Contrôle 8 — Gestion des journaux d'audit
Collecter, protéger et analyser les journaux d'événements pour détecter les activités malveillantes, soutenir les investigations et répondre aux exigences de conformité.
Pourquoi ce contrôle est critique ?
Les journaux d'audit sont les traces numériques qui permettent de savoir ce qui s'est passé lors d'un incident. Sans eux, impossible de déterminer l'ampleur d'une brèche, les données exfiltrées ou les comptes compromis. La Loi 25 exige de documenter les incidents — ce qui nécessite des journaux exploitables.
Procédures & outils recommandés
Centraliser les journaux dans un SIEM ou au minimum dans un dépôt protégé. Activer les journaux Windows Event Log, les journaux des pare-feux et des accès VPN. Définir des alertes sur les événements critiques : tentatives de connexion échouées répétées, accès en dehors des heures de bureau.
- Windows Event Viewer + forwarding — journaux Windows gratuits
- Graylog Community (open source) — agrégation et recherche de logs
- Wazuh (open source) — SIEM + HIDS gratuit
- Microsoft Sentinel (payant) — SIEM cloud Azure
- Elastic SIEM (open source) — stack ELK pour logs
Tableau des Safeguards
| # | Action (Safeguard) | IG | Classe |
|---|---|---|---|
| 8.1 | Établir et maintenir une politique de journalisation avec types d'événements, durée de rétention (minimum 90 jours actifs, 1 an archivés). | IG1 | Réseau |
| 8.2 | Collecter les journaux d'audit sur tous les actifs critiques (serveurs, réseau, applications). | IG1 | Réseau |
| 8.3 | S'assurer que les journaux incluent les événements d'authentification (succès et échecs). | IG1 | Utilisateurs |
| 8.4 | Standardiser la synchronisation des horloges (NTP) pour garantir la cohérence des timestamps. | IG2 | Réseau |
| 8.5 | Centraliser la collecte des journaux dans un SIEM ou dépôt sécurisé. | IG2 | Réseau |
| 8.6 | Collecter les journaux des flux réseau (NetFlow, sFlow) pour détecter les communications suspectes. | IG2 | Réseau |
| 8.7 | Alerter sur les comportements anormaux détectés dans les journaux. | IG2 | Réseau |
| 8.8 | Centraliser les journaux des systèmes d'exploitation. | IG2 | Appareils |
| 8.9 | Centraliser les journaux des équipements réseau. | IG2 | Réseau |
| 8.10 | Conserver les journaux pendant au minimum 12 mois, dont 3 mois accessibles en ligne. | IG3 | Réseau |
| 8.11 | Effectuer des analyses de journaux au minimum hebdomadaires. | IG3 | Réseau |
| 8.12 | Collecter les journaux des activités fournisseurs de services gérés (MSP). | IG3 | Réseau |
Application pour les PME québécoises
Pour une PME, la priorité IG1 est d'activer le transfert des journaux Windows (Event Forwarding) vers un serveur centralisé ou un service cloud. Wazuh est gratuit et open source — il collecte, corrèle et alerte sur les événements de sécurité sur tous vos systèmes.
Quiz de validation — 5 questions
1. Quelle durée minimale de rétention active recommande le Safeguard 8.1 ?
2. Quel outil open source gratuit fonctionne comme SIEM + IDS ?
3. Pourquoi synchroniser les horloges (Safeguard 8.4) ?
4. Combien de Safeguards IG1 contient le Contrôle 8 ?
5. Quel événement doit obligatoirement figurer dans les journaux (Safeguard 8.3) ?
Voir aussi