Accueil
Entreprise
A propos de nous
Lignes directrices

Insuffisance de la journalisation et de la surveillance

La journalisation et la surveillance sont souvent envisagées après coup, lorsque quelque chose a déjà mal tourné, mais en réalité, l'absence d'une journalisation et d'une surveillance adéquates peut être très coûteuse. 

D'une part, lorsqu'un incident se produit (qu'il soit lié à la sécurité ou non), il est impossible de comprendre ce qui s'est réellement passé si les journaux sont peu nombreux ou inexistants. D'autre part, l'enregistrement d'un trop grand nombre de données peut entraîner des problèmes de protection de la vie privée, qui peuvent à leur tour entraîner des problèmes avec les autorités de réglementation.

Vous trouverez ci-dessous quelques bonnes pratiques qui peuvent vous aider à améliorer la journalisation et la surveillance. 

Meilleures pratiques

Examinons quelques bonnes pratiques en matière de journalisation et de surveillance.

Enregistrement des audits pour les fonctions sensibles

Il est important de créer des journaux d'audit pour les événements sensibles tels que les tentatives de connexion (qu'elles aient abouti ou non), les changements de compte d'utilisateur, l'accès à des données sensibles ou leur modification, et d'autres cas similaires. Cela vaut aussi bien pour l'accès des utilisateurs généraux que pour celui des utilisateurs internes/administratifs. 

L'enregistrement de ces éléments devient extrêmement important dans les cas où l'on pense qu'un accès non autorisé a eu lieu, qu'il s'agisse d'un initié ou d'une personne extérieure. 

Lorsqu'un tel événement se produit, il est essentiel de pouvoir déterminer quelles données ont été consultées par qui, afin de comprendre l'ampleur et la portée de l'événement.

Enregistrement des erreurs

L'existence de journaux d'erreurs et d'avertissements n'est pas seulement une bonne pratique d'ingénierie générale permettant de surveiller l'état de l'application ; ils peuvent également servir de signaux d'alerte. 

Lorsqu'un attaquant est en train de découvrir une vulnérabilité, il génère souvent un grand nombre d'erreurs et d'avertissements qui peuvent vous indiquer qu'un attaquant a peut-être trouvé une vulnérabilité dans votre application.

Stocker les journaux dans un endroit centralisé

Les journaux devraient toujours être transmis et stockés en temps réel dans un endroit centralisé. Cela permet à la fois de s'assurer que les journaux sont immédiatement disponibles pour analyse par un SIEM et d'empêcher un attaquant qui aurait compromis un serveur de pouvoir modifier ou supprimer les journaux. 

Conserver les journaux pendant une durée définie

La triste réalité est que la plupart des violations mettent des jours à être détectées et, en fait, 20 % des violations mettent des mois à être détectées. Lorsque le délai entre la violation et la détection est aussi long, les journaux sont souvent la seule source de données dont on dispose pour déterminer ce qui s'est passé.

Il est donc particulièrement important de conserver les journaux pendant une période de temps bien définie. Des normes telles que PCI exigent que les journaux soient accessibles sans délai ou presque, en remontant jusqu'à 3 mois, tandis que les journaux remontant jusqu'à 12 mois doivent pouvoir être restaurés sur demande. 

Cette approche permet de trouver un bon équilibre entre la possibilité de commencer facilement à enquêter sur un incident potentiel et la gestion des coûts grâce au stockage à froid des journaux. 

Auditer régulièrement les journaux pour détecter les IPI

Les journaux sont très utiles pour enquêter sur des incidents potentiels, mais en réalité, les journaux eux-mêmes peuvent également être à l'origine d'un incident. 

Il existe un équilibre délicat entre l'inclusion des informations nécessaires pour pouvoir enquêter sur les incidents et l'enregistrement d'un trop grand nombre d'informations. Il est assez facile d'inclure accidentellement des IIP dans les journaux, ce qui peut poser des problèmes au regard des réglementations en matière de protection de la vie privée.

Il est important de vérifier régulièrement si les journaux contiennent des informations confidentielles et de s'assurer qu'elles sont supprimées.

Codage axé sur le développeur.

En toute sécurité.

Contactez-nous dès aujourd'hui et faites de la sécurité des logiciels une partie intrinsèque de votre processus de développement.

Réservez une démonstration
Connecter
Facebook
X
LinkedIn
Entreprise
A propos de nousPartenairesCarrièresCentre fiduciaireContactez nousEvénementsLignes directricesDossier de presseMagasin
Produit
CoursesMissionsTournamentsÉvaluationsFormationSCW pour GitHubSCW pour JiraIntégrationsRessources pédagogiquesNotes de mise à jourPlans
Solutions
GouvernementVente au détailFinance et banqueAssuranceTechnologieAutomobileSoins de santéÉquipes d'ingénieursÉquipes de sécuritéSuite C
Ressources
Centre de ressourcesBlogVidéosBrochureLivres blancsÉtudes de casRapportsInfographieLivres électroniquesWebinairesGuides
Sydney
Boston
Portland
Londres
Bruges
Reykjavík
Copyright © 2015-2023 Secure Code Warrior Limited.
Politique de confidentialitéPolitique en matière de cookies | Accessibilité | Politique | Plan du site