Selon Gartner, 45% des entreprises du monde entier auront subi des cyberattaques d’ici à 2025. Actuellement, une cyberattaque a lieu toutes les 39 secondes. Dans ce contexte où les attaques sont plus nombreuses, et toujours plus complexes, la journalisation des systèmes d’informations (SI) apparait comme un pilier central de la cybersécurité. Cette journalisation permet de réagir aux incidents de sécurité mais aussi de s'y préparer et de les prévenir.
Au niveau international, conformément à l’ISO 27002, la synchronisation des horloges de l’ensemble d’un système d’information est indispensable pour garantir l’enregistrement des événements et générer des preuves.
En France, l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) souligne l'importance de mettre en place une stratégie de journalisation efficace, notamment à travers ses recommandations.
L'importance de la journalisation
Au sein d’un SI, chaque action effectuée est un évènement de sécurité qui doit être enregistré, notamment si l’on souhaite garantir la traçabilité des actions, des modifications de fichiers, des accès aux données, etc. Cet enregistrement prend la forme de fichiers de journalisation (logs en anglais) contenant l’intégralité des actions effectuées, l’identité des personnes ou entités qui en sont les auteurs, ainsi que le moment exact de réalisation de l’action.
Ces journaux offrent une base solide pour l'investigation et la réponse aux incidents survenus. Les données collectées servent ainsi à :
- Détecter des incidents.
Les logs permettent d’identifier des activités anormales, souvent indicatives d'une tentative de cyberattaque.
- Analyser le post-incident.
Ce que l’on appelle également l’analyse forensique consiste à analyser les logs pour comprendre le déroulement des événements, identifier les failles exploitées et les vecteurs d'attaque.
- La conformité réglementaire.
Certaines données doivent être conservées (ou sont utiles à conserver) dans un cadre réglementaire, comme par exemple, archiver les conditions d’accès à certaines bases de données s’avèrent utile en cas de recours lié à une procédure RGPD (Règlement Général sur la Protection des Données).
Les bonnes pratiques pour une journalisation sûre et efficace
En France, l’ANSSI propose des recommandations détaillées concernant la gestion de la journalisation, à savoir :
- L’intégrité des logs.
Il est recommandé de mettre en place des solutions de chiffrement et de signature numérique des journaux. En effet, la première action des pirates informatiques est généralement de modifier les logs pour effacer les traces de leurs méfaits. Des outils adaptés au niveau de la journalisation annulent cette possibilité d’effacement. Les bonnes pratiques commencent au niveau des protocoles de synchronisation, comme par exemple l’utilisation de NTS dans NTP.
- Le paramétrage des logs.
Il est préconisé d’avoir une granularité raisonnable, suffisante pour répondre aux besoins, mais sans créer une masse de données qui serait rapidement impossible à analyser.
- La conservation des logs.
Il faut une politique raisonnée de nettoyage des logs. Cela passe par une durée de rétention compatible avec les obligations légales et la capacité de stockage de l’organisation.
- La supervision continue.
Il est conseillé de pouvoir analyser en temps réel les logs pour déclencher des alertes pendant les attaques, et être ainsi proactif. Il est donc recommandé de se doter d’un outil de gestion des événements et des informations de sécurité (en anglais SIEM pour Security Information and Event Management).
La mise en place d’une journalisation des actions au niveau du SI n’évitera jamais à une organisation d’être la cible d’attaques cyber. Toutefois, cela permet d’éviter une grande partie d’entre-elles, de comprendre les attaques déjouées afin de les éviter à nouveau, mais aussi de confondre les coupables.
Enfin, pour renforcer la mise en place d’un système de journalisation, l’ANSSI recommande également l’utilisation un serveur de temps NTP interne.
Le rôle essentiel des serveurs de temps dans la journalisation
Au sein du SI, le serveur de temps joue un rôle pivot dans le cadre de la journalisation. En effet, il synchronise les horloges de tous les équipements du système d’information. Il est donc le référent horaire et garantit ainsi l’exactitude et la cohérence de tous les horodatages indiqués dans les logs. L’exactitude de ces horodatages est indispensable pour détecter les anomalies survenant sur le réseau mais aussi pour prévenir les dérives temporelles.
En effet, les horloges de tout équipement dérivent naturellement dans le temps. Après quelques semaines, cette dérive peut se mesurer en secondes voire en minutes, ce qui peut rendre la journalisation défaillante.
Avec sa propre base de temps, un serveur de temps NTP installé en local assure la cohérence des horodatages et met en corrélation les évènements afin de reconstituer des séquences d’actions.
A posteriori, les analystes seront assurés de comprendre comment une attaque a été réalisée ; ce qui est la première étape pour mettre en place des correctifs. Enfin, les horodatages sont indispensables pour garantir la validité des logs dans le cadre d’une procédure judiciaire.
Expert en gestion des temps et présent dans plus de 140 pays, Bodet Time est un acteur français majeur de la synchronisation horaire et du temps fréquence. Les serveurs de temps NTP Netsilon synchronisent l’ensemble des équipements d’un réseau et assurent un horodatage exact qui garantit la journalisation des évènements.
