SIEM ne peut pas être efficace à 100 % ou offrira un sentiment de sécurité illusoire. 3

4 La solution : une infrastructure de gestion des logs Pour garantir l accessibilité des données sur lesquelles les équipes de sécurité et des opérations s appuient au quotidien, l entreprise doit impérativement déployer une infrastructure de gestion des logs de haut niveau répondant aux quatre caractéristiques ci-dessous : Centralisation Avec Internet, le monde est ouvert à tous, mais les environnements informatiques se sont complexifiés. Les grandes entreprises exploitent des infrastructures dans différentes zones géographiques, par exemple pour connecter un bureau commercial régional, un service d assistance à l étranger ou un site de production. Pour ce faire, elles gèrent une multitude de serveurs, de réseaux, d équipements de sécurité et d applications. La plupart des logs sont collectés et stockés localement à des fins de diagnostic ; les logs sont souvent utilisés dans le cadre de la mise en conformité, de la sécurité et de la recherche de preuves informatiques. La gestion de cette masse de messages générés par les applications et les équipements des environnements distribués représente un défi non négligeable pour les départements informatiques. Fiabilité élevée Que vous ayez besoin d analyser les logs dans le cadre de vos opérations, de la gestion des applications ou de la sécurité, il est plus important que jamais de rendre vos logs disponibles et accessibles. Dans les premières heures de la gestion des logs, lorsque l on considérait les logs comme des produits dérivés utiles plutôt que comme un élément clé des opérations et de la sécurité, le transfert de logs était effectué via UDP. Même si ce protocole présente des avantages, par exemple la réduction des frais généraux, il a largement été supplanté par TCP, qui offre une meilleure fiabilité. Mais TCP est-il suffisant? L utilisation de ce protocole pour transférer les logs des clients vers les serveurs centraux constitue une amélioration notable en termes de fiabilité, mais elle ne garantit pas la disponibilité de toutes les données à des fins d analyse ou d archivage. Ainsi, si la connexion réseau ou le serveur central n est pas disponible, certains logs risquent d être perdus. L installation d une mémoire tampon sur disque local au niveau du client peut permettre d atténuer ces pertes en cas d impossibilité d envoi des logs. De même, définir une destination de basculement sur le client est un bon moyen de limiter les problèmes en cas de panne du serveur de logs. Pour garantir la réception des logs sur ce serveur, même via plusieurs points relais, voire des éléments réseau non fiables, les accusés de réception au niveau de l application sont indispensables. Vu l importance des logs d archivage, en particulier à des fins de conformité, il est recommandé de configurer le serveur de logs central dans un cluster haute disponibilité. Avec une telle configuration, si un nœud du serveur tombe en panne, vous êtes assuré que vos messages ne seront pas perdus. Une solution solide de gestion des logs : Évolutivité L un des nombreux défis que les entreprises de toutes tailles doivent relever est leur capacité à gérer des environnements informatiques toujours plus étendus et complexes. Du point de vue de la gestion des logs, ce défi implique de déployer des solutions capables d évoluer en même temps que les réseaux prennent de l ampleur, aussi bien en termes de nombre de sources de logs que de quantité de données générées. Un réseau élargi et diversifié peut comporter des dizaines de milliers de sources de logs allant des serveurs jusqu aux applications personnalisées. Selon le volume et la fréquence de génération des données, une solution de gestion des logs dédiée peut rapidement se retrouver submergée. Par exemple, un serveur Web qui héberge des sites très visités générera une kyrielle de logs. De même, les routeurs qui effectuent la traduction d adresses réseau de classe opérateur (Carrier Grade Network Address Translation, CGNAT) pour la conversion IPv4/IPv6 peuvent générer plus de messages par seconde. Bien que ces deux exemples ne soient pas représentatifs de la réalité de la plupart des entreprises, la tendance à vouloir collecter de nombreux logs implique que les solutions de gestion doivent évoluer pour absorber cette accélération de la fréquence de génération des données. Une solution de gestion des logs d entreprise doit pouvoir : évoluer facilement traiter plus de équipements produisant des logs collecter plus de messages par seconde Sécurité Les logs étant susceptibles de contenir des données sensibles, il est essentiel de les transférer via un protocole de transmission sécurisé tel que TLS. Les transferts cryptés offrent un haut niveau de confidentialité, peuvent empêcher l altération des logs et permettent l authentification mutuelle entre clients et serveurs. De nombreuses normes, telles que PCI DSS et HIPAA (Health Insurance Portability and Accountability Act), imposent le cryptage du transfert des logs qui contiennent des données personnelles, par exemple des numéros de carte de crédit, des dossiers médicaux informatisés, des noms d utilisateur et des mots de passe. Il est également primordial de déterminer lesquels des logs collectés devront être stockés de façon sécurisée. L archivage des logs dans des fichiers cryptés et horodatés présente un double avantage. Tout d abord, cette pratique empêche les attaquants d utiliser des techniques qui brouillent la recherche de preuves informatiques, par exemple effacer ou modifier les logs pour faire disparaître les traces de leur passage. Ensuite, au cas où les logs doivent être utilisés comme preuves dans le cadre de poursuites judiciaires, le stockage sécurisé peut appuyer l authenticité de ces fichiers en préservant la preuve numérique. offre la capacité à traiter des éléments réseau dont la fiabilité est douteuse et les pannes réseau, assure zéro perte de logs sur l intégralité de l infrastructure de logs permet la redondance sur les points critiques afin d éviter de créer des points de panne uniques 4

5 Secteurs Télécommunications Les opérateurs télécoms fondent toute leur activité sur des réseaux informatiques. L explosion des appareils mobiles intelligents, de la diffusion des contenus vidéo et des services basés sur le Cloud posent des problèmes opérationnels et sécuritaires de plus en plus épineux pour les fournisseurs de services. Pour rester compétitifs sur un marché des communications en évolution permanente, les opérateurs télécoms doivent exploiter des réseaux interconnectés complexes qui intègrent une multitude d équipements et d applications leur permettant d offrir des services innovants et fiables tout en optimisant leur retour sur investissement. Les réseaux de télécommunication génèrent des volumes astronomiques de logs depuis différentes sources : routeurs et passerelles de classe opérateur, commutateurs vocaux, serveurs Web et équipements de sécurité (pare-feu, systèmes de détection des intrusions, systèmes de prévention des pertes de données). Par exemple, le volume des logs échangés entre les serveurs Web servers/routeurs réseau centraux haute capacité et les pare-feu/ passerelles VoIP se mesure en téraoctets. Dans la plupart des cas, la clé de la détection et de la résolution des pannes réseau, et de la réponse à apporter aux menaces de sécurité, réside dans les informations contenues dans les millions de logs générés au quotidien. Gérer cette masse de données devient alors un aspect crucial pour les opérateurs qui souhaitent fournir des services fiables. En outre, ces données sont souvent exploitées à des fins différentes par plusieurs départements de l entreprise. Les opérateurs risquent des pertes financières réelles, en termes de pénalités liées aux contrats de niveau de service, et potentielles, en termes de perte de parts de trafic voix et données. Pourtant, certaines entreprises ne profitent pas pleinement de la multitude d informations présentes dans leurs logs réseau. Les données de logs, selon l équipe qui les collecte, sont souvent stockées dans des silos. Or, dans les grandes entreprises, la collecte et la gestion centralisées des logs permet d identifier les problèmes plus rapidement, ce qui réduit les temps d arrêt. À l instar de nombreuses autres sociétés, les opérateurs télécoms possèdent différents types de données sensibles dont ils doivent contrôler l accès : informations personnelles des clients et financières de l entreprise, dossiers des employés. Cependant, les fournisseurs de services non seulement doivent maintenir des bases volumineuses de données démographiques et transactionnelles, mais ils possèdent également une quantité colossale d informations d utilisation sous la forme d enregistrements de données d appel, et de données de trafic Internet et de transaction. En outre, les fournisseurs de services comptent généralement un grand nombre d employés. Ils doivent donc gérer et enregistrer les accès aux données sensibles, qu il s agisse des informations de carte de crédit, des dossiers des employés ou des données d utilisation des clients. Les opérateurs télécoms sont de plus en plus soumis aux différentes réglementations et normes industrielles sur la protection des données, comme celles portant sur les cartes de paiement, ainsi qu aux exigences des organismes nationaux et internationaux d application de la loi. Par exemple, la directive de l Union européenne sur la conservation des données oblige les fournisseurs de services à stocker les télécommunications des usagers pendant six à 24 mois. Les entreprises cotées en Bourse doivent en outre se conformer au Sarbanes-Oxley Act (SOX). 5

6 Secteurs Finance Santé Le secteur des services financiers doit relever des défis bien spécifiques en matière de système informatique. Que vous soyez une banque locale, une grande banque d investissement, un fonds spéculatif ou un assureur, vos opérations quotidiennes reposent sur votre réseau. Sur le marché actuel, la confiance des clients est difficile à gagner, mais très facile à perdre. Les institutions financières n ont jamais autant fait l objet d un niveau de surveillance de la part des clients et des organismes de régulation tel qu on le constate aujourd hui. Leur environnement informatique constitue donc la pièce centrale sur laquelle elles s appuient pour offrir à leurs clients les services les plus fiables et les plus sécurisés possibles. Ces établissements exploitent des réseaux étendus et distribués comportant des serveurs de données haute capacité qui exécutent différents logiciels standards et personnalisés à des emplacements distants. Le traitement des paiements et des transactions, ainsi que les opérations bancaires sur Internet ne sont que quelques-unes des tâches que les équipes informatiques doivent prendre en charge dans ce secteur. La vitesse à laquelle les affaires sont désormais menées s est amplifiée à mesure que les services financiers ont profité des avancées informatiques, ce qui renforce l importance de l efficacité opérationnelle dans une réalité où les pannes réseau peuvent entraîner de lourdes pertes financières. Lorsque les pannes se mesurent en secondes plutôt qu en minutes ou en heures, réduire le délai moyen de réparation peut avoir un impact considérable sur les résultats. Les sociétés de services financiers dépensent énormément de temps et d argent dans leur mise en conformité avec différentes réglementations, notamment le Gramm-Leach-Bliley Act (GLBA), le Sarbanes-Oxley Act (SOX), la norme PCI DSS et la réglementation Bâle II. Nombre d entre elles mettent en place des cadres bien connus tels qu ISO27001 ou COBIT pour satisfaire aux exigences de SOX et de Bâle II. Les audits internes et externes réguliers constituent la colonne vertébrale des systèmes de contrôle. La gestion des transactions financières reposant entièrement sur les infrastructures informatiques, les attaques des cybercriminels visent plus particulièrement le secteur financier. Les institutions doivent se protéger contre les menaces internes et externes en effectuant un contrôle et un enregistrement stricts des accès aux données sensibles, en surveillant leurs réseaux en permanence afin de détecter d éventuels événements suspects et en sécurisant leurs communications stratégiques. Les messages de logs émis par les serveurs, les équipements de mise en réseau, les pare-feu et une myriade d applications personnalisées contiennent les données nécessaires à la protection des réseaux contre les menaces de sécurité. Les organismes publics ou privés prestataires et payeurs de soins de santé ont vu leur environnement informatique se complexifier au fil du temps, avec en conséquence des défis de gestion des données sensibles toujours plus grands. Hôpitaux, cliniques et compagnies d assurance-maladie dépendent largement de leur système informatique pour gérer des données de nature très différente : dossiers médicaux informatisés, factures, déclarations de sinistres, prescriptions, images numériques, tests médicaux et bien d autres encore. Ce boum a amené les entreprises de ce secteur à amplifier leurs investissements informatiques dans diverses applications, standard ou personnalisées, ainsi que dans les serveurs et les équipements réseau capables de les prendre en charge. Gérer ces environnements complexes tout en assurant la protection des données sensibles est l un des défis les plus difficiles à relever dans ce secteur d activité. Les organismes prestataires et payeurs de soins de santé se fondent de plus en plus sur l informatique pour assurer leurs services, ce qui signifie des environnements au sein des hôpitaux, des cliniques et des assureurs toujours plus étendus et enchevêtrés. Ces organismes exploitent souvent des réseaux distribués comportant plus de serveurs et plusieurs milliers de clients prenant en charge des logiciels variés d informations médicales, qu ils soient standard ou personnalisés. Chaque équipement et application génère des messages de logs qui décrivent les opérations réseau. Gérer cette masse de données est donc un aspect crucial pour identifier et corriger les problèmes techniques. Suite à la dématérialisation de documents papier tels que les dossiers des patients, les déclarations de sinistres et autres, les agences de régulation ont émis des règles strictes encadrant la protection des informations médicales. Les organismes qui gèrent ce type de données doivent se conformer à de nombreuses réglementations, comme la loi américaine régissant la protection de la confidentialité et de l intégrité des informations des patients (HIPAA) et celle portant sur la dématérialisation des dossiers médicaux (HITECH, Health Information Technology for Economic and Clinical Health). Alors que l on assiste à une hausse des fraudes à l assurance, l accès aux données sensibles doit être rigoureusement contrôlé et enregistré, les réseaux doivent être surveillés en permanence afin de détecter d éventuels événements suspects et les communications stratégiques doivent être sécurisées. Les logs émis par les serveurs, les équipements de mise en réseau, les pare-feu et une myriade d applications personnalisées contiennent les données nécessaires à la protection des réseaux contre les menaces de sécurité. 6

7 Secteurs Enseignement supérieur Les universités et autres établissements d enseignement supérieur sont désormais des écosystèmes complexes dont le rôle auprès des étudiants est non seulement d assurer la pédagogie, mais aussi de garantir un environnement d apprentissage sûr. Ces institutions offrent souvent des services médicaux et d hébergement en cité universitaire ; certaines proposent même leur propre réseau d agents de sécurité. Elles comptent des milliers, voire des dizaines de milliers d utilisateurs disposant de différents droits d accès au réseau. En outre, elles doivent assurer la protection d une myriade de données personnelles, notamment les dossiers pédagogiques et médicaux, les informations de carte de crédit et les numéros d identification de chaque utilisateur du système. Les établissements d enseignement supérieur actuels comprennent de nombreux départements et facultés, chacun ayant des besoins informatiques spécifiques. Entre les sciences humaines et les programmes de recherche scientifique les plus pointus, les différences peuvent être vastes au sein d un même campus. Pour satisfaire aux exigences extrêmement variées des étudiants, du corps enseignant et des administrateurs, les équipes informatiques doivent déployer une large gamme d équipements et d applications. En outre, elles doivent à la fois intégrer les nombreux composants du réseau, assurer la fiabilité des opérations et sécuriser les données sensibles, en tenant compte des besoins contrastés des différentes personnes et disciplines concernées. Par ailleurs, en raison de la grande variété de rôles que les établissements d enseignement supérieur sont amenés à remplir, les équipes informatiques doivent assurer la conformité à différentes législations de protection des données. Par exemple, la loi américaine sur les droits et la confidentialité en matière d éducation (FERPA, Family Educational Rights and Privacy Act) impose aux établissements de protéger les dossiers des étudiants et de restreindre la diffusion des informations les concernant. La plupart des universités offrent la possibilité de payer de nombreux services par carte de crédit. Elles doivent donc se conformer à la norme PCI DSS ; celles qui proposent des services médicaux sont également soumises à la loi HIPAA. En outre, certains états des États- Unis ont mis en place leur propre législation de protection de la confidentialité, par exemple le Massachusetts Data Protection Act. 7

8 Meilleures pratiques Définition des résultats escomptés de la gestion des logs Impliquez vos différentes équipes informatiques et optimisez votre investissement. Le premier point de cette section peut paraître évident, mais définir l étendue de vos besoins en matière de gestion des logs est l étape la plus importante pour tirer pleinement parti de votre investissement financier et temporel. Autre étape tout aussi fondamentale : fixer des objectifs réalistes concernant les types de logs à collecter et les résultats attendus de cette opération. Le but de cet exercice est de déterminer quels renseignements exploitables extraire des données de logs. Consigner des données dans des logs pour la beauté du geste ne sert qu à gaspiller des ressources. L implication des différentes équipes de votre département informatique est un excellent moyen d augmenter le retour sur votre investissement en solutions de gestion des logs. Il est fort possible que les besoins immédiats de l équipe des opérations diffèrent de ceux de l équipe de sécurité, mais, dans de nombreux cas, les deux utilisent les mêmes données pour analyser différents aspects de votre environnement. Identifiez les sources : collectez les données dont vous avez besoin et écartez les autres. Une fois que vous avez déterminé l étendue de la solution de gestion des logs que vous souhaitez déployer, l étape suivante consiste à identifier les sources qui génèrent les logs dont vous avez besoin. Certaines d entre elles (les serveurs par exemple) comportent souvent plusieurs applications qui génèrent différents types de logs dans des formats variés. Indiquez aussi si la consignation des données dans des logs est activée par défaut. En effet, même si cette consigne vous semble superflue, il faut savoir que de nombreux équipements et applications par défaut ne créent aucun log. Autre point important : faites en sorte d écarter les logs que vous classez comme non pertinents. La collecte et le stockage de logs inutiles représentent un gâchis de ressources. Si vous ne les incluez pas, vous pourrez vous concentrer sur les données réellement importantes. Identifiez les contraintes. Une solution solide de gestion des logs requiert une infrastructure à même de traiter les données collectées et transférées. Lors du processus de planification, l identification des contraintes, par exemple la bande passante et la fiabilité du réseau, les capacités de stockage, les ressources financières et humaines à disposition, peut s avérer utile. Ce faisant, les décideurs pourront établir des priorités concernant les objectifs attendus de votre solution de gestion des logs. Identifiez les formats de log. La gestion des logs présente comme défi principal de comprendre l essentiel malgré le bruit associé à de gros volumes de données présentées dans des formats disparates et souvent non structurés. Heureusement, plusieurs des principaux formats standards peuvent faciliter la collecte des logs et leur normalisation. syslog est le format standard le plus courant. Ce protocole existe en deux versions : RFC3164 et RFC5424 (plus récente). Le second supplante le premier, car il intègre différentes améliorations, notamment un nouvel horodatage détaillé conformément à la norme RFC3339 ou la possibilité d inclure des données structurées sous la forme de paires nom-valeur dans les messages. Simple Network Management Protocol (SNMP) est un autre format répandu, généralement (mais pas exclusivement) utilisé sur les équipements réseau à des fins de signalisation de l état. Windows utilise son format de log propriétaire appelé Journal des événements. Un moyen répandu pour les applications standards et personnalisées de créer des logs est de passer par des tables de bases de données, principalement des variantes SQL. De nombreux autres formats sont récemment apparus dans l espace Java, par exemple log4j, à côté des formats propriétaires tels que netflow de Cisco. Afin de glaner des informations utiles de la myriade de logs générés par les applications, indépendamment de leur format ou du fait qu ils soient structurés ou non, vous devez les traduire dans un format commun. Ce processus de normalisation démarre dès la phase de définition de l étendue du projet de gestion des logs. Le simple achat d un outil n est pas suffisant : il faut aussi que vous cerniez quels types de données existent dans votre environnement informatique. Identifiez les données de logs sensibles et importantes. Une fois que vous avez identifié les types de logs à collecter, vous devez également déterminer leur importance et leur niveau de sensibilité. Tous les logs ne sont pas créés de la même manière. C est pourquoi vous devez reconnaître l importance relative des messages de débogage et des tentatives de connexion, par exemple. Les logs haute priorité doivent être traités avec le plus d attention. Pour ce faire, utilisez des protocoles de transport sécurisés et fiables. Certains logs contiennent des informations sensibles, par exemple des noms d utilisateur et des mots de passe, tandis que d autres comportent des données privées telles que des numéros de carte de crédit ou de sécurité sociale, ou des informations médicales. Vous allez parfois devoir rendre les données anonymes en écrasant certaines sections du log, par exemple en supprimant une partie des numéros de carte de crédit. 8

9 Meilleures pratiques Définition de votre stratégie de conservation et d accès Sans planification, le stockage des logs peut s avérer un véritable casse-tête. Même les départements informatiques les plus modestes peuvent vite se retrouver submergés. La valeur des données de logs diminue avec le temps, mais, selon leur source, il est conseillé de les conserver durablement. Les logs liés à la sécurité doivent être conservés plus longtemps que ceux concernant les opérations. De nombreuses normes et réglementations de protection des données, telles que PCI DSS et HIPAA, imposent explicitement de conserver les données. Les entreprises qui connaissent bien les différentes exigences de conformité peuvent définir de façon granulaire les données à conserver et leur durée de conservation. Cette approche peut les aider à limiter leur investissement global en systèmes de stockage. L un des principaux avantages d une collecte et d une gestion centralisées est la facilité d accès aux données de logs. Cependant, offrir un accès illimité n est pas sans risques. Certaines normes, par exemple PCI DSS, imposent de restreindre l accès aux données de logs au seul personnel autorisé. Ainsi, votre stratégie de conservation devrait inclure des règles d accès et votre personnel devrait pouvoir accéder aux données en fonction de leur rôle au sein du département informatique. Analyse des logs Le but final de la collecte de logs est d en extraire des informations utiles. Comme expliqué précédemment, il est donc important que vous définissiez les objectifs attendus de cette opération. Vous contenter de collecter et d archiver des logs afin de satisfaire aux exigences de conformité ne sera d aucune utilité pour votre entreprise. Certaines normes, PCI DSS par exemple, obligent à collecter, à surveiller et à vérifier régulièrement les données de logs. Une approche proactive, par laquelle vous établissez des processus de surveillance et de vérification, permettra à votre entreprise de bénéficier pleinement de la gestion des logs. Par exemple, les données de connexion des utilisateurs ne sont pas utiles uniquement dans le cadre de la sécurité informatique. Elles peuvent également s avérer très précieuses dans la gestion du personnel (connexion des collaborateurs internes) ou pour le département marketing (connexion des clients). Révision de votre stratégie de gestion des logs Les règles, normes et réglementations de sécurité sont continuellement revues et corrigées. Pour cette raison, mettez à jour régulièrement votre stratégie de gestion des logs. Les nouvelles sources de données, les exigences de conformité qui évoluent sans arrêt, la nature changeante des menaces et la mutation des besoins commerciaux ne sont que quelques-unes des raisons pour lesquelles vous devez établir un processus de révision régulière de votre stratégie et de vos pratiques. En savoir plus syslog-ng homepage Demander une démonstration en ligne Demander à être rappelé Résumé Que vous cherchiez à améliorer la sécurité, à optimiser vos opérations, à répondre aux critères de conformité ou à obtenir une meilleure visibilité sur votre activité à partir de votre environnement informatique, les données de logs contiennent des informations inestimables qu il faut savoir exploiter. Pour être efficace, une solution de gestion des logs doit être centralisée, sécurisée, ultra fiable et évolutive. La centralisation évite le problème des silos et permet à l entreprise d exploiter une plus large palette de données. Les informations contenues dans les données de logs sont utiles uniquement si elles sont disponibles et facilement accessibles. Le choix d une solution fiable est donc capital. L accès aux logs doit être simple, mais réservé au personnel approprié. En effet, les logs peuvent contenir des informations sensibles. Les efforts et le temps consacrés à la planification minutieuse de la mise en œuvre de votre solution de gestion des logs porteront assurément leurs fruits à long terme. À l inverse, négliger l étape de planification peut avoir pour conséquence la mise en place d une solution qui ne collecte pas les données nécessaires, n offre pas un accès facile à ces données, n évolue pas en fonction de l augmentation des sources de logs ou du trafic des messages. Repérer et résoudre les problèmes en amont est bien moins onéreux que de le faire rétrospectivement. Pour conclure, une solution de gestion des logs n est pas un outil qu on installe uniquement pour assurer la conformité et qu on se dépêche d oublier : elle doit être maintenue en continu. Les environnements informatiques et les menaces de sécurité changent en permanence. Par conséquent, faites en sorte que votre infrastructure et vos activités de gestion des logs soient toujours au diapason de ces évolutions. À défaut, vous risquez de voir vos opérations de gestion des logs perdre en efficacité au fil du temps. Votre sentiment de sécurité sera alors bien illusoire. 9