Un journal d’audit est un enregistrement chronologique détaillé de toutes les modifications apportées à un système d’exploitation, à une application ou à un appareil, dans le but de faire le suivi des opérations et de l’utilisation du système.
Les systèmes informatiques modernes sont extrêmement complexes et nécessitent souvent une surveillance importante. Lorsque les performances commencent à ralentir et que des erreurs ou encore des problèmes de sécurité ou de conformité surviennent, il peut être essentiel de savoir qui a accédé au système et quelles actions cette personne a effectuées.
Également appelés pistes d’audit, les journaux d’audit fournissent ces renseignements pertinents. Un journal d’audit agit comme un registre des événements qui ont lieu dans un système informatique et il permet aux auditeurs et au personnel informatique de suivre les actions des utilisateurs. Il peut fournir un aperçu essentiel de l’utilisation du système, des endroits où des problèmes peuvent survenir et de la présence et de l’exploitabilité des faiblesses liées à la sécurité. De plus, la conformité réglementaire peut exiger la conservation des journaux d’audit pendant une période précise.
Comme pour la plupart des autres aspects commerciaux, les dossiers détaillés qui sont facilement accessibles par les personnes autorisées présentent un certain nombre d’avantages évidents. Et pour les organisations qui travaillent dans des industries régies par des infrastructures de conformité, les journaux d’audit sont plus qu’avantageux; il s’agit d’une exigence standardisée.
Examinons de plus près certains des avantages les plus courants de la tenue de pistes d’audit :
Les infrastructures réglementaires courantes, comme PCI DSS et HIPAA, exigent l’utilisation de journaux d’audit pour prouver la conformité. Il s’agit de documents commerciaux officiels qui fournissent aux auditeurs des ressources essentielles pour inspecter et approuver les systèmes informatiques et contribuent à protéger les entreprises contre d’éventuelles amendes ou autres sanctions.
La clé de l’efficacité d’une sécurité informatique réside dans des connaissances fiables. Les pistes d’audit fournissent des enregistrements détaillés connexes à toutes les activités du système informatique. Cela comprend non seulement les activités standard, mais aussi toute activité susceptible de contrevenir aux pratiques de sécurité des données, y compris l’accès non autorisé aux données, ou même d’indiquer une violation de sécurité par un auteur de menaces externe. Utilisés correctement, les journaux d’audit aident les professionnels des services informatiques à repérer les éventuelles vulnérabilités de la sécurité, à repérer l’utilisation abusive des données et à y répondre, ainsi qu’à répondre rapidement aux événements émergents liés à la sécurité. Et, compte tenu de leur nature officielle, ces journaux peuvent également servir de preuve devant un tribunal.
Comprendre comment les utilisateurs interagissent avec un système est la première étape pour améliorer ces interactions. En faisant le suivi des activités des utilisateurs, les administrateurs et les autres surveillants autorisés obtiennent de précieux aperçus sur les problèmes liés à la performance, à la productivité, à l’efficacité et plus encore. En même temps, ils peuvent repérer et résoudre plus rapidement les problèmes potentiels avant qu’ils dégénèrent.
Les organismes de réglementation, les partenaires, les fournisseurs et même les clients veulent savoir qu’une entreprise est sécurisée avant d’y investir du temps ou des ressources. Une piste d’audit claire décrit les mesures de sécurité que l’organisation prend pour assurer la confidentialité des données. L’utilisation de journaux d’audit dans le cadre d’une infrastructure de gestion des risques contribue à démontrer qu’une entreprise présente de faibles risques.
Compte tenu des nombreux avantages associés à la tenue de journaux d’audit fiables, il n’est pas surprenant que ces dossiers numériques soient souvent utilisés dans divers cas d’utilisation. Par exemple :
Les entreprises qui ont besoin d’une certification de conformité doivent avoir des dossiers numériques complets sur la façon dont leurs systèmes fonctionnent, sont consultés et sont utilisés. Une piste d’audit fournit aux auditeurs les renseignements dont ils ont besoin pour s’assurer que l’organisation fonctionne selon des paramètres acceptables et sans anomalies problématiques.
Combinés à des systèmes de suivi en temps réel, les journaux d’audit permettent aux spécialistes informatiques de reconnaître les actions anormales ou illégales qui se produisent dans le système. Ils fournissent la preuve et l’aperçu dont la détection des menaces a besoin pour repérer rapidement les problèmes de sécurité potentiels à mesure qu’ils surviennent.
Dans le cas où une organisation fait l’objet d’une action judiciaire en raison de ses données ou de ses systèmes informatiques, les journaux d’audit peuvent être utilisés comme preuves judiciaires. Grâce à eux, une entreprise peut prouver qu’elle respectait les directives de conformité établies, et elle peut les utiliser en guise de preuve contre les personnes ou entités qui auraient réalisé des actions illégales dans le système.
Les rapports sur les contrôles des systèmes et de l’organisation (SOC) donnent aux entreprises la confiance nécessaire pour travailler avec des fournisseurs de services, démontrant ainsi la conformité de leurs activités. Grâce aux journaux d’audit, il est plus facile de produire des rapports SOC plus complets, ce qui aide les fournisseurs à établir clairement leur crédibilité et leur fiabilité.
Les journaux d’audit permettent aux entreprises de scruter à la loupe les activités des systèmes informatiques. Ils permettent de détecter et de résoudre rapidement même les bogues à faible impact, en plus de simplifier la reprise à la suite d’une atteinte à la sécurité.
Pour fournir les avantages ci-dessus, un journal d’audit doit inclure un certain nombre de détails essentiels. Ces détails contribuent à établir une image claire de l’environnement informatique et des circonstances associées à chaque action effectuée dans le système. Par conséquent, pour être fiable, un journal d’audit doit inclure :
Identifiant unique associé à un terminal individuel pouvant être utilisé pour déterminer la source de l’accès au système.
Identifiant unique associé à un utilisateur précis pouvant être utilisé pour identifier la personne qui accède au système.
Horodatages fiables indiquant le moment où les actions sont tentées ou exécutées dans le système, ainsi que la durée totale de l’accès au système.
Information détaillant les réseaux auxquels un utilisateur tente d’accéder (même si la tentative échoue).
Information détaillant les données, les applications et les systèmes auxquels un utilisateur tente d’accéder.
Information détaillant les fichiers précis auxquels un utilisateur tente d’accéder.
Information décrivant en détail les changements apportés au système, au réseau, aux applications ou aux fichiers.
Information détaillant les utilitaires du système auxquels un utilisateur accède et comment ils sont utilisés.
Information relative aux alarmes ou notifications de sécurité susceptibles d’être activées par l’utilisateur.
Enregistrement clair de toutes les notifications du système déclenchées par l’utilisateur pendant qu’il est dans le système.
Heureusement, l’époque où l’accès devait être consigné et examiné manuellement est révolue. Aujourd’hui, les solutions technologiques les plus pertinentes comprennent la création automatique de pistes d’audit, l’enregistrement et le stockage des données pour chaque action effectuée dans le système, sans exception. Cela dit, certains obstacles auxquels les organisations peuvent faire face lorsqu’elles mettent en œuvre une stratégie de gestion des journaux de travail subsistent. Ces défis peuvent notamment comprendre les éléments suivants :
Les journaux d’audit comprennent de grandes quantités de données, et plus il y a de processus, de systèmes, d’appareils et d’actions à suivre, plus l’espace de stockage nécessaire est important. Cela peut occasionner des problèmes de stockage pour les entreprises, augmentant ainsi les investissements nécessaires en matière de stockage. Vous devez donc vous assurer que l’entente conclue avec le fournisseur de la plateforme SaaS (logiciel-service) inclut suffisamment d’espace de stockage de données. Si vous n’avez pas encore opté pour une solution GRC moderne, vous devez mettre en place plus de serveurs internes ou payer plus cher pour un espace de stockage hors site.
Bien qu’une piste d’audit permette de renforcer la sécurité, ce qui est l’un de ses principaux avantages, le journal d’audit lui-même peut représenter une vulnérabilité en matière de sécurité. Lorsqu’un trop grand nombre de personnes ont accès aux renseignements du journal d’audit, les données de nature délicate saisies au cours de l’audit peuvent être exposées. Une façon d’atténuer ce risque est d’établir des pages de destination et des rapports basés sur les personas pour consulter vos activités d’audit et vos tâches d’engagement en temps réel. De même, les journaux d’audit eux-mêmes peuvent être moins sécurisés que les systèmes qu’ils surveillent, ce qui permet aux auteurs de menaces d’accéder plus facilement à des données de nature délicate. L’accès à ces données au moyen d’un portail, à partir d’une plateforme SaaS sécurisée, contribue à atténuer ce risque.
Même au sein d’une seule organisation, des différends peuvent survenir quant à la durée de conservation d’un dossier numérique. Certaines lois et réglementations peuvent établir une durée minimale (par exemple, de six mois à sept ans). Au-delà de cette durée, il appartient aux entreprises de décider combien de temps elles stockeront les données du journal d’audit avant de les éliminer. Plus la piste d’audit remonte loin dans le temps, mieux l’organisation sera protégée, mais conserver les données d’audit plus longtemps que nécessaire peut représenter une dépense inutilement importante sur le plan des coûts de stockage.
Des journaux d’audit trop détaillés peuvent entraîner un ralentissement de la réactivité du système. Comme pour le point précédent, les décideurs des services informatiques devront peut-être trouver un juste équilibre entre la sécurité et l’efficacité du système.
Les organisations qui comptent sur un certain nombre de systèmes, d’applications ou d’appareils différents peuvent rencontrer des problèmes, car chaque source de journalisation produit son propre journal d’audit (ou, dans certains cas, plusieurs journaux d’audit). Cette multiplicité crée non seulement des problèmes de stockage de données, comme nous l’avons mentionné ci-dessus, mais peut aussi mener à des rapports incohérents, ce qui peut nuire à la mise en relation ou au rapprochement des pistes d’audit entre plusieurs sources.
À l’occasion, l’analyse des journaux peut être traitée comme une tâche de faible priorité. Par conséquent, il se peut que les personnes responsables de cette analyse ne reçoivent pas la formation adéquate ou n’aient pas accès à des outils efficaces. Il en résulte que les analyses peuvent être réalisées de façon précipitée ou être incomplètes, inexactes ou encore simplement ne pas être effectuées du tout, sauf en réponse à une atteinte à la protection des données ou à une autre situation émergente.
Gouvernance, risque et conformité (GRC) de ServiceNow offre des capacités de gestion des audits en un seul emplacement centralisé. Les données pertinentes sont recueillies et analysées automatiquement, des pistes d’audit sont établies et les problèmes de conformité et de sécurité sont rapidement repérés. Apprenez-en plus sur Gestion d’audit dans GRC de ServiceNow, et obtenez les aperçus dont vous avez besoin pour faire en sorte que vos systèmes et vos utilisateurs travaillent ensemble de façon optimale.
ServiceNow facilite le monde, pour tous. ServiceNow permet aux entreprises de toutes tailles d’intégrer de façon fluide la gestion des risques, les activités de conformité et l’automatisation intelligente à leurs processus opérationnels numériques afin de surveiller et de hiérarchiser continuellement les risques. Les solutions de gestion des risques de ServiceNow aident à transformer des processus inefficaces et des silos de données à l’échelle de votre organisation élargie en un programme de gestion des risques automatisé, intégré et exploitable. Vous pouvez améliorer la prise de décisions fondée sur les risques et augmenter les performances dans l’ensemble de votre organisation et avec les fournisseurs afin de gérer les risques que court votre entreprise en temps réel. Vous pouvez ainsi prendre des décisions éclairées en matière de risques dans votre travail quotidien, sans sacrifier vos budgets.