Qu’est-ce qu’un journal d’audit pour la conformité ? [Inclut des solutions]

Qu’est-ce qu’un journal d’audit pour la conformité ? [Inclut des solutions]

Un journal d’audit peut aider votre organisation à se conformer et à sécuriser. Alors, quels sont les journaux d’audit, comment les mettez-vous en œuvre et comment les utilisez-vous pour la conformité ?

Commençons par la question : quelle est la fonction d’un journal d’audit ? Un journal d’audit permet de suivre les informations concernant qui a accédé au système, ce qu’ils ont regardé et quelles actions ils ont prises. Ces informations temporelles sont importantes pour prouver la conformité et la sécurité.

Qu’est-ce qu’un journal d’audit ?

Un journal d’audit est un enregistrement des événements tels qu’ils se produisent dans un système informatique. Un système de tenue de journaux et de registres devient une piste d’audit où toute personne enquêtant sur des actions dans un système peut retracer les actions des utilisateurs, l’accès à des fichiers donnés, ou d’autres activités comme l’exécution de fichiers sous les permissions root ou administrateur ou les modifications des paramètres de sécurité et d’accès de l’OS.

À leur échelle la plus large, un journal d’audit peut suivre presque tous les changements qui se produisent dans un système. Cela les rend importants, voire nécessaires, de trois manières principales :

  • La piste d’audit fournit des éléments de preuve sur le système et son fonctionnement, ou sur ce qui a mal tourné. Cela inclut le suivi des bugs ou des erreurs dans les configurations du système ou l’identification de l’accès non autorisé aux données. Elle peut également aider la direction à auditer les performances et les activités des employés ayant des accès sensibles aux données.
  • Les journaux d’audit fournissent également des informations d’investigation liées aux violations. Une piste d’audit peut montrer comment les contrôles de sécurité sont en place et fonctionnent pour protéger les données critiques. Elle peut aussi fournir des informations cruciales sur la manière dont les pirates ont violé des systèmes spécifiques ou contourné les contrôles ainsi que sur les données auxquelles ils ont accédé.
  • Enfin, les journaux d’audit peuvent aider les administrateurs de systèmes à résoudre les problèmes au quotidien.

L’immuabilité d’une piste d’audit est une partie importante de son utilité. Les journaux sont des données, tout comme n’importe quel autre fichier sur un ordinateur, et s’ils sont endommagés, ils peuvent devenir inutilisables. Les meilleures pratiques en matière de journaux d’audit suggèrent que vous gardez une piste d’audit pendant au moins un an, ou plus si nécessaire pour la conformité réglementaire (par exemple, HIPAA exige au moins 6 ans de journaux sur les systèmes contenant des ePHI).

Logs d’audit vs. Logs système réguliers

Les logs d’audit sont générés pour enregistrer les activités des utilisateurs et les événements système liés à la sécurité à des fins d’enquête. Ils fournissent un enregistrement détaillé des événements critiques en matière de sécurité et des activités des utilisateurs, qui peuvent être utilisés pour identifier et enquêter sur tout comportement suspect.

Les logs système réguliers sont générés pour enregistrer des activités système telles que les défauts, les dysfonctionnements et les données d’utilisation globale. Les logs système réguliers fournissent un aperçu plus général des opérations du système.

Utilisation des logs d’audit pour la sécurité et la conformité

Les logs d’audit sont un outil critique pour la sécurité et la conformité, car ils fournissent un enregistrement détaillé des activités qui ont eu lieu au sein du système informatique d’une organisation. Cet enregistrement peut être utilisé pour identifier des activités suspectes et des violations de conformité potentielles.

Les logs d’audit doivent être régulièrement surveillés pour détecter toute activité suspecte qui pourrait indiquer une violation de sécurité ou de conformité. Ils devraient également être utilisés pour alerter les administrateurs de vulnérabilités potentielles avant qu’elles ne soient exploitées. Les logs doivent être régulièrement examinés pour identifier les tendances ou les modèles d’activité qui peuvent indiquer un accès non autorisé ou une activité suspecte. Toute activité nouvelle ou inhabituelle doit être immédiatement enquêtée et traitée.

Les logs d’audit peuvent être utilisés pour identifier les faiblesses potentielles du système et s’assurer que les utilisateurs respectent les politiques de sécurité de l’organisation. Cela peut aider à garantir que le système est sécurisé et conforme aux lois et réglementations applicables.

Les logs d’audit peuvent également être utilisés pour créer des rapports pour les audits de conformité. Ces rapports fournissent un enregistrement détaillé de toute activité liée à la sécurité ou à la conformité et peuvent être utilisés pour démontrer la conformité d’une organisation avec les lois et réglementations applicables.

Quels sont les avantages de l’utilisation des logs d’audit ?

Il va sans dire que si vous travaillez dans une industrie avec un cadre de conformité qui requiert une forme de journalisation des données (comme HIPAA, GDPR, ou FedRAMP) alors les logs ne sont pas seulement avantageux–ils sont nécessaires pour les opérations.

Cependant, il existe plusieurs façons différentes dont les logs d’audit fournissent un soutien pour les administrateurs de systèmes et les gestionnaires informatiques dans votre organisation:

  • Démontrer la conformité : comme mentionné ci-dessus, les journaux vous aident à démontrer aux auditeurs que vous êtes en conformité avec un cadre donné. C’est précisément la raison pour laquelle de nombreux cadres exigent des journaux d’audit en premier lieu.
  • Création de chaînes de preuves : Dans le cadre d’une sécurité ou d’une conformité, de nombreux cadres de sécurité préconisent la journalisation comme forme de preuve. Une chaîne ininterrompue de preuves peut montrer aux enquêteurs la source d’une violation de la sécurité ou prouver qu’une entreprise a mis en place les mesures de sécurité qu’elle prétend avoir.
  • Création d’une chaîne de garde : Dans des situations juridiques, la manière dont les fichiers sont modifiés ou manipulés peut être considérée comme une preuve devant un tribunal. Un journal d’audit immuable fournit une telle preuve pour les forces de l’ordre.
  • Compréhension et optimisation : Sur une note plus positive, les journaux peuvent montrer à votre direction et à vos spécialistes comment un système fonctionne dans certaines conditions, ce qui peut les aider à optimiser plusieurs systèmes internes. Les journaux peuvent refléter des choses comme le temps qu’il faut pour effectuer une tâche ou toute opération conflictuelle qui pourrait affecter la stabilité ou les performances du système.
  • Gestion de la sécurité et du risque : La gestion de vos profils de sécurité et de risque nécessite des informations ; informations sur les partenaires, informations sur les fournisseurs, informations sur les systèmes et produits cloud, etc.
  • Suivi des processus commerciaux : La piste d’audit peut montrer aux utilisateurs commerciaux comment leurs données ont été ou n’ont pas été utilisées. Par exemple, lorsqu’un avocat envoie un document juridique à un avocat adverse, et que cet avocat adverse prétend plus tard qu’il ne l’a pas reçu, l’expéditeur peut utiliser la piste d’audit pour prouver qu’il a été reçu jusqu’à des détails comme et exactement quand et l’adresse IP et l’équipement utilisé pour le télécharger.

En fonction de votre configuration logicielle et de votre réseau d’ordinateurs (ainsi que de vos exigences réglementaires), la journalisation d’audit peut aider en fournissant un ou plusieurs de ces avantages.

Qu’est-ce qu’une piste d’audit ?

En termes simples, une piste d’audit est une série de journaux qui documentent une série d’activités, d’actions ou d’utilisateurs à travers un système. Cela peut inclure des informations basées sur le temps sur le travail d’un système d’exploitation, ou une série de journaux documentant un utilisateur accédant aux ressources et aux données du système.

Les pistes sont essentielles à la sécurité car le plus souvent, un seul journal d’un événement ne va pas vous aider à gérer quoi que ce soit discuté précédemment dans cet article. Au lieu de cela, une piste de preuves peut fournir un aperçu de ce qui s’est passé et comment résoudre un problème.

Par exemple, si un serveur s’effondre et que des données sont perdues ou endommagées, alors une piste d’audit avant, et menant directement à, l’événement peut aider les administrateurs à reconstituer ce qui s’est passé.

De même, si un pirate informatique viole un système et vole des données, les spécialistes en sécurité informatique peuvent utiliser des pistes d’audit pour suivre les activités de cet individu afin de déterminer ce qu’ils ont compromis, ce qu’ils ont endommagé ou volé, et comment ils sont entrés dans le système.

Quels sont les composants d’un journal d’audit ?

Cela étant dit, les journaux ne sont pas une seule entité. Différents journaux peuvent avoir des composants différents en fonction de leur pertinence par rapport aux preuves qu’ils fournissent. La publication 27002 de l’Organisation internationale de normalisation (ISO) fournit des directives pour les événements typiques et les informations que les journaux devraient contenir pour les clients d’entreprise. En général, les journaux suivant ces directives contiendront généralement les informations suivantes:

  • Identifiants d’utilisateur (ceux autorisés pour le système et ceux qui accèdent au système)
  • Dates et heures de chaque événement dans la piste d’audit
  • Toute information système, y compris l’emplacement du dispositif, l’adresse MAC, etc.
  • Toute tentative de se connecter au système, à la fois légitimement et celles rejetées
  • Modifications des privilèges des utilisateurs, des numéros d’identification ou des paramètres de configuration du système
  • Tentatives d’accès aux fichiers et dossiers pertinents (ou à tous)
  • Informations réseau relatives à tout accès au système (numéro IP, port accédé, protocole connecté avec)
  • Alertes déclenchées par les logiciels de sécurité (pare-feu, logiciels anti-malware, systèmes de détection d’intrusion)
  • Toutes les transactions, partages de données ou autres connexions externes effectuées par les utilisateurs via le logiciel du système
  • Tout accès à des informations sécurisées ou personnellement identifiables (PII)

Des journaux de sécurité spécifiques peuvent également inclure des informations sur des systèmes ou des événements spécifiques non couverts ici pour fournir une documentation supplémentaire.

Cela étant dit, il n’y a pas un grand nombre d’exemples de logiciels commerciaux autonomes de journalisation d’audit. De nombreux systèmes d’exploitation ou applications tiers (y compris les services cloud SaaS) auront des capacités de journalisation intégrées qui peuvent ou non être personnalisables. Il existe cependant un large marché de solutions qui peuvent agréger les journaux pour fournir des informations critiques sur la sécurité, les performances, le suivi des bugs et les alertes employés. Ces systèmes sont appelés solutions de gestion des informations et des événements de sécurité (SIEM) et incluent des produits tels que Splunk, IBM QRadar, LogRhythm, HPE ArcSight et d’autres.

Cependant, en général, les outils d’audit dans un système devraient être capables de suivre les événements avec les données énumérées ci-dessus, et ils devraient être capables de produire des journaux de données sécurisés et conformes basés sur l’activité de la plateforme ou du logiciel, les exigences de conformité en place, et le type de données gérées (en fonction de l’industrie ou de l’entreprise).

 

Comment puis-je sécuriser les journaux d’audit sur mes serveurs?

Les journaux d’audit ne vont pas vous aider s’ils ne sont pas protégés. Les journaux endommagés ou modifiés rompent la piste d’audit et rendent les informations que vous avez collectées pour protéger votre système moins efficaces.

C’est à la fois malheureux et heureux que les journaux d’audit ne soient que des fichiers, comme tout autre fichier sur votre ordinateur. Malheureusement, cela signifie qu’ils peuvent être volés, modifiés ou corrompus comme d’autres fichiers. Heureusement, cela signifie également que vous pouvez les protéger avec des contrôles de sécurité courants, y compris:

  1. Chiffrement : Le chiffrement des fichiers de journal d’audit peut vous aider à garder ces données hors de portée des pirates qui ont violé votre système. Bien que ces fichiers puissent toujours être corrompus, cela signifie qu’ils sont plus difficiles à lire ou à manipuler.
  2. Protection contre l’accès non autorisé : Les fichiers dans un système informatique sont contrôlés par un système de permissions d’accès qui permettent ou interdisent aux utilisateurs de lire, écrire ou exécuter des fichiers. En définissant des journaux d’audit avec des exigences d’autorisation spécifiques, vous pouvez empêcher les utilisateurs non autorisés de faire quoi que ce soit avec eux.
  3. Contrôle d’accès pour les administrateurs : Il est possible qu’un administrateur puisse modifier les journaux d’audit concernant lui-même et ses activités de manière à rendre difficile le suivi de ce qu’il a fait. Vous pouvez définir des journaux sur des utilisateurs ou des administrateurs spécifiques pour interdire la lecture ou la modification par ces utilisateurs.
  4. Détection de la modification, de la suppression ou de l’arrêt des journaux : Un attaquant couvre généralement ses traces en arrêtant et en supprimant les journaux dès qu’il infiltre un système. Le système doit immédiatement alerter le personnel lorsqu’une tentative est faite pour modifier ou détruire les journaux.
  5. Exportation des journaux vers des systèmes externes : Outre les avantages analytiques de l’exportation des journaux vers un SIEM centralisé, cela garantit également qu’en cas de suppression d’un journal par erreur ou par un attaquant, une autre copie existe. Réglez le SIEM pour alerter le personnel si un système cesse d’envoyer des journaux, car il est soit en panne, soit sous attaque.
  6. Archivage et journalisation : Envoyez les journaux à un service d’archivage externe pour les conserver pendant les années requises par les réglementations, malgré les catastrophes naturelles, le vol ou la corruption des systèmes originaux ou du centre de données.

La plateforme Kiteworks pour les journaux de données

Lorsque vous utilisez une plateforme pour des activités comme le partage de fichiers sécurisé et le stockage, l’email sécurisé, ou les formulaires sécurisés et la collecte de données, la journalisation des données est une nécessité énorme. La plateforme Kiteworks fournit ces services avec des capacités de journalisation sécurisées et complètes basées sur trois principes clés :

  1. Conformité : Si votre entreprise a besoin de MFT sécurisé, SFTP ou email pour l’une de ses opérations, nous pouvons fournir ce service avec les capacités de journalisation nécessaires pour garantir que vous restez en conformité. Nous travaillons avec des organisations dans les domaines de la santé, du gouvernement, de la finance, et plus encore, et nous les soutenons dans leur conformité à des cadres tels que HIPAA, FedRAMP, PCI DSS, et GDPR.
  2. Sécurité : Nos systèmes sécurisés incluent toute la journalisation nécessaire pour aider à servir d’outil d’investigation pour tous les problèmes que vous pourriez avoir, ainsi qu’un outil préventif pour vous aider à utiliser facilement la plateforme Kiteworks dans votre positionnement de gestion des risques.
  3. Accessibilité : Nos produits se concentrent sur l’accessibilité des données pour les membres de votre organisation, et cela inclut l’accès aux journaux de données pour les bonnes personnes. Lorsqu’il est temps de réaliser des audits (pour des violations de sécurité ou des exigences de conformité annuelles) nos outils fournissent un accès simplifié aux données dont vous avez besoin.
  4. Intégration SIEM : La plateforme Kiteworks Enterprise exporte en continu les journaux vers le SIEM de votre organisation via un journal d’audit standard, y compris les intégrations avec IBM QRadar, ArcSight, FireEye Helix, LogRhythm et d’autres. Il prend également en charge le transfert Splunk et inclut une application Splunk.
  5. Données de journal propres, complètes et utilisables : Nos ingénieurs testent et améliorent la qualité, l’exhaustivité et l’utilisabilité des entrées de journal dans chaque version de produit. Ils utilisent un tableau de bord CISO complet et des affichages de rapport comme banc d’essai pour s’assurer que les clients peuvent accéder aux métriques et paramètres nécessaires pour surveiller les activités, détecter les menaces, et effectuer des investigations.
  6. Journal unifié, standardisé : Les flux d’événements provenant des composants de l’application et du système sont tous acheminés vers un seul journal, avec des messages standardisés qui permettent aux analystes et à l’apprentissage automatique de détecter et d’analyser les modèles qui traversent plusieurs canaux de communication, tels que le courrier électronique, le MFT, le partage de fichiers, et le SFTP, ainsi que les modifications administratives des politiques, des permissions, et des configurations, et les activités du système d’exploitation, les connexions, les accès aux dépôts, et les scans par les produits DLP, anti-virus, ATP, et CDR.
  7. Intelligence, analyses et notifications : La technologie AI détecte les événements suspects, tels que l’exfiltration possible, et envoie une alerte par courrier électronique et via le journal d’audit.
  8. Rapports administratifs étendus : Les interfaces administratives utilisent des journaux pour des tableaux de bord lisibles par l’homme, ainsi que des rapports personnalisés et standard.
  9. Piste d’audit de l’utilisateur final : La plateforme fournit des affichages de suivi conviviaux pour l’utilisateur final afin qu’ils puissent déterminer si les destinataires ont accédé, modifié, ou téléchargé du contenu via des dossiers partagés sécurisés, des courriels sécurisés, ou le SFTP.

Pour comprendre comment Kiteworks permet la collaboration, une intégration facile et la conformité réglementaire, planifiez une démo personnalisée de Kiteworks aujourd’hui.

Ressources supplémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks