Sécurité : Tracer les opérations et gérer les incidents

Afin de pouvoir identifier un accès frauduleux ou une utilisation abusive de données personnelles, ou de déterminer l’origine d’un incident, il convient d’enregistrer certaines des actions effectuées sur les systèmes informatiques. Pour ce faire, un dispositif de gestion des traces et des incidents doit être mis en place. Celui-ci doit enregistrer les évènements pertinents et garantir que ces enregistrements ne peuvent être altérés. Dans tous les cas, il ne faut pas conserver ces éléments pendant une durée excessive.

Les précautions élémentaires

S’agissant du suivi des opérations :

• prévoir un système de journalisation (c’est-à-dire un enregistrement dans des « fichiers journaux » ou « logs ») des activités métier des utilisateurs, des interventions techniques (y compris par les administrateurs), des anomalies et des événements liés à la sécurité ;
• conserver ces évènements sur une période glissante comprise entre six mois et un an (sauf, par exemple, en cas d’obligation légale, de besoin de gestion des contentieux, de contrôle interne ou encore d’un besoin d’analyse post-incident) ;
• effectuer un enregistrement des opérations de création, consultation, modification et suppression des données en conservant l’identifiant de l’auteur, la date, l’heure et la nature de l’opération ainsi que la référence des données concernées (pour en éviter la duplication) ;
• informer les utilisateurs, par exemple lors de l’authentification ou de l’accès au système, de la mise en place du dispositif de journalisation, après information et consultation des instances représentatives du personnel ;
• protéger les équipements de journalisation et les informations journalisées contre les opérations non autorisées (ex. : en les rendant inaccessibles aux personnes dont l’activité est journalisée), contre les mésusages par des comptes habilités (ex. : en mettant en place une charte d’utilisation ou des alertes spécifiques) et contre l’écrasement des données écrites par les applicatifs concernés ;
• s’assurer que les sous-traitants soient contractuellement tenus de mettre en œuvre la journalisation conformément aux présentes recommandations.

S’agissant de la gestion des incidents :

• établir des procédures concernant l’analyse des données collectées ainsi que la génération des alertes et leur traitement en cas de suspicion de comportement anormal ;
• s’assurer que les gestionnaires du dispositif de gestion des traces notifient, dans les plus brefs délais, toute anomalie ou tout incident de sécurité au responsable de traitement ;
• prévoir un dispositif de remontée des incidents par les utilisateurs et sensibiliser ces derniers à l’importance de signaler tout événement suspect ;
• diffuser à tous les utilisateurs la conduite à tenir et la liste des personnes à contacter en cas d’incident de sécurité ou de survenance d’un événement inhabituel touchant aux systèmes d’information et de communication de l’organisme ;
• tenir un registre interne de toutes les violations de données personnelles ;
• notifier à la CNIL, dans les 72 heures, les violations présentant un risque pour les droits et libertés des personnes et, en cas de de risque élevé et sauf exception prévue par le RGPD, informer les personnes concernées pour qu’elles puissent en limiter les conséquences.

Ce qu’il ne faut pas faire

• Dupliquer et conserver de manière excessive les données personnelles concernées par le traitement au sein des journaux (ex. : y enregistrer les mots de passe ou leur condensat (ou « hash ») lors de l’authentification des utilisateurs).
• Utiliser les informations issues des dispositifs de journalisation à d’autres fins que celles de garantir le bon usage du système informatique (ex. : utiliser les traces pour compter les heures travaillées est un détournement de finalité, puni par la Loi).

Pour aller plus loin

• Voir la recommandation de la CNIL relative à la journalisation.
• Voir les recommandations de sécurité de l’ANSSI sur le sujet.
• Faire participer l’utilisateur à la surveillance des opérations faites sur son compte et ses données (ex. : un récapitulatif des trois dernières connexions).
• Privilégier une surveillance automatique des journaux, couplée à une configuration adaptée des alertes.
• En cas d’incident ou pour s’y préparer, consulter le site d’assistance et prévention en sécurité numérique.