You are on page 1of 24

DAT-NT-012/ANSSI/SDE

PREMIER MINISTRE

Secrtariat gnral
de la dfense
et de la scurit nationale

Paris, le 2 dcembre 2013

Agence nationale de la scurit


des systmes dinformation

Nombre de pages du document


(y compris cette page) : 24

No DAT-NT-012/ANSSI/SDE/NP

Note technique
Recommandations de scurit pour la mise en uvre
dun systme de journalisation

Public vis:
Dveloppeur
Administrateur
RSSI
DSI
Utilisateur

X
X
X

Informations

Avertissement
Ce document rdig par lANSSI prsente les Recommandations de scurit pour
la mise en uvre dun systme de journalisation . Il est tlchargeable sur le site
www.ssi.gouv.fr. Il constitue une production originale de lANSSI. Il est ce titre plac sous le
rgime de la Licence ouverte publie par la mission Etalab (www.etalab.gouv.fr). Il est
par consquent diffusable sans restriction.
Ces recommandations sont livres en ltat et adaptes aux menaces au jour de leur publication. Au regard de la diversit des systmes dinformation, lANSSI ne peut garantir que
ces informations puissent tre reprises sans adaptation sur les systmes dinformation cibles.
Dans tous les cas, la pertinence de limplmentation des lments proposs par lANSSI doit
tre soumise, au pralable, la validation de ladministrateur du systme et/ou des personnes
en charge de la scurit des systmes dinformation.

Personnes ayant contribu la rdaction de ce document:


Contributeurs
BSC, BAS,
FRI, MRR

BAI,

Rdig par

Approuv par

Date

BSS

SDE

2 dcembre 2013

volutions du document :
Version

Date

Nature des modifications

1.0

2 dcembre 2013

Version initiale

Pour toute remarque:


Contact

Adresse

@ml

Tlphone

Bureau Communication
de lANSSI

51 bd de La
Tour-Maubourg
75700 Paris Cedex
07 SP

communication@ssi.gouv.fr

01 71 75 84 04

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 1 sur 23

Table des matires


1

Introduction

Prrequis la mise en place dun systme de journalisation

2.1
2.2
2.3
2.4

Fonctionnalit de journalisation
Horodatage des vnements . .
Synchronisation des horloges . .
Dimensionnement . . . . . . . .
2.4.1 Espace disque . . . . . .
2.4.2 Rsistance la charge .

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

Recommandations darchitecture et de conception


3.1

3.2

3.3

3.4

3.5

Rsilience du systme de journalisation . . . .


3.1.1 Exportation des journaux . . . . . . .
3.1.2 Centralisation des journaux . . . . . .
Protection des donnes changes . . . . . . .
3.2.1 Modes de transfert . . . . . . . . . . .
3.2.2 Prtraitement des journaux . . . . . .
3.2.3 Fiabilisation du transfert des journaux
3.2.4 Scurisation du transfert des journaux
3.2.5 Bande passante . . . . . . . . . . . . .
3.2.6 Utilisation du rseau dadministration
Stockage . . . . . . . . . . . . . . . . . . . . .
3.3.1 Partition spare . . . . . . . . . . . .
3.3.2 Arborescence . . . . . . . . . . . . . .
3.3.3 Rotation . . . . . . . . . . . . . . . . .
3.3.4 Archivage . . . . . . . . . . . . . . . .
3.3.5 Protection des journaux . . . . . . . .
Consultation . . . . . . . . . . . . . . . . . .
3.4.1 Choix dun outil . . . . . . . . . . . .
3.4.2 Dfinition des rles . . . . . . . . . . .
Supervision de lespace disque . . . . . . . . .

5
5
5
6
6
7
8

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

8
8
8
9
9
10
10
10
11
11
11
11
12
12
12
13
13
13
14
14

Annexes

15

Choix des vnements

15

Illustrations

16

B.1 Architecture de journalisation simple . . . . . . . . . . . . . . . . . . . . . . . . . . . .


B.2 Architecture de journalisation tendue/multi-sites . . . . . . . . . . . . . . . . . . . . .
C

Aspects juridiques et rglementaires

18

C.1 Valeur probatoire des lments de journalisation . . . . . . . . . . . . . . . . . . . . . .


C.2 Rgime gnral de protection des donnes caractre personnel . . . . . . . . . . . . .
No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

16
17

18
18

Page 2 sur 23

C.3 Rgimes particuliers relatifs la conservation des lments de journalisation . . . . . .


C.3.1 Conservation des lments de journalisation par les fournisseurs daccs Internet
(FAI) ou dhbergement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C.3.2 Conservation des lments de journalisation des oprateurs de communications
lectroniques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C.3.3 Accs aux lments de journalisation par les autorits judiciaires . . . . . . . .
C.4 Surveillance des salaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C.5 Rglementations sectorielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C.6 Rcapitulatif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

19
19
20
20
20
21
22

Page 3 sur 23

1 Introduction
Les journaux dvnements constituent une brique technique indispensable la gestion de la scurit
des systmes dinformation, quelles que soient la nature et la taille de ces derniers. Les journaux sont
une source dinformation riche qui peut tre utilise a priori pour dtecter des incidents de scurit.
Dans ce cas, les vnements constituant les journaux sont consults et analyss en temps rel. Les journaux peuvent galement tre employs a posteriori pour retrouver les traces dun incident de scurit ;
lanalyse des journaux dun ensemble de composants (postes de travail, quipements rseaux, serveurs,
etc.) peut alors permettre de comprendre le cheminement dune attaque et dvaluer son impact. Il
faut donc garder lesprit que lactivit de journalisation est un moyen de dtection et danalyse. Elle
ne se substitue pas aux mcanismes de protection du systme dinformation, elle doit tre employe
de faon complmentaire. Lutilit des journaux dvnements dpend de leur gnration et de leur
rcupration, une architecture de journalisation doit donc suivre lvolution du systme dinformation
concern (prise en compte des nouveaux quipements, des nouveaux usages, etc.).
Ce document a pour objectifs, dune part, de dtailler les prrequis ncessaires la mise en uvre
dun systme de journalisation efficace et scuris et, dautre part, de prsenter les bonnes pratiques
permettant de btir une architecture de gestion de journaux prenne, quelle que soit la nature du
systme dinformation. La granularit des mesures prsentes dans ce document doit tre adaptes aux
rsultats dune analyse de risques mene en amont. Ce document na pas vocation prsenter la liste dtaille des vnements journaliser, ceux-ci tant dpendants des systmes et des applicatifs employs.
Il peut faciliter la formalisation des rgles et mtriques sous la forme dune politique de journalisation.
Les aspects lgaux et rglementaires relatifs la journalisation des vnements sont galement abords
dans les annexes de ce document.

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 4 sur 23

2 Prrequis la mise en place dun systme de journalisation


2.1 Fonctionnalit de journalisation
Si les systmes dexploitation modernes incluent en gnral nativement des fonctionnalits de journalisation, cela nest pas forcment le cas pour des applicatifs tiers dvelopps pour des besoins mtiers
spcifiques. Cest la raison pour laquelle la fonctionnalit de journalisation doit tre prise en compte
dans les cahiers des charges fonctionnels et techniques au lancement dun projet, quelle quen soit sa
nature. Il doit ainsi tre possible denregistrer des vnements lis la scurit (par exemple lauthentification des utilisateurs) ainsi qu lactivit correspondant au service fourni par lapplicatif (par
exemple laccs une ressource).
Les journaux doivent si possible tre gnrs dans un format interprtable, cest--dire comprhensible la lecture et facilement analysable de manire automatique par des outils informatiques. Les
vnements inscrits dans les journaux doivent tre composs de champs fixes la grammaire bien
dfinie, celle-ci pouvant voluer en fonction des versions des systmes qui gnrent les journaux. Un
vnement doit contenir en particulier une source identifiable (un quipement, un utilisateur, un nom
de processus ou plusieurs de ces lments) permettant de dterminer avec le plus de prcision possible
son origine. Labsence de journaux rendra difficile, voire impossible, la dtection dincidents de scurit, le reporting, le diagnostic en cas de problme et pourra constituer une infraction (se reporter
lannexe C). La prsence et lexploitation des journaux contribue au maintien en conditions de scurit
de lensemble des briques qui constituent un systme dinformation.
R1

Utiliser des systmes et des applicatifs disposant nativement dune fonctionnalit de journalisation est primordial. La prise en compte de cette fonction doit se faire lors de toute
dmarche de conception et de dveloppement.

2.2 Horodatage des vnements


Un vnement journalis nest pertinent que si celui-ci peut tre situ dans le temps, et ce pour
plusieurs raisons :
la signification de cent occurrences dun mme vnement nest pas la mme selon quelles ont
lieu durant un laps de temps dune journe ou de dix minutes. Dans le premier cas, il peut sagir
par exemple dun fonctionnement normal, alors que dans le second, cela peut tre caractristique
dun incident de scurit. La frquence doccurrence dun vnement peut donc tre un lment
essentiel pour dtecter un incident de scurit et apprcier sa gravit ;
la dtection dun incident ou sa comprhension post-mortem ncessite gnralement le croisement
de journaux issus de diffrents quipements. Labsence dhorodatage homogne des vnements
rendra trs difficile le recoupement des informations (se rfrer au paragraphe 2.3) ;
lhorodatage dun vnement peut aider dterminer la nature de celui-ci. Par exemple, sil se
produit intervalles rguliers (toutes les heures la seconde prs par exemple), il est probable
quil soit le rsultat dune opration automatique et non manuelle.
R2

Lhorodatage doit tre activ pour lensemble des vnements afin de permettre une
meilleure exploitation des journaux.

2.3 Synchronisation des horloges


Lensemble des quipements informatiques dispose normalement dune horloge interne utilise entre autres pour horodater les journaux dvnements. Cependant, les horloges de tous les quipements
No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 5 sur 23

drivent naturellement dans le temps. Si les carts peuvent paratre minimes de prime abord, ils peuvent se mesurer en secondes voire en minutes aprs quelques semaines.
Il est donc crucial de disposer dquipements synchroniss sur la mme base de temps pour pouvoir
analyser convenablement les journaux collects. La comprhension de lenchanement prcis dvnements issus de plusieurs types de journaux est beaucoup plus difficile si les quipements qui produisent
ces journaux ne disposent pas du mme temps de rfrence. Un laps de temps trs court (quelques
secondes) peut sparer deux vnements caractrisant un incident de scurit. Si un dcalage dhorloge
existe entre les machines qui ont gnr ces deux vnements, ils ne seront pas horodats correctement
et lincident de scurit pourrait ne pas tre dtect.
Il est donc recommand de mettre en uvre une architecture permettant de disposer de sources
de temps fiables utilises par lensemble des quipements qui composent le systme dinformation.
Plusieurs solutions peuvent tre employes pour obtenir une source de temps prcise. Il existe par
exemple des serveurs de temps reconnus accessibles publiquement sur Internet, mais il est prfrable
dutiliser une source de temps base sur des signaux radio ou satellitaires. Il est galement possible
dinstaller une source de temps autonome trs stable (horloge atomique) pour ne pas dpendre de
signaux extrieurs potentiellement sujets des perturbations (volontaires ou non). Dans le cas des
rseaux non-interconnects, il nest pas dans la plupart des cas ncessaire, ni mme recommand, de
disposer de serveurs de temps synchroniss sur des sources externes ; en revanche, il est indispensable
que les quipements soient synchroniss sur les mmes sources de temps internes cohrentes entre elles.
Le protocole NTP (Network Time Protocol) est largement utilis pour synchroniser les quipements
sur une ou plusieurs sources de temps. Il est disponible pour la plupart des systmes dexploitation,
quel que soit le type dquipement. Une architecture NTP type comprend gnralement un ou plusieurs
serveurs NTP internes sur lesquels se synchronisent lensemble des machines du systme dinformation ;
ces serveurs rfrents tant, quant eux, synchroniss sur plusieurs sources (autonomes, serveurs NTP
publics, signaux radio/satellitaires).
R3

Les horloges des quipements doivent tre synchronises sur plusieurs sources de temps
internes cohrentes entre elles. Ces sources pourront elles-mmes tre synchronises sur
plusieurs sources fiables externes, sauf pour les rseaux isols.

Lorsque les quipements sont rpartis gographiquement sur des fuseaux horaires diffrents, il est
important dadopter une logique de configuration adquate afin dassurer une cohrence temporelle
des journaux au niveau des serveurs de collecte. Dans certains cas, le choix dun mme fuseau horaire
(heure UTC par exemple) sur lensemble des quipements peut tre ncessaire.

2.4 Dimensionnement
2.4.1 Espace disque
Les journaux sont gnralement stocks localement sous forme de texte compress mais ils peuvent
vite reprsenter des quantits de donnes importantes et provoquer une saturation de lespace de
stockage des quipements. Il est ainsi recommand de prendre en compte les besoins despace disque
ncessaires au stockage des journaux lors du dimensionnement des quipements. Les sections suivantes
abordent la rotation des journaux et la mise en place de mcanismes dexportation, ces mesures peuvent
contribuer la mise en uvre de cette recommandation.
R4

Lors du dimensionnement des quipements, lestimation de lespace de stockage ncessaire


la conservation locale des journaux est indispensable.

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 6 sur 23

2.4.2 Rsistance la charge


Quel que soit le composant qui gnre des journaux (systme dexploitation, applicatif, etc.) il est
important de connatre son comportement vis--vis de lactivit de journalisation en cas de charge
anormale prolonge. Si le composant estime que les ressources disponibles sont insuffisantes, il est
probable quil privilgiera ses fonctions principales au dtriment des services secondaires comme la
journalisation. La connaissance de ce comportement permet de dimensionner le composant en fonction
des exigences relatives son contexte dusage.
La rsistance la charge dpend galement des types dvnements que lon aura choisis de journaliser
au niveau du composant (se reporter lannexe A).

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 7 sur 23

3 Recommandations darchitecture et de conception


3.1 Rsilience du systme de journalisation
3.1.1 Exportation des journaux
Lexportation des journaux consiste copier les vnements sur une machine diffrente de celle qui
les a gnrs.
Cette mesure est ncessaire pour plusieurs raisons :
les quipements qui gnrent les journaux peuvent ne pas disposer de lespace disque ncessaire
pour stocker une quantit de journaux suffisante au regard des contraintes mtiers, lgales ou
rglementaires (se reporter lannexe C). La copie des journaux doit donc tre ralise sur des
quipements tiers correctement dimensionns ;
si lanalyse des journaux a lieu dans le cadre dinvestigations faisant suite un incident de
scurit, il est possible que les journaux ne soient plus prsents sur la machine source (effacement
volontaire par un attaquant, dfaillance matrielle, etc.). Lexportation permet de disposer dune
copie sur des quipements physiquement distincts.
R5

Les journaux doivent tre automatiquement exports sur une machine physique diffrente
de celle qui les a gnrs.

3.1.2 Centralisation des journaux


La centralisation des journaux a pour but de faciliter leur exploitation. Ce mode de fonctionnement
comporte plusieurs avantages :
la consultation des journaux est simplifie : les personnes en charge de lexploitation nont pas
se connecter sur plusieurs quipements pour rechercher de linformation ;
le recoupement dinformations provenant de journaux dquipements diffrents est plus ais
lorsque ceux-ci sont stocks au mme endroit ;
la sauvegarde des journaux est facilite.
R6

Les journaux de lensemble des quipements du systme dinformation doivent tre transfrs sur un ou plusieurs serveurs centraux ddis.

Si la taille du systme dinformation est trs importante (plusieurs milliers dquipements) ou si celui-ci
est compos de nombreuses entits (sites physiques, entits fonctionnelles), il est ncessaire dassurer
la rsilience du serveur central sur lequel tous les journaux sont collects. En effet, une indisponibilit
mme de courte dure peut entraner la perte de journaux.
R7

Si le parc dquipements qui gnre des journaux est important, le serveur central devra
tre redond afin daccrotre la disponibilit du service de collecte de journaux.

Dans certains cas, il peut tre pertinent dadopter une organisation hirarchique. Des serveurs locaux collectent les journaux des quipements correspondant leur primtre physique ou fonctionnel
puis ils les transmettent aux serveurs centraux qui ont la charge dagrger la totalit des journaux du
systme dinformation ou dun sous-ensemble spcifique (base de donnes, systme, etc.). Ils dupliquent
galement les journaux quils conservent localement afin dviter les pertes en cas de dysfonctionnement
lors du transfert au niveau suprieur. Une organisation de ce type comporte plusieurs avantages :
la rsilience de larchitecture de journalisation est meilleure : les serveurs de journalisation locaux
peuvent pallier une indisponibilit des serveurs centraux. La copie des journaux conserve sur
ces serveurs intermdiaires pourra tre transmise au niveau central une fois la communication
No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 8 sur 23

rtablie. Cela ncessite la configuration dune politique de rtention adquate, cest--dire adapte
la volumtrie et aux exigences de disponibilit des serveurs centraux ;
le nombre de flux rseau de journalisation est rduit : cela peut contribuer un meilleur contrle
des matrices de flux des quipements de filtrage rseau ;
les serveurs locaux peuvent apporter des fonctionnalits additionnelles dans la transmission des
journaux (comme la compression ou le chiffrement), ce qui est particulirement utile si des liens de
faible capacit ou non srs sont utiliss pour vhiculer les journaux jusquaux serveurs centraux.
R8

Si la taille ou la typologie du systme dinformation le ncessite, une approche hirarchique


pour lorganisation des serveurs de collecte doit tre retenue.

3.2 Protection des donnes changes


3.2.1 Modes de transfert
En premier lieu, il convient de sintresser aux diffrents modes de transfert de journaux sur les
quipements centraux, chacun ayant des avantages et des inconvnients.
Transfert en temps rel
Ce mode consiste transfrer les journaux sur les serveurs centraux au moment o ils sont produits, une copie tant gnralement conserve localement par lquipement qui gnre les vnements.
Ce mode prsente lavantage de rendre les journaux rapidement disponibles en consultation sur les
serveurs centraux mais peut poser des problmes rseau. En effet, lenvoi de journaux peut consommer
une bande passante trs importante et perturber les autres services (flux dadministration ou de supervision par exemple) mme si ces donnes transitent sur un rseau ddi ladministration (se rfrer
au paragraphe 3.2.5).
Le mode de transfert en temps rel est celui quil est prfrable de mettre en place dans la mesure
o les journaux sont immdiatement disponibles sur les serveurs centraux, mais il ne doit tre mis en
uvre quaprs une valuation de son impact sur la bande passante.
Transfert en temps diffr
Ce mode consiste transfrer priodiquement les journaux sur les serveurs centraux (tous les jours
par exemple). Il prsente lavantage de ne pas consommer de faon permanente de la bande passante.
Par exemple, le transfert de lensemble des journaux peut tre ralis en dehors des horaires mtier afin
dviter dinfluer sur les autres services au niveau du rseau. Ce mode prsente cependant linconvnient
de retarder la mise disposition des journaux en consultation au niveau central. Il est galement plus
risqu dans la mesure o si un incident de scurit se produit entre deux envois de journaux, il ne
pourra pas forcment tre dtect (par exemple si un attaquant efface ou modifie volontairement les
journaux pour masquer son activit).
Le mode de transfert en temps diffr nest donc pas recommand. Il pourra toutefois tre mise en
uvre si des contraintes lies larchitecture ou au mtier limposent.
R9

Si le contexte le permet, un transfert en temps rel des journaux sur les serveurs centraux
doit tre privilgi.

Quel que soit le mode de transfert utilis, lenvoi des journaux peut tre provoqu soit par lquipement
qui les gnre (mode push), soit par le serveur de collecte (mode pull ). Le mode pull prsente lavantage
No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 9 sur 23

de garder la matrise changes, le serveur de journalisation tant plus de confiance que les quipements
vers lesquels il tablit les connexions pour rcuprer les journaux. Cependant ce mode de fonctionnement peut prsenter des risques importants si le serveur central est compromis, lattaquant peut tre
en mesure datteindre lensemble des machines du systme dinformation. Il est donc indispensable de
scuriser le serveur de journalisation et de le placer dans une zone de confiance afin de minimiser les
risques dattaque par rebond. Dans certains cas, le mode push pourra tre retenu si lensemble des
quipements gnrant des journaux ne possdent pas le mme niveau de sensibilit, le serveur central
devant tre protg au plus haut niveau.
3.2.2 Prtraitement des journaux
Il est dconseill de modifier le format des journaux sur les machines mettrices avant leur envoi
sur les serveurs centraux. Si lobjectif du traitement en amont est de faciliter le transfert des journaux
en unifiant au plus tt leur mise en forme, cela peut conduire dnaturer les vnements et induire
des pertes dinformation. Les actions de conversion doivent tre ralises de prfrence laide doutils
installs sur les serveurs centraux, une copie non altre des journaux y tant conserve pour archivage.
R10

Il est recommand de ne pas effectuer de traitement sur les journaux avant leur transfert.

3.2.3 Fiabilisation du transfert des journaux


Les applications de transfert de journaux reposent sur les protocoles TCP ou UDP pour acheminer
les donnes aux quipements centraux. Le plus simple des deux, le protocole UDP, prsente lavantage
de prendre le minimum de ressources mais, il a linconvnient dtre peu fiable car sujet aux pertes de
paquets. Le protocole TCP, quant lui, amliore la fiabilit du transfert des journaux en ajoutant des
fonctions de r-mission de paquets, de mise en cache du ct de lmetteur et dacquittement envoys
par le destinataire. Il est donc privilgier par rapport au protocole UDP.
R11

Il est recommand dutiliser des protocoles denvoi de journaux bass sur TCP pour fiabiliser le transfert de donnes entre les machines mettrices et les serveurs centraux.

Cependant, lusage du protocole TCP ne suffit pas lui seul garantir labsence de perte de donnes. Dautres mcanismes prsents au niveau applicatif permettent damliorer encore la fiabilit du
transfert en ajoutant des fonctionnalits de cache et dacquittement plus efficaces.
3.2.4 Scurisation du transfert des journaux
Il est ncessaire de mettre en place des mcanismes de protection garantissant la confidentialit et
surtout lintgrit des flux de transfert des journaux, en particulier lorsque les donnes transitent sur des
rseaux non maitrss. Le besoin en confidentialit est aussi fonction de la sensibilit des informations
journalises. Lidal est de mettre en place un canal de transmission ddi ralis laide de mcanismes
cryptographiques robustes 1 . Idalement, ce canal doit tre tabli aprs authentification mutuelle de la
machine mettrice et le serveur de collecte en utilisant des certificats issus dune autorit de certification
de confiance. Il existe pour certains protocoles de transfert de journaux une version scurise base sur
TLS qui permet de rpondre ces exigences.
R12

Il est recommand dutiliser des protocoles de transfert de journaux qui sappuient sur des
mcanismes cryptographiques robustes en particulier lorsque les donnes transitent sur des
rseaux non matriss.

1. Se rfrer lannexe B1 du Rfrentiel Gnral de Scurit (RGS) disponible sur le site de lANSSI.

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 10 sur 23

Si le protocole de transfert de journaux ne dispose pas nativement de mcanismes de chiffrement ou de


signature, il est tentant de sappuyer sur des solutions tierces telles que SSH 2 ou IPsec 3 . Cependant,
le besoin essentiel du service de journalisation reste la disponibilit ; la complexit de mise en uvre
des mcanismes de scurisation tiers ou leur manque de fiabilit dans le temps 4 ne doit pas nuire ce
critre.
3.2.5 Bande passante
Quel que soit la mode de transfert utilis pour acheminer les journaux des machines sources sur
les serveurs centraux (temps rel ou temps diffr), lactivation des mcanismes de limitation de bande
passante et/ou de priorisation des flux permet de garder la matrise de lusage des ressources rseau,
et ce mme si lenvoi des journaux a lieu en dehors des horaires mtier (en temps diffr).
R13

Il est recommand de bien contrler la bande passante des flux rseau utilise pour transfrer les journaux dvnements.

3.2.6 Utilisation du rseau dadministration


Lutilisation dun rseau dadministration ddi et physiquement distinct de celui employ pour
les changes de donnes mtiers est une bonne pratique dordre gnral qui doit tre privilgie.
Lorsquil existe, il doit tre utilis en priorit pour faire transiter les journaux mis par les quipements
administrs. Cette solution met disposition de fait une bande passante plus importante sans affecter
la disponibilit des services mtiers et peut, lorsque la sensibilit des informations transmises le
justifie, apporter une protection supplmentaire.
R14

Lorsque le besoin de scurit pour le transfert des journaux est important, il doit se faire
sur un rseau dadministration ddi.

Les rseaux dadministration doivent galement tre utiliss pour accueillir la zone rserve lhbergement des serveurs de collecte. En effet, ces derniers concentrent une quantit importante dinformations
dont certaines sont sensibles, leur protection doit donc tre assure.
R15

Sil nexiste pas de rseaux dadministration dans larchitecture pour accueillir les serveurs
de journalisation, ils doivent tre placs dans une zone interne non expose directement
des rseaux qui ne sont pas de confiance (par exemple Internet).

3.3 Stockage
Les recommandations qui suivent sont applicables lensemble des quipements qui composent
larchitecture de journalisation : quipements source, serveurs de journalisation locaux et centraux.
3.3.1 Partition spare
Afin dviter la saturation des disques des quipements qui produisent ou centralisent des journaux, il est recommand de crer une partition ddie aux journaux dvnements et disposant de
droits daccs restreints. Cette mesure permet dviter la dfaillance du systme ou de certains services
qui nauraient pas despace disque suffisant pour fonctionner correctement. Cependant des journaux
2. Se rfrer au guide Recommandations pour un usage scuris dOpenSSH disponible sur le site de lANSSI.
3. Se rfrer au guide Recommandations de scurit relatives IPsec pour la protection des flux rseau disponible
sur le site de lANSSI.
4. Gestion non rigoureuse du renouvellement des cls, premption des certificats, etc.

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 11 sur 23

pourraient tre perdus si la partition ddie venait tre sature son tour. Cest la raison pour
laquelle une politique de rotation adquate des journaux doit tre mise en uvre en complment de
cette mesure (se rfrer au paragraphe 3.3.3).
R16

Une partition disque doit tre ddie au stockage des journaux dvnements sur les
quipements qui les gnrent ou qui les centralisent.

3.3.2 Arborescence
Un quipement, en fonction de son rle, peut tre amen stocker diffrents types dvnements
(systme, applicatif, etc.). Il peut tre utile de stocker les journaux sous forme darborescence dfinie
laide de thmatiques : authentification, applicatifs mtiers, web, etc. Cela pourra faciliter le transfert
massif des journaux, lenvoi dun seul rpertoire (gnralement compress) contiendra lensemble des
journaux de lquipement.
R17

Il est recommand dadopter une arborescence pour le stockage des journaux dvnements.

3.3.3 Rotation
La mise en uvre dune politique de rotation des journaux consiste configurer des mcanismes de
traitement automatique qui permettent de conserver lexploitabilit des journaux dans la dure tout
en limitant lespace disque utilis. Le dclenchement de la rotation des fichiers de journaux peut tre
bas sur des contraintes temporelles (rotation tous les jours minuit), ou de taille (rotation si le fichier
de journal atteint 100 Mo). Le choix dpend des exigences et des contraintes spcifiques au systme
dinformation.
Voici les traitements qui peuvent tre raliss lors de la rotation des journaux :
sparation des fichiers : un nouveau fichier est cr au moment de la rotation pour viter que les
vnements soient stocks dans un seul fichier de taille trop importante. Les fichiers ainsi gnrs
sont gnralement nomms selon un format qui inclut la date et lheure de cration ainsi que le
type de journal ;
compression : les fichiers crs au moment de la rotation sont habituellement compresss afin de
rduire leur occupation sur le disque ;
effacement : pour viter la saturation de lespace disque local, les fichiers de journaux les plus
anciens peuvent tre effacs automatiquement lors de la rotation. Il convient de sassurer que les
journaux dtruits ont t correctement exports au pralable. Une dure de rtention adquate
doit donc tre dfinie, elle sera fonction de lespace disque disponible ainsi que des contraintes
ventuelles dexploitation. Dans le cas des serveurs centraux, cette dure doit tre suprieure
lcart qui spare deux sauvegardes. Dans les autres cas (quipements source et serveurs de
collecte locaux), cette dure doit tre suprieure lcart qui spare deux envois de journaux si
le mode de transfert en temps diffr est employ.
R18

Une politique de rotation des journaux dvnements doit tre formalise et mise en uvre
sur lensemble des quipements du systme de journalisation.

3.3.4 Archivage
Larchivage des journaux consiste conserver les fichiers pendant une longue dure. Il est gnralement ralis sur des supports amovibles de grande capacit conservs hors ligne. Si la centralisation
des journaux est correctement mise en uvre, larchivage est ralis partir des fichiers stocks sur les
No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 12 sur 23

serveurs de journaux centraux.


Larchivage des journaux est ncessaire pour plusieurs raisons :
pour des questions fonctionnelles : si un incident de scurit est avr, la recherche dinformations
dans des journaux mme trs anciens peut aider en dterminer lorigine ou en apprcier
lensemble de ses impacts ;
pour des questions dordre lgal et rglementaire : la dure de conservation des fichiers de journaux est fixe par le cadre lgal. Dautres contraintes rglementaires spcifiques peuvent sappliquer en fonction du contexte mtier, charge au lecteur de se renseigner auprs dun organisme
juridique afin de dterminer celles qui sont applicables au sien. Lannexe C aborde les contraintes
lgales et rglementaires relatives la journalisation.
R19

La dure de conservation des fichiers de journaux tant soumise des contraintes lgales
et rglementaires, il convient den prendre connaissance pour dfinir les moyens techniques
ncessaire larchivage des journaux.

3.3.5 Protection des journaux


Droit daccs
Les fichiers de journaux doivent tre accessibles en criture uniquement partir de comptes disposant des privilges de journalisation adquats. Les droits daccs en lecture dpendent du contexte.
Dans certains cas, les utilisateurs peuvent ne pas tre autoriss consulter les journaux rsultant de
leur propre activit.
R20

Laccs aux journaux doit tre limit en criture un nombre restreint de comptes ayant
le besoin den connatre.

R21

Les processus de journalisation et de collecte doivent tre excuts par des comptes disposant de peu privilges.

Fonctions de scurit avances


Dans des contextes mtier spcifiques soumis des contraintes rglementaires fortes, par exemple
les jeux en ligne (se reporter lannexe C.5), certains types de fichiers de journaux doivent tre protgs
laide de mcanismes cryptographiques robustes afin dassurer leur intgrit, leur confidentialit et
de renforcer leur valeur probatoire 5 .

3.4 Consultation
3.4.1 Choix dun outil
Les journaux stocks de faon centralise doivent tre facilement consultables laide dun outil
adapt. Dans certains cas dusage, il est ncessaire de retrouver rapidement les informations recherches
dans les journaux. Loutil utilis doit donc tre ractif et facile utiliser. Les besoins fonctionnels sont
le principal critre de slection de lapplicatif employ pour exploiter les journaux, des contraintes
technologiques peuvent galement intervenir dans le choix de loutil (type de stockage, format des
5. La liste des produits qualifis rpondant ces besoins sont disponibles sur le site de lANSSI.

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 13 sur 23

journaux, etc.).
R22

Un outil spcifique doit tre utilis pour une meilleure exploitation des journaux prsents
sur les serveurs centraux, la dtection dvnements anormaux en sera facilite.

Les accs loutil de consultation des journaux doivent tre journaliss au mme titre que pour nimporte quel autre service.
3.4.2 Dfinition des rles
En fonction du contexte, plusieurs types de populations peuvent accder loutil mis disposition
sur les serveurs centraux pour exploiter les journaux. Ces groupes dutilisateurs nont pas ncessairement besoin de disposer dun accs en lecture lensemble des journaux du systme dinformation
(niveaux de sensibilit diffrents), cest la raison pour laquelle il est recommand de pratiquer un cloisonnement en dfinissant des rles prcis au niveau de loutil de consultation des journaux. Ces rles
peuvent tre calqus sur des entits mtier qui ont besoin de consulter les journaux relatifs leur
activit (administrateurs systmes, administrateurs de bases de donnes, administrateurs de scurit,
etc.). Lusage dun annuaire prexistant est recommand pour authentifier les utilisateurs de loutil de
consultation des journaux ; les groupes dutilisateurs quil contient pourront alors tre utiliss comme
rfrences pour dfinir ceux prsents dans loutil.
R23

Les comptes ayant accs loutil de consultation centralise des journaux doivent tre
associs des rles prdtermins.

3.5 Supervision de lespace disque


Il est recommand de superviser lespace disque restant sur les espaces de stockage locaux des
quipements qui gnrent et stockent les journaux, et ce, pour plusieurs raisons :
de nombreux incidents de scurit entranant lindisponibilit de services ont pour origine une
saturation de lespace de stockage local par les journaux ;
si lespace disque est satur, des journaux pourraient tre perdus si aucune politique de rotation
nest mise en uvre ;
une activit de journalisation anormale peut tre dtecte. Si un quipement journalise dans des
proportions inhabituelles par rapport une activit normale ou sil ne journalise pas du tout, il
est possible quun incident de scurit soit en cours sur la machine ;
lajout de nouveaux quipements dans le systme dinformation induit lenvoi de nouveaux journaux, il est important danticiper les besoins en espace disque des quipements centraux.
R24

Lespace disque des quipements qui gnrent et stockent les journaux doit tre surpervis.

La mise en place de seuils dalerte (pourcentage despace disque restant) permet danticiper une saturation de lespace de stockage des quipements.

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 14 sur 23

Annexes
A Choix des vnements
Il est important de procder la slection des vnements journaliss par les diffrents composants
du systme dinformation. Journaliser la totalit des vnements peut entraner une consommation excessive des ressources (processeur, mmoire, stockage, bande passante, etc.) et engendrer une quantit
de donnes difficilement exploitable. linverse, une politique de journalisation trop cible ne produira
pas suffisamment de donnes utiles.
Ce paragraphe prsente les principales thmatiques dvnements quil est recommand de journaliser.
Cette liste de haut niveau nest pas exhaustive, elle peut tre enrichie en fonction des exigences propres
au contexte.
Thme

Exemple

Authentification

- russites et checs dauthentification


- utilisations des diffrents mcanismes dauthentification
- lvations de privilges

Gestion des comptes


et des droits

- ajouts/suppressions de comptes/groupes/rles
- affectations/suppressions de droits aux comptes/groupes/rles
- modifications des donnes dauthentification

Accs aux ressources

- accs ou tentatives daccs en lecture/criture/excution aux ressources

Modification
des
stratgies de scurit

- ditions, applications, rinitialisations de configurations

Activit des processus

- dmarrages/arrts
- dysfonctionnements
- chargements/dchargements de modules

Activit des systmes

dmarrages/arrts
dysfonctionnements/surcharges du systme
chargements/dchargements de modules
activit matrielle (dfaillances, connexions/dconnexions physiques, etc.)

Dautres lments caractrisant les vnements doivent galement tre pris en compte lors de la
configuration des paramtres de journalisation : niveau de svrit, niveau de verbosit, frquence
dmission, etc.

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 15 sur 23

B Illustrations
Les figures prsentes dans ce paragraphe ont simplement pour objectif dillustrer deux types darchitectures de journalisation centralises. La premire reprsentant un systme dinformation de dimension rduite, la seconde un systme plus tendu ou multi-sites.

B.1 Architecture de journalisation simple

Figure 1 Exemple darchitecture de journalisation simple


Cette architecture minimaliste ne comporte quun seul serveur de journalisation, mais elle respecte
les principes les plus importants que sont la collecte des journaux de lensemble des quipements, la
centralisation et larchivage hors ligne.

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 16 sur 23

B.2 Architecture de journalisation tendue/multi-sites

Figure 2 Exemple darchitecture de journalisation multi-sites


Cette architecture plus complexe dispose de plusieurs serveurs centraux de journalisation, elle
reprend les mmes principes fondamentaux que larchitecture prsente prcdemment. Elle montre
aussi la ncessit dtager les serveurs de journalisation lorsque les journaux de plusieurs sites ou de
plusieurs entits sont collects centralement. Ce type darchitecture permet de matriser les flux de
communication entre les diffrents sites/entits. Il est noter quil nexiste aucune interaction directe
entre les quipements qui gnrent les journaux et les serveurs centraux, seuls des serveurs de journaux
locaux peuvent communiquer avec les serveurs de journalisation centraux.

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 17 sur 23

C Aspects juridiques et rglementaires


Les lments juridiques et rglementaires sont structurants, ils doivent donc tre pris en compte au
plus tt lors de la conception de larchitecture de journalisation. La rglementation pose un principe
gnral deffacement ou danonymisation des donnes de connexion. Elle dicte nanmoins plusieurs
rgimes juridiques distincts en fonction de la nature de celui qui opre la journalisation ou du cadre
dans lequel les lments de journalisation sont gnrs. Un tableau rcapitulatif prsent la fin de cette
annexe rfrence les textes lgislatifs et rglementaires principaux.

C.1 Valeur probatoire des lments de journalisation


Un des objectifs des lments de journalisation est de permettre la traabilit de lactivit dun
rseau et dapporter la preuve de cette activit (utilisation ou non-utilisation dune application ou dun
service par un utilisateur, accs illgitime, etc.). Une partie non ngligeable de leur intrt rside dans
leur capacit identifier directement ou indirectement un individu ou un quipement ayant particip
cette activit. Afin dtre opposable en cas de contentieux, leur mise en uvre doit respecter les rgles
relatives ladministration de la preuve et les principes directeurs des procs civils et pnaux (loyaut,
intgrit, licit, etc.).
Signer et horodater les journaux ds leur cration permet dassurer leur intgrit et
daccrotre leur valeur probatoire.

C.2 Rgime gnral de protection des donnes caractre personnel


Les lments de journalisation peuvent contenir des donnes caractre personnel, cest--dire des
donnes relatives une personne identifie ou qui peut tre identifie, directement ou indirectement,
par rfrence un numro didentification, ou plusieurs lments qui lui sont propres 6 . la diffrence
des donnes exclusivement techniques (numro dAS 7 , nom de machine, etc.), une adresse de courriel,
une URL ou une adresse IP sont rgulirement considres par la CNIL 8 comme des donnes caractre personnel.
Le traitement dlments de journalisation impose donc le plus souvent le respect des dispositions
de la loi du 6 janvier 1978 et en particulier :
la ralisation de formalits pralables auprs de la CNIL (dclaration, autorisation, etc.) ;
la mise en uvre dun niveau de scurit adapt aux donnes traites et aux finalits ;
la gestion du cycle de vie des lments de journalisation (processus de cration, de conservation,
de destruction, etc.) ;
et, le cas chant, le respect des rgles relatives aux flux de donnes transfrontaliers.
En outre, il est ncessaire de respecter les exigences relatives aux droits de la personne, quelles
soient lies la loi du 6 janvier 1978 (consentement pralable, droit daccs, droit de rectification, etc.)
ou dautres dispositions (protection de la vie prive, des correspondances prives, etc.).
La CNIL ainsi que la jurisprudence 9 ont pos plusieurs principes applicables la gestion des
lments de journalisation par des personnes habilites 10 (administrateurs, gestionnaires de compte,
6.
7.
8.
9.
2005.
10.

Art. 2, loi n78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts.
Autonomous System ou Systme Autonome
Commission Nationale de lInformatique et des Liberts
Voir notamment les deux jurisprudences : CA Paris, 11me ch. 17 dcembre 2001 et CA Paris, 14me ch. 4 fvrier
Le terme habilit est utilis ici au sens juridique, cest--dire apte accomplir un acte .

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 18 sur 23

etc.), par exemple :


seules des personnes spcifiquement habilites peuvent accder aux lments de journalisation ;
laccs doit tre strictement limit la finalit poursuivie, de la manire la moins intrusive possible
pour les donnes caractre personnel ;
le personnel habilit est soumis des obligations de confidentialit particulires et ne doit divulguer une quelconque donne caractre personnel que dans des cas limits lis au fonctionnement technique ou la scurit des systmes ou aux intrts de lentreprise ;
le personnel habilit ne doit subir aucune contrainte quant au dvoilement des informations, notamment par son employeur, sauf si la loi en dispose autrement (dans le cadre dune procdure
judiciaire).
Les lments de journalisation ne peuvent tre conservs que pour un temps limit.
Afin de satisfaire aux obligations relatives la protection des donnes caractre personnel, le
gestionnaire des lments de journalisation peut mettre en uvre des mcanismes danonymisation. Afin
de garder le caractre probatoire de llment de journalisation, lanonymisation peut tre rversible
pour des finalits particulires.
Les activits lies la gestion des lments de journalisation doivent tre strictement
limites au but poursuivi. Les procdures lies la gestion des lments de journalisation
doivent tre dcrites dans des documents de rfrence, permettant ainsi de sassurer que
les donnes caractre personnel ne sont pas conserves de manire illgitime.

C.3 Rgimes particuliers relatifs la conservation des lments de journalisation


La rglementation encadre plusieurs hypothses dans lesquelles certains oprateurs, en fonction de
leur nature ou de leurs activits, sont astreints une obligation de production et de conservation des
lments de journalisation. Le cas chant, ces rgimes sont cumulatifs.
C.3.1 Conservation des lments de journalisation par les fournisseurs daccs Internet (FAI) 11 ou
dhbergement
Les personnes physiques ou morales dont lactivit est doffrir un accs des services de communication au public en ligne (c.--d. les FAI) ainsi que celles qui assurent, mme titre gratuit, pour mise
disposition du public par des services de communication au public en ligne, le stockage de signaux,
dcrits, dimages, de sons ou de messages de toute nature fournis par des destinataires de ces services
(c.--d. les hbergeurs) dtiennent et conservent les donnes de nature permettre lidentification de
quiconque a contribu la cration du contenu ou de lun des contenus des services dont elles sont
prestataires.
Sont en particulier concerns les fournisseurs daccs et hbergeurs professionnels, les entreprises et
administrations qui donnent accs Internet leurs personnels dans le cadre de leur activit professionnelle, les entreprises et administrations offrant un service en ligne qui stocke des donnes fournies
par leurs usagers, les fournisseurs de point daccs au public (htels, restaurants, etc.), les cybercafs,
les fournisseurs de services en ligne (blogs, rseaux sociaux, etc.).
Les fournisseurs daccs Internet et les hbergeurs doivent conserver leurs journaux au
minimum durant un an.
11. Art. 6-II de la loi n2004-575 du 21 juin 2004 pour la confiance dans lconomie numrique ; dcret n 2011-219 du
25 fvrier 2011 relatif la conservation et la communication des donnes.

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 19 sur 23

La non-conservation de ces donnes par les fournisseurs daccs Internet et les hbergeurs est
sanctionne pnalement par une peine demprisonnement dun an et de 75 000 euros damende 12 .
C.3.2 Conservation des lments de journalisation des oprateurs de communications lectroniques 13
Les oprateurs de tlcommunications lectroniques, cest--dire les personnes qui au titre dune
activit professionnelle principale ou accessoire offrent au public une connexion permettant une communication en ligne par lintermdiaire dun accs au rseau, y compris titre gratuit, ont lobligation
de conserver certaines donnes de leurs abonns. Ces oprateurs peuvent tre similaires ceux viss
dans lannexe C.3.1 (cybercafs, fournisseurs daccs des rseaux de communications lectroniques
accessibles via une borne Wi-Fi que ce soit titre payant ou non) mais les lments de journalisation
faisant lobjet dune conservation diffrent.
Les trois catgories de donnes concernes sont les donnes utiles :
dans le cadre de la facturation et du paiement des prestations de communications lectroniques ;
dans le cadre de la recherche ou de la poursuite dune infraction ;
dans le cadre de la protection des systmes dinformation de loprateur de communications lectroniques.
Les types de donnes concerns par ces catgories sont prciss par la rglementation 14 , mais ne
sont pas exhaustifs :
les informations permettant didentifier lutilisateur ;
les donnes relatives aux quipements terminaux de communication utiliss ;
les caractristiques techniques ainsi que la date, lhoraire et la dure de chaque communication ;
les donnes relatives aux services complmentaires demands ou utiliss et leurs fournisseurs ;
les donnes permettant didentifier le ou les destinataires de la communication.
La dure minimale de conservation est dun an pour les deux premires catgories de
donnes et de trois mois pour les donnes conserves pour la scurit des rseaux et des
installations.
La non-conservation, le non-respect de la dure minimale de conservation et de lanonymisation
des donnes sont sanctionns pnalement par une peine demprisonnement dun an et de 75 000 euros
damende 15 .
C.3.3 Accs aux lments de journalisation par les autorits judiciaires
Les autorits judiciaires peuvent demander que les oprateurs de communications lectroniques, les
fournisseurs daccs internet ainsi que les fournisseurs dhbergement soient astreints leur fournir
les lments de journalisation cits prcdemment. Conformment au code de procdure pnale, ces
informations ne peuvent tre obtenues que par une rquisition crite.

C.4 Surveillance des salaris


En fonction de leurs finalits, les lments de journalisation peuvent tre considrs comme un
moyen de surveillance des salaris. Dans ce cas, ils doivent respecter les rgles relatives au droit du
12.
13.
14.
15.

LCEN, art. 6 VI, al. 1).


Art. L 34-1 du code des postes et des communications lectroniques.
Art. R. 10-12, R. 10-13 et suivants du code des postes et tlcommunications lectroniques.
Art. L 39-3 du code des postes et tlcommunications lectroniques.

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 20 sur 23

travail 16 . Ainsi, leur mise en uvre doit, en particulier, tre proportionne au but recherch et tre
pralablement porte la connaissance des salaris et, le cas chant, des instances reprsentatives du
personnel.
Les personnels et leurs instances reprsentatives doivent tre associs la dfinition des
processus de mise en uvre des mcanismes de journalisation, en particulier sils sont
utiliss des fins disciplinaires.

C.5 Rglementations sectorielles


Les gestionnaires des lments de journalisation peuvent galement tre assujettis des exigences
complmentaires lies leur secteur dactivit, en particulier en matire de traabilit et darchivage
ou lorsquils exercent leur activit dans un secteur rgul :
secteur bancaire : traabilit des oprations bancaires et financires 17 ;
secteur des jeux en ligne : traabilit des donnes de jeux 18 ;
secteur de la sant : traabilit des accs aux donnes de sant 19 ;
etc.

Il est recommand deffectuer un tat des lieux de la rglementation sectorielle applicable.

16. Art. L 121-8, L 432-2, L 1121-1, L 1222-4, L 1321-4 al. 3 du code du travail
17. Rglementations Ble 2, Sarbanes-Oxley, LSQ, etc.
18. Loi n 2010-476 du 12 mai 2010 relative louverture la concurrence et la rgulation du secteur des jeux
dargent et de hasard en ligne, art. 31.
19. Articles R1111-1 -15-1 du code de la sant publique cr par le dcret n2006-6 du 4 janvier 2006.

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Page 21 sur 23

C.6 Rcapitulatif
Rgime juridique

Fondement

Public concern

Fournisseur daccs Internet

Art. 6.II de la loi


n2004-575 du 21
juin 2004 modifie
pour la confiance
dans lconomie
numrique ;
du
dcret n 2011219 du 25 fvrier
2011 relatif la
conservation
et
la communication des donnes
permettant didentifier
toute
personne
ayant
contribu la
cration
dun
contenu mis en
ligne
Art. 6.II de la loi
n2004-575 du 21
juin 2004 modifie
pour la confiance
dans lconomie
numrique ;
du
dcret n 2011219 du 25 fvrier
2011 relatif la
conservation
et
la communication des donnes
permettant didentifier
toute
personne
ayant
contribu la
cration
dun
contenu mis en
ligne

Personnes
dont
lactivit est doffrir un accs
des services de
communication
au public en ligne

Hbergeurs

Personnes assurant, mme titre


gratuit, le stockage de signaux,
dcrits, dimages,
de sons ou de
messages de toute
nature fournis par
les destinataires
de ces services

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Type de donnes concernes (Dure


de rtention)
- Donnes de connexion permettant
didentifer les personnes lorigine
de la cration de contenu (1 an)

- Donnes de connexion permettant


didentifer les personnes lorigine
de la cration de contenu (1 an)

Page 22 sur 23

Rgime juridique

Fondement

Public concern

Oprateur
de
communications
lectroniques

Art. 34-1 du code


des postes et communications lectroniques ; dcret
n2006-358 du 24
mars relatif la
conservation des
donnes des communications lectroniques

Toute personne
qui,
au
titre
dune
activit
professionnelle
principale
ou
accessoire,
offrant au public
une
connexion
permettant une
communication
en ligne par lintermdiaire dun
accs un rseau,
y compris titre
gratuit
Responsables de
traitement
de
donnes caractre personnel

Donnes caractre personnel

Loi n78 du 6 janvier 1978 relative


linformatique,
aux fichiers et aux
liberts

No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013

Type de donnes concernes (Dure


de rtention)
- Facturation et paiement des
prestations de communications
lectroniques (1 an)
- Recherche et poursuite dune
infraction (1 an)
- Protection des SI de lopration de communication lectronique
(3 mois)

- Donnes caractre personnel


(dure de conservation minimale)

Page 23 sur 23

You might also like