Quels types de journaux doivent etre collectes ?

Les types de journaux essentiels incluent : les journaux d'authentification (tentatives de connexion, evenements MFA, sessions SSO), les journaux d'autorisation (octrois d'acces, refus, changements de privileges), les journaux systeme (evenements du systeme d'exploitation, demarrage/arret des services, erreurs), les journaux applicatifs (actions utilisateurs, transactions, erreurs), les journaux reseau (regles de pare-feu, requetes DNS, trafic proxy), les journaux des outils de securite (alertes EDR, resultats d'analyse de vulnerabilites), les journaux cloud (appels API, modifications de ressources, evenements IAM), et les journaux de bases de donnees (requetes, modifications de schema, actions d'administration).

Combien de temps les journaux doivent-ils etre conserves ?

Les exigences de retention varient selon le referentiel : ISO 27001 recommande de definir la retention en fonction de l'evaluation des risques (generalement 1 a 3 ans), SOC 2 exige les journaux pour la periode d'audit (minimum 12 mois), NIS2 exige une retention suffisante pour l'investigation des incidents (generalement 12-18 mois), et DORA exige 5 ans pour les enregistrements d'incidents lies aux TIC. La bonne pratique est de 12 mois en stockage a chaud avec 3-7 ans en stockage a froid/archive selon les exigences reglementaires.

Quelle est la difference entre la gestion des journaux et le SIEM ?

La gestion des journaux se concentre sur la collecte, le stockage et la recherche dans les journaux — c'est la couche d'infrastructure de donnees. Le SIEM (Security Information and Event Management) s'appuie sur la gestion des journaux en ajoutant la correlation en temps reel, les alertes, les regles de detection des menaces et l'analyse de securite. Vous avez besoin de la gestion des journaux avant de pouvoir implementer un SIEM. De nombreuses organisations commencent par la gestion des journaux et ajoutent les capacites SIEM au fur et a mesure de leur maturite.

Qu'est-ce que l'integrite des journaux et pourquoi est-elle importante ?

L'integrite des journaux garantit que les enregistrements n'ont pas ete alteres, supprimes ou modifies apres leur creation. C'est important car les journaux servent de preuves legales lors des investigations, les audits de conformite reposent sur des pistes d'audit fiables, les attaquants suppriment ou modifient regulierement les journaux pour couvrir leurs traces, et les referentiels reglementaires exigent une integrite des journaux demontrable. Les techniques incluent le stockage en ecriture unique, le hachage cryptographique, le transfert vers un stockage centralise immuable et les controles d'acces sur les systemes de journalisation.

Comment gerer les volumes de journaux sans couts excessifs ?

Maitrisez les couts en : echelonnant le stockage (chaud pour les journaux recents, tiede pour les archives interrogeables, froid pour la retention de conformite), filtrant le bruit a la collecte (exclure les journaux de debogage en production), definissant des politiques de retention par source de journal selon les besoins de conformite, compressant et deduplicant les journaux stockes, utilisant des services cloud natifs avec facturation a la requete, et indexant uniquement les champs pertinents pour la securite plutot que l'indexation en texte integral de tout.

Quels referentiels de conformite exigent la gestion des journaux ?

ISO 27001 (A.8.15 — Journalisation, A.8.17 — Synchronisation des horloges), SOC 2 (CC7.2 — Surveillance des systemes), NIS2 (Article 21(2)(g) — Politiques d'utilisation de la cryptographie et du chiffrement, y compris la journalisation), et DORA (Article 10(2) — Journalisation des operations TIC) exigent tous une journalisation complete. Ces referentiels imposent aux organisations de collecter, proteger, examiner et conserver les journaux comme preuves du fonctionnement efficace des controles de securite.

Qu'est-ce que la synchronisation horaire et pourquoi est-elle critique pour la journalisation ?

La synchronisation horaire (NTP) garantit que tous les systemes enregistrent les evenements avec des horodatages precis et coherents. Elle est critique car : l'investigation des incidents necessite de correler les evenements entre plusieurs systemes, des horloges desynchronisees rendent impossible la reconstitution des chronologies d'attaque, les referentiels de conformite (ISO 27001 A.8.17) exigent explicitement des horloges synchronisees, et les procedures judiciaires peuvent contester des preuves avec des horodatages incoherents. Utilisez des sources NTP faisant autorite et surveillez les derives d'horloge.

Gestion des journaux : le guide complet pour les equipes conformite et securite

Published 8 mars 2026

By Emre Salmanoglu

Gestion des journaux : le guide complet pour les equipes conformite et securite

Q: Qu'est-ce que la gestion des journaux ?

La gestion des journaux est la pratique consistant a collecter, stocker, analyser et conserver les donnees de journalisation provenant des systemes, applications, reseaux et outils de securite de l'environnement informatique d'une organisation. Elle fournit la piste d'audit necessaire a la surveillance de la securite, a l'investigation des incidents, aux preuves de conformite et au diagnostic operationnel. Une gestion efficace des journaux est une exigence fondamentale de tous les principaux referentiels de conformite.

Decouvrez comment mettre en oeuvre une gestion des journaux conforme aux exigences ISO 27001, SOC 2, NIS2 et DORA. Couvre la collecte, la retention, l'analyse des journaux, l'integration SIEM et les preuves de conformite.

gestion des journaux

journalisation

SIEM

piste d'audit

conformite

Qu'est-ce que la gestion des journaux ?

La gestion des journaux est la pratique systematique de collecte, centralisation, stockage et analyse des donnees de journalisation generees par les systemes, applications et equipements reseau de l'environnement informatique d'une organisation. Les journaux fournissent la piste d'audit qui permet la surveillance de la securite, l'investigation des incidents, les preuves de conformite et la visibilite operationnelle.

Pour les organisations soumises a des exigences de conformite, la gestion des journaux est un controle fondamental exige par ISO 27001, SOC 2, NIS2 et DORA pour demontrer que les evenements de securite sont enregistres, surveilles et disponibles pour audit.

Sources de journaux

Source	Types de journaux	Exemples
Systemes d'exploitation	Authentification, evenements systeme, execution de processus	Journal d'evenements Windows, syslog/journald Linux
Applications	Actions utilisateurs, transactions, erreurs	Journaux de serveur web, journaux d'audit applicatifs
Equipements reseau	Flux de trafic, regles de pare-feu, requetes DNS	Journaux de pare-feu, journaux de proxy, donnees de flux
Plateformes cloud	Appels API, modifications de ressources, evenements IAM	AWS CloudTrail, Azure Activity Log, GCP Audit
Outils de securite	Alertes, detections, resultats d'analyse	EDR, scanners de vulnerabilites, WAF
Bases de donnees	Requetes, modifications de schema, operations d'administration	Journaux d'audit, journaux de requetes lentes
Systemes d'identite	Authentification, MFA, evenements SSO	Journaux IdP, evenements Active Directory

Architecture de gestion des journaux

Composant	Fonction	Exemples
Agents de collecte	Collectent les journaux aupres des sources	Fluentd, Filebeat, rsyslog, agents cloud natifs
Transport	Transmettent les journaux de maniere securisee vers la plateforme centrale	Kafka, AWS Kinesis, syslog-TLS
Traitement	Analysent, normalisent, enrichissent les donnees de journal	Logstash, Fluentd, pipelines ETL cloud
Stockage	Stockent les journaux avec la retention appropriee	Elasticsearch, S3, Azure Blob, Splunk
Analyse	Recherchent, correlent et visualisent les journaux	Kibana, Splunk, Grafana, outils d'analyse cloud
Alertes	Notification en temps reel sur les evenements critiques	Regles SIEM, CloudWatch Alarms, PagerDuty

Exigences de retention des journaux

Referentiel	Retention minimale	Retention recommandee
ISO 27001	Basee sur les risques (generalement 12 mois)	1-3 ans
SOC 2	Periode d'audit (12 mois)	1-2 ans
NIS2	Suffisante pour l'investigation	12-18 mois
DORA	5 ans pour les incidents TIC	5 ans
RGPD	Proportionnee a la finalite	6-12 mois pour les journaux d'acces
PCI DSS	12 mois (3 mois immediatement disponibles)	12 mois

Evenements essentiels a journaliser

Categorie d'evenement	Ce qu'il faut journaliser	Pourquoi
Authentification	Toutes les tentatives de connexion (succes et echec)	Detecter la force brute, le bourrage d'identifiants
Autorisation	Octrois d'acces, refus, escalade de privileges	Detecter les acces non autorises
Acces aux donnees	Acces aux donnees et systemes sensibles	Piste d'audit pour la protection des donnees
Modifications de configuration	Modifications des systemes, reseaux et applications	Detecter les modifications non autorisees
Actions administratives	Toutes les operations privilegiees	Responsabilisation des activites d'administration
Evenements de securite	Alertes, violations de politiques, anomalies	Surveillance et reponse de securite
Conditions d'erreur	Erreurs applicatives, defaillances systeme	Surveillance operationnelle et detection d'incidents

Exigences de conformite

Correspondance avec les referentiels

Exigence	ISO 27001	SOC 2	NIS2	DORA
Journalisation des evenements	A.8.15	CC7.2	Art. 21(2)(g)	Art. 10(2)
Protection des journaux	A.8.15	CC7.2	Art. 21(2)(g)	Art. 10(2)
Synchronisation des horloges	A.8.17	CC7.2	Art. 21(2)(g)	Art. 10(2)
Revue des journaux	A.8.15	CC7.2	Art. 21(2)(b)	Art. 10(1)
Retention des journaux	A.8.15	CC7.2	Art. 21(2)(g)	Art. 10(2)
Journalisation des administrateurs	A.8.15	CC6.3	Art. 21(2)(i)	Art. 9(4)

Preuves d'audit

Type de preuve	Description	Referentiel
Politique de journalisation	Politique documentee definissant ce qui est journalise et la duree de conservation	Tous les referentiels
Inventaire des sources de journaux	Liste de tous les systemes envoyant des journaux avec les lacunes de couverture	Tous les referentiels
Configuration de retention	Preuve des parametres de retention conformes a la politique	Tous les referentiels
Controles d'integrite des journaux	Documentation des mecanismes de protection contre la falsification	Tous les referentiels
Configuration NTP	Preuve de la synchronisation horaire sur tous les systemes	ISO 27001, SOC 2
Procedures de revue des journaux	Processus documente de revue reguliere des journaux	Tous les referentiels
Preuves de controle d'acces	Preuve que l'acces aux journaux est restreint de maniere appropriee	Tous les referentiels

Erreurs courantes

Erreur	Risque	Correction
Tout journaliser sans strategie	Couts excessifs, fatigue d'alertes, lacunes de conformite	Definir les exigences de journalisation par cas d'usage et besoin de conformite
Pas de protection de l'integrite des journaux	Les journaux peuvent etre falsifies, compromettant la valeur d'audit	Utiliser un stockage immuable, un hachage cryptographique, une collecte centralisee
Horodatages incoherents	Impossible de correler les evenements entre les systemes	Implementer la synchronisation NTP, surveiller les derives d'horloge
Pas de processus de revue des journaux	Les journaux sont collectes mais jamais analyses	Etablir des alertes automatisees quotidiennes et une revue manuelle hebdomadaire
Retention insuffisante	Les journaux sont supprimes avant les besoins d'investigation ou d'audit	Aligner la retention sur l'exigence du referentiel applicable la plus longue
Journaliser des donnees sensibles	Des donnees personnelles ou des identifiants dans les journaux creent une charge de conformite supplementaire	Masquer ou expurger les champs sensibles avant le stockage

Comment Orbiq accompagne la conformite en gestion des journaux

Orbiq vous aide a demontrer vos controles de gestion des journaux :

Collecte de preuves — Centralisez les politiques de journalisation, les configurations de retention et les procedures de revue
Surveillance continue — Suivez la couverture de journalisation et la conformite de retention
Trust Center — Partagez votre posture de journalisation et de surveillance via votre Trust Center
Correspondance de conformite — Mappez les controles de journalisation sur ISO 27001, SOC 2, NIS2 et DORA
Preparation aux audits — Dossiers de preuves pre-constitues pour la revue par les auditeurs

Pour aller plus loin

SIEM — Analyse de securite s'appuyant sur la gestion des journaux
Centre d'operations de securite — Operations SOC alimentees par les journaux
Reponse aux incidents — Utiliser les journaux pour l'investigation des incidents
Gestion des acces privilegies — Journaliser l'activite privilegiee
Automatisation de la conformite — Automatiser la collecte de preuves de journalisation