Published 8 mars 2026
By Emre SalmanogluGestion des journaux : le guide complet pour les équipes conformité et sécurité
Decouvrez comment mettre en oeuvre une gestion des journaux conforme aux exigences ISO 27001, SOC 2, NIS2 et DORA. Couvre la collecte, la retention, l'analyse des journaux, l'integration SIEM et les preuves de conformité.
gestion des journaux
journalisation
SIEM
piste d'audit
conformité
Qu'est-ce que la gestion des journaux ?
La gestion des journaux est la pratique systematique de collecte, centralisation, stockage et analyse des données de journalisation generees par les systemes, applications et equipements réseau de l'environnement informatique d'une organisation. Les journaux fournissent la piste d'audit qui permet la surveillance de la sécurité, l'investigation des incidents, les preuves de conformité et la visibilite opérationnelle.
Pour les organisations soumises a des exigences de conformité, la gestion des journaux est un contrôle fondamental exige par ISO 27001, SOC 2, NIS2 et DORA pour demontrer que les événements de sécurité sont enregistres, surveilles et disponibles pour audit.
Sources de journaux
| Source | Types de journaux | Exemples |
|---|---|---|
| Systemes d'exploitation | Authentification, événements systeme, execution de processus | Journal d'événements Windows, syslog/journald Linux |
| Applications | Actions utilisateurs, transactions, erreurs | Journaux de serveur web, journaux d'audit applicatifs |
| Equipements réseau | Flux de trafic, regles de pare-feu, requetes DNS | Journaux de pare-feu, journaux de proxy, données de flux |
| Plateformes cloud | Appels API, modifications de ressources, événements IAM | AWS CloudTrail, Azure Activity Log, GCP Audit |
| Outils de sécurité | Alertes, detections, resultats d'analyse | EDR, scanners de vulnerabilites, WAF |
| Bases de données | Requetes, modifications de schema, operations d'administration | Journaux d'audit, journaux de requetes lentes |
| Systemes d'identite | Authentification, MFA, événements SSO | Journaux IdP, événements Active Directory |
Architecture de gestion des journaux
| Composant | Fonction | Exemples |
|---|---|---|
| Agents de collecte | Collectent les journaux aupres des sources | Fluentd, Filebeat, rsyslog, agents cloud natifs |
| Transport | Transmettent les journaux de manière securisee vers la plateforme centrale | Kafka, AWS Kinesis, syslog-TLS |
| Traitement | Analysent, normalisent, enrichissent les données de journal | Logstash, Fluentd, pipelines ETL cloud |
| Stockage | Stockent les journaux avec la retention appropriee | Elasticsearch, S3, Azure Blob, Splunk |
| Analyse | Recherchent, correlent et visualisent les journaux | Kibana, Splunk, Grafana, outils d'analyse cloud |
| Alertes | Notification en temps reel sur les événements critiques | Regles SIEM, CloudWatch Alarms, PagerDuty |
Exigences de retention des journaux
| Referentiel | Retention minimale | Retention recommandee |
|---|---|---|
| ISO 27001 | Basee sur les risques (generalement 12 mois) | 1-3 ans |
| SOC 2 | Periode d'audit (12 mois) | 1-2 ans |
| NIS2 | Suffisante pour l'investigation | 12-18 mois |
| DORA | 5 ans pour les incidents TIC | 5 ans |
| RGPD | Proportionnee a la finalite | 6-12 mois pour les journaux d'accès |
| PCI DSS | 12 mois (3 mois immediatement disponibles) | 12 mois |
Evenements essentiels a journaliser
| Catégorie d'événement | Ce qu'il faut journaliser | Pourquoi |
|---|---|---|
| Authentification | Toutes les tentatives de connexion (succes et echec) | Detecter la force brute, le bourrage d'identifiants |
| Autorisation | Octrois d'accès, refus, escalade de privileges | Detecter les accès non autorises |
| Accès aux données | Accès aux données et systemes sensibles | Piste d'audit pour la protection des données |
| Modifications de configuration | Modifications des systemes, réseaux et applications | Detecter les modifications non autorisees |
| Actions administratives | Toutes les operations privilegiees | Responsabilisation des activités d'administration |
| Evenements de sécurité | Alertes, violations de politiques, anomalies | Surveillance et réponse de sécurité |
| Conditions d'erreur | Erreurs applicatives, defaillances systeme | Surveillance opérationnelle et detection d'incidents |
Exigences de conformité
Correspondance avec les référentiels
| Exigence | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|---|---|---|---|
| Journalisation des événements | A.8.15 | CC7.2 | Art. 21(2)(g) | Art. 10(2) |
| Protection des journaux | A.8.15 | CC7.2 | Art. 21(2)(g) | Art. 10(2) |
| Synchronisation des horloges | A.8.17 | CC7.2 | Art. 21(2)(g) | Art. 10(2) |
| Revue des journaux | A.8.15 | CC7.2 | Art. 21(2)(b) | Art. 10(1) |
| Retention des journaux | A.8.15 | CC7.2 | Art. 21(2)(g) | Art. 10(2) |
| Journalisation des administrateurs | A.8.15 | CC6.3 | Art. 21(2)(i) | Art. 9(4) |
Preuves d'audit
| Type de preuve | Description | Referentiel |
|---|---|---|
| Politique de journalisation | Politique documentee definissant ce qui est journalise et la duree de conservation | Tous les référentiels |
| Inventaire des sources de journaux | Liste de tous les systemes envoyant des journaux avec les lacunes de couverture | Tous les référentiels |
| Configuration de retention | Preuve des parametres de retention conformes a la politique | Tous les référentiels |
| Contrôles d'integrite des journaux | Documentation des mecanismes de protection contre la falsification | Tous les référentiels |
| Configuration NTP | Preuve de la synchronisation horaire sur tous les systemes | ISO 27001, SOC 2 |
| Procedures de revue des journaux | Processus documente de revue reguliere des journaux | Tous les référentiels |
| Preuves de contrôle d'accès | Preuve que l'accès aux journaux est restreint de manière appropriee | Tous les référentiels |
Erreurs courantes
| Erreur | Risque | Correction |
|---|---|---|
| Tout journaliser sans strategie | Couts excessifs, fatigue d'alertes, lacunes de conformité | Definir les exigences de journalisation par cas d'usage et besoin de conformité |
| Pas de protection de l'integrite des journaux | Les journaux peuvent etre falsifies, compromettant la valeur d'audit | Utiliser un stockage immuable, un hachage cryptographique, une collecte centralisee |
| Horodatages incoherents | Impossible de correler les événements entre les systemes | Implementer la synchronisation NTP, surveiller les derives d'horloge |
| Pas de processus de revue des journaux | Les journaux sont collectes mais jamais analyses | Etablir des alertes automatisees quotidiennes et une revue manuelle hebdomadaire |
| Retention insuffisante | Les journaux sont supprimes avant les besoins d'investigation ou d'audit | Aligner la retention sur l'exigence du référentiel applicable la plus longue |
| Journaliser des données sensibles | Des données personnelles ou des identifiants dans les journaux creent une charge de conformité supplementaire | Masquer ou expurger les champs sensibles avant le stockage |
Comment Orbiq accompagne la conformité en gestion des journaux
Orbiq vous aide a demontrer vos contrôles de gestion des journaux :
- Collecte de preuves — Centralisez les politiques de journalisation, les configurations de retention et les procedures de revue
- Surveillance continue — Suivez la couverture de journalisation et la conformité de retention
- Trust Center — Partagez votre posture de journalisation et de surveillance via votre Trust Center
- Correspondance de conformité — Mappez les contrôles de journalisation sur ISO 27001, SOC 2, NIS2 et DORA
- Preparation aux audits — Dossiers de preuves pre-constitues pour la revue par les auditeurs
Pour aller plus loin
- SIEM — Analyse de sécurité s'appuyant sur la gestion des journaux
- Centre d'operations de sécurité — Operations SOC alimentees par les journaux
- Réponse aux incidents — Utiliser les journaux pour l'investigation des incidents
- Gestion des accès privilegies — Journaliser l'activité privilegiee
- Automatisation de la conformité — Automatiser la collecte de preuves de journalisation