Cyber Diagnostic Devis Contact

Supervision du système d'information

La supervision de votre système d’information implique la mise en place d’un journal des événements techniques liés à la sécurité. L’archivage de ces informations et leur analyse régulière permettra de détecter une éventuelle compromission du SI.

1- La journalisation

Il faut donc garder à l’esprit que l’activité de journalisation est un moyen de détection et d’analyse. Elle ne se substitue pas aux mécanismes de protection du système d’information, elle doit être employée de façon complémentaire.
Les besoins de journalisation du SI administré et du SI d’administration doivent donc être pris en compte dans l’étude de conception du SI d’administration. Une zone d’administration doit être dédiée aux services de journalisation. Une attention particulière doit être apportée à veiller à l’intégrité de ces journaux d’événements, depuis leur génération jusqu’à leur lieu de stockage. En cas d’intrusion, les attaquants voudront effacer ou modifier les traces générées pour que leur présence ne soit pas détectée. Afin de couvrir ce risque, au-delà du cloisonnement des services de journalisation, il est nécessaire de restreindre les accès à ces informations aux seules personnes ayant le besoin d’en connaître le contenu.
Dans un journal, y compris pour des applicatifs tiers développés pour des besoins métiers spécifiques, doivent figurer nécessairement l’enregistrement des évènements liés à la sécurité (par exemple l’authentification des utilisateurs) ainsi qu’à l’activité correspondant au service fourni par l’applicatif (par exemple l’accès à une ressource). Les journaux doivent si possible être générés dans un format interprétable, c’est-à-dire compréhensible à la lecture et facilement analysable de manière automatique par des outils informatiques.

Ce qu’il faut faire

 

2- Etablissez une stratégie de surveillance

Surveillez en permanence tous les systèmes et réseaux. Analysez les journaux pour détecter toute activité inhabituelle pouvant indiquer une attaque.

Désignez un Responsable de la Sécurité des Système d'Information (RSSI) homme-orchestre de la sécurité de votre patrimoine informationnel de votre entreprise et faites le savoir en interne à vos collaborateurs.

Procédez à des audits et à des contrôles réguliers.


Pour aller plus loin : Mettez en place une politique et des procédures de gestion des incidents