Par la rédaction le 03/02/2007
La conservation et l´analyse de logs permettent aux entreprises de minimiser les risques liés à l´ouverture du Système d´Information (protection des personnes, de la base informationnelle et des matériels de l´entreprise). Mais au-delà de cet aspect opérationnel, c´est aujourd´hui une véritable obligation pour la majorité des entreprises, qui se doivent d´être conformes aux nouvelles lois et réglementations en matière de Sécurité Informatique (LSF, SOX, Bâle II). A l´occasion d´un atelier organisé par la société NS One, éditeur et constructeur de solutions de sécurité applicative, sur le thème de la conservation des logs, les contraintes et les enjeux suscités par ces nouvelles mesures ont été mis en avant.
Les nouvelles lois et réglementations en matière de Sécurité Informatique imposent désormais à la plupart des entreprises de fournir des éléments factuels, à travers notamment le stockage des logs de connexion, aux auditeurs et responsables du contrôle interne. L´objectif étant de garantir une transparence, un contrôle et une sécurité des traitements effectués en cas de contentieux. Cependant les Responsables du Système d´Information se focalisent encore trop souvent sur les aspects techniques opérationnels, sans analyser en profondeur les aspects purement légaux, les besoins et contraintes imposées aux Directeurs Financiers et Juridiques lors du déploiement de solutions de corrélation de logs.
La conservation des logs est devenue obligatoire pour certaines entités
A l´occasion de cet atelier, Marie-Hélène Tonnelier et Charlotte Barraco, avocates chez Latournerie Wolfrom & Associés, ont exposé les différentes contraintes juridiques liées à la conservation des logs, devenue obligatoire pour certaines entités. Il existe, en effet, une différence entre la possibilité et l´obligation de conserver les logs de connexion. Il apparaît donc intéressant de se demander quelles sont les personnes, les entités qui se retrouvent face à l´obligation de conserver les logs de connexion, et dans quel objectif ?
La conservation des logs répondrait a priori et dans la plupart des cas à des obligations professionnelles (Sarbanes-Oxley Act de 2002, Loi de sécurité financière de 2003). Elle permet, en effet, d´assurer la traçabilité et donc la protection des réseaux de l´entreprise, mais aussi de contrôler la productivité des salariés ou encore d´être utilisée à titre de preuve en cas de litige. Cependant le coût engendré par de telles mesures est plus que conséquent pour une entreprise. De plus, les salariés doivent impérativement, sous peine de sanctions, être avertis que certaines informations à leurs sujets sont conservées, ce qui représente une contrainte supplémentaire pour le responsable d´entreprise.
Sur qui pèse une véritable obligation de conservation de logs ?
En principe, l´obligation est plutôt à l´effacement des données de connexion. Dans certains cas, comme dans le milieu de la recherche ou encore judiciaire, cette obligation d´effacement est tempérée, puisque le recours à ces logs peut s´avérer nécessaire en cas de litige. L´obligation de conservation des logs a été établie suite au décret du 24 Mars 2006. La durée de conservation a dès lors été fixée à un an, à compter du jour de l´enregistrement. Les informations à conserver sont, par exemple, les informations d´identification de l´utilisateur, les données relatives aux équipements de terminaux de communication... A ce jour, seules deux entités ont une véritable obligation de conservation des logs :
- Les opérateurs de communications électroniques (FAI, opérateurs de téléphonie fixe et mobile, haut public). Cet impératif date de l´extension de la lutte contre le terrorisme en 2006, visant toutes les entités qui offrent des points d´accès à Internet (cybercafés, mairies, bibliothèques...).
- Les Fournisseurs d´accès à Internet et les Fournisseurs d´hébergement, suite à la Loi du 21 juin 2004 pour la confiance dans l´économie numérique (obligation de détenir et de conserver les données d´identification des abonnés créateurs de contenu).
La jurisprudence n´est pas encore très exigeante sur la qualité des données conservées. L´obligation est remplie à partir du moment où la conservation est faite même si elle n´est pas précise. La réglementation (LSF,...) ne prévoit pas, en effet, d´obligation particulière pour la conservation des logs. Cependant, la jurisprudence évolue.
Les logs : des données à caractère personnel
Les données à caractère personnel représentent toutes les données qui permettent d´identifier une personne physique. Et toute personne qualifiée de traiteur, collecteur de ces informations personnelles, doit répondre à un certain nombre d´obligations, dont une déclaration auprès de la CNIL. En raison de la Loi Informatique et Libertés du 6 Janvier 1978, toute constitution de fichiers de logs, de bases de données (par exemple des fichiers de recrutement, du personnel, des clients,...) doit être déclarée au préalable et s´effectuer sous certaines conditions.
Les obligations qui pèsent sur le « responsable du traitement »
Ces obligations envers les personnes concernées pèsent sur le « responsable du traitement » (personne, autorité publique,...). La collecte et le traitement des logs doivent, en effet, respecter certains principes (loyauté, licéité,...), avoir des finalités déterminées, explicites et légitimes, et respecter le principe de proportionnalité. Un fichier doit donc avoir un objectif précis et les informations doivent être cohérentes par rapport à cet objectif. De plus, les informations ne peuvent pas être réutilisées pour des raisons autres que celles de la collecte.
Le « responsable du traitement » a également pour obligation d´obtenir le consentement de la personne dont les logs sont conservés. Néanmoins, une fois l´accord obtenu, il se retrouve responsable de la sécurité des données qu´il détient. Il a, effectivement, interdiction de communiquer ces données à des tiers non autorisés, mais également interdiction de transférer des données vers un état hors UE, qui n´assure pas un niveau de protection suffisant des données. Les personnes dont les données ont été conservées ont, néanmoins, un droit d´opposition.
Il existe des obligations particulières en cas de conservation des logs sur son lieu de travail : le principe de proportionnalité, le principe d´information et de consultation préalable du Comité d´Entreprise, et enfin le principe d´information des salariés. Le mieux pour pallier cet impératif réside dans la mise en place de chartes informatiques qui informent le salarié sur ce qui est autorisé et sur ce qui ne l´est pas.
En cas de non respect des lois, la CNIL a le pouvoir de sanctionner les « responsables du traitement » (jusqu´à 5 ans d´emprisonnement et 300 000 euros d´amende).
LOG One : solution de centralisation, d´analyse et de corrélation des logs
La solution LOG One, présentée par Axel Falck, Responsable Avant-Vente chez NS One, est une solution de supervision globale de la sécurité est une solution logicielle de centralisation, d´analyse et de corrélation des logs des équipements de sécurité, de réseau et de serveurs. Elle simplifie le travail des administrateurs en centralisant les événements provenant des différents équipements ou applications. Les événements collectés sont ainsi corrélés en temps réel pour produire des alarmes pertinentes et enregistrées en parallèle pour une analyse ultérieure. Un système expert étudie en permanence l´historique des événements collectés pour compléter l´analyse en temps réels par des rapports. La solution couvre le cycle méthodologique complet de la gestion d´incident : prévenir, détecter, confiner, enquêter, corriger et documenter.