Comprendre les enjeux des entreprises pour réussir un projet de collecte et gestion de logs

La multiplicité des sources d'informations et des modes de transfert de journaux font que la collecte devient une opération compliquée. L'intégrité, la traçabilité et la conservation des données sont des dispositions à mettre en place.

On assiste depuis ces 5 dernières années à une révolution majeure dans la prise de conscience des entreprises dans la mise en œuvre de leur politique de sécurité. Il ne s'agit pas de l'apparition de super menaces même si elles existent toujours mais de nouvelles réglementations et normes qui définissent certaines obligations vis-à-vis de la sécurité du Système d'Information (SI). Cette évolution a pour conséquences une répartition différente des budgets qui vont être orientés en priorité sur la mise en conformité réglementaire plutôt qu'à des exigences de sécurité traditionnelle. Les outils de collecte et d'analyse des logs font partie de ces nouveaux enjeux.

La complexité de la collecte et de l'analyse de logs

La multiplicité des sources d'informations et des modes de transfert de journaux (Syslog, SNMP...) font que la collecte devient une opération compliquée surtout si l'on prend en compte le fait que chaque composant dispose de son propre format de message. Il faut tenir compte également de la conservation des données qui demande des capacités de stockage extrêmement importantes. Ces données doivent par la suite être utilisées pour superviser la sécurité du SI en temps réel (corrélation d'informations qui génère des alertes automatiques) et fournir des tableaux de bord pour le pilotage du SI aux différents acteurs de l'entreprise (Auditeurs externes, RSSI, Directeurs Informatique, DAF, DG...)
 
La gestion de logs au cœur des préoccupations
L'intégrité, la traçabilité et la conservation des données font donc partie des dispositions à mettre en place pour être en phase avec les différentes contraintes juridiques. Pour être synthétique, une entreprise a l'obligation de conserver ces logs pendant une durée qui varie en fonction de la nature des données (dans le cadre de la lutte anti-terroriste la durée de conservation est d'un an maximum). Ces projets seront souvent confiés à des sociétés de services extérieures car ils nécessitent une expertise très forte et parce qu'ils n'impactent pas directement le SI de l'entreprise (pas d'interaction forte avec le traitement des données).

La mise en place d'une stratégie efficace de gestion des logs en entreprise

Débuter un projet de gestion de logs c'est d'abord définir précisément ce qu'il est possible de réaliser par rapport au service attendu et à l'environnement du client. Cette phase amont prendra en compte le périmètre technique (quelles sont les équipements collectés, leur localisation, évaluation de la volumétrie des données en fonction de la durée de rétention des logs) et le périmètre fonctionnel (stockage,  troubleshooting, reporting en temps réel ou différés, alerting...). Une fois seulement ce travail effectué l'intégration et le développement d'outils propres à chaque client pourra être mis en place.

Autour du même sujet