Supervision du système d'information
La supervision de votre système d’information implique la mise en place d’un journal des événements techniques liés à la sécurité. L’archivage de ces informations et leur analyse régulière permettra de détecter une éventuelle compromission du SI.
1- La journalisation
Il faut donc garder à l’esprit que l’activité de journalisation est un moyen de détection et d’analyse. Elle ne se substitue pas aux mécanismes de protection du système d’information, elle doit être employée de façon complémentaire.
Les besoins de journalisation du SI administré et du SI d’administration doivent donc être pris en compte dans l’étude de conception du SI d’administration. Une zone d’administration doit être dédiée aux services de journalisation. Une attention particulière doit être apportée à veiller à l’intégrité de ces journaux d’événements, depuis leur génération jusqu’à leur lieu de stockage. En cas d’intrusion, les attaquants voudront effacer ou modifier les traces générées pour que leur présence ne soit pas détectée. Afin de couvrir ce risque, au-delà du cloisonnement des services de journalisation, il est nécessaire de restreindre les accès à ces informations aux seules personnes ayant le besoin d’en connaître le contenu.
Dans un journal, y compris pour des applicatifs tiers développés pour des besoins métiers spécifiques, doivent figurer nécessairement l’enregistrement des évènements liés à la sécurité (par exemple l’authentification des utilisateurs) ainsi qu’à l’activité correspondant au service fourni par l’applicatif (par exemple l’accès à une ressource). Les journaux doivent si possible être générés dans un format interprétable, c’est-à-dire compréhensible à la lecture et facilement analysable de manière automatique par des outils informatiques.
Ce qu’il faut faire
- Utiliser des systèmes et des applicatifs disposant nativement d’une fonctionnalité de journalisation est primordial. La prise en compte de cette fonction doit se faire lors de toute démarche de conception et de développement.
- L’horodatage doit être activé pour l’ensemble des évènements afin de permettre une meilleure exploitation des journaux.
- Les horloges des équipements doivent être synchronisées sur plusieurs sources de temps internes cohérentes entre elles.
- Dans certains cas, le choix d’un même fuseau horaire (heure UTC par exemple) sur l’ensemble des équipements peut être nécessaire.
- Lors du dimensionnement des équipements, l’estimation de l’espace de stockage nécessaire à la conservation locale des journaux est indispensable.
- Les journaux doivent être automatiquement exportés sur une machine physique différente de celle qui les a générés.
- Centraliser les journaux afin d’en faciliter leur exploitation.
2- Etablissez une stratégie de surveillance
Surveillez en permanence tous les systèmes et réseaux. Analysez les journaux pour détecter toute activité inhabituelle pouvant indiquer une attaque.
Désignez un Responsable de la Sécurité des Système d'Information (RSSI) homme-orchestre de la sécurité de votre patrimoine informationnel de votre entreprise et faites le savoir en interne à vos collaborateurs.
Procédez à des audits et à des contrôles réguliers.
- Fréquence : au moins une fois par an.
- Périmètre : Système d'Information
- Actions : appliquez les actions correctives associées.
Pour aller plus loin : Mettez en place une politique et des procédures de gestion des incidents