Qu’est-ce que l’analyse des journaux ?

• Conformité. De nombreux organismes gouvernementaux ou réglementaires exigent des entreprises qu’elles démontrent leur conformité avec la multitude de réglementations qui s’appliquent à presque toutes les entités. L’analyse des fichiers journaux peut démontrer que les exigences réglementaires HIPAA, PCI, RGPD ou autres sont bien respectées par l’entreprise.

• Améliorations de la sécurité. À mesure que la cybercriminalité devient de plus en organisée, le besoin de contre-mesures plus fortes se fait également ressentir. L’analyse des journaux d’événements fournit des outils puissants pour prendre des mesures proactives et effectuer des examens approfondis après-coup en cas de violation ou de perte de données. L’analyse des journaux peut utiliser les données de surveillance du réseau pour détecter les tentatives d’accès non autorisé et garantir que les opérations de sécurité et les pare-feu sont configurés de manière optimale.

• Efficacité. Une structure d’analyse des journaux permet d’améliorer l’efficacité dans toute l’entreprise. Les ressources informatiques de chaque département peuvent partager un seul référentiel de journaux, et l’analyse des données de journal d’une entreprise peut aider à repérer les erreurs ou les tendances dans chaque entité et département, pour une correction rapide.

• Haute disponibilité. Une action rapide basée sur les informations révélées par l’analyse des journaux peut empêcher une interruption de service suite à un problème. Résultat : l’entreprise peut atteindre ses objectifs et le département informatique peut respecter ses engagements de fournir des services avec une garantie de disponibilité spécifiée.

• Éviter le surprovisionnement ou le sous-provisionnement. Alors que les entreprises doivent planifier en tenant compte des pics de demande, l’analyse des journaux permet d’anticiper les insuffisances de CPU, mémoire, disque et bande passante réseau pour répondre aux demandes actuelles et aux tendances prévues. Le surprovisionnement gaspille inutilement le précieux budget du département informatique, tandis que le sous-provisionnement peut entraîner des interruptions de service, les entreprises tentant difficilement d’acheter des ressources supplémentaires ou d’utiliser des ressources Cloud pour répondre aux fluctuations de la demande.

• Efficacité des équipes commerciales et marketing. En effectuant le suivi de mesures telles que le volume de trafic et les pages visitées par les clients, l’analyse des journaux permet aux commerciaux et aux équipes marketing d’identifier les programmes efficaces et ce qui doit être modifié. Des modèles de trafic peuvent également aider lors du remaniement du site Web d’une entreprise pour faciliter l’accès aux informations les plus fréquemment consultées.
  

Dans la mesure où les journaux offrent une visibilité sur les performances et l’intégrité des applications, l’analyse des journaux permet aux équipes responsables des opérations et du développement de comprendre et de résoudre les problèmes de performances qui surviennent au cours du fonctionnement opérationnel.

L’analyse des journaux remplit de nombreuses fonctions importantes, notamment :

• Conformité avec les obligations de gouvernance et réglementaires, ainsi qu’avec les règles internes
• Suivi des violations de sécurité et de l’exfiltration de données afin de déterminer les parties responsables et agir pour corriger les violations
• Aide au diagnostic et à la résolution des problèmes de la pile complète
• Suivi des anomalies de comportement des utilisateurs pour détecter les intentions malveillantes ou les systèmes compromis
• Assistance dans le cadre d’enquêtes approfondies sur les attaques par des logiciels malveillants, l’exfiltration ou le vol par les collaborateurs
  

Certains organismes de réglementation imposent aux entreprises d’effectuer une analyse des fichiers journaux pour valider leur conformité à leurs réglementations, et chaque entreprise qui souhaite améliorer sa stratégie de cybersécurité aura besoin de compétences en analyse des journaux pour détecter et éliminer les cybermenaces de toutes sortes. Les exigences de respect de la réglementation auxquelles l’analyse des journaux permet de répondre incluent : ISO/IEC 27002:2013, concernant le code de pratique pour la sécurité informatique ; PCI DSS V3.1 qui couvre la confidentialité des informations de carte de crédit et autres informations financières ; et NIST 800-137 concernant la surveillance continue pour les départements informatiques du secteur public.

Les journaux sont des enregistrements chronologiques des actions et activités générées par les applications, les réseaux, les terminaux (y compris les terminaux programmables et IoT) et les systèmes d’exploitation. Ils sont généralement stockés dans un fichier, une base de données ou une application dédiée appelée collecteur de journaux pour une analyse des journaux en temps réel.

L’analyste des journaux a pour mission, entre autres, d’interpréter l’ensemble des données et messages collectés en contexte, ce qui nécessite de normaliser les données de journal pour garantir l’utilisation d’une terminologie commune. Toute confusion est ainsi évitée si l’une des fonctions indique « normal » et l’autre « vert », les deux signifiant qu’aucune action n’est requise.

Généralement, les données de journal sont collectées pour le programme d’analyse des journaux, nettoyées, structurées ou normalisées, puis transmises pour analyse aux experts afin de détecter des modèles ou d’identifier des anomalies telles qu’une cyberattaque ou une exfiltration de données. L’analyse des fichiers journaux se déroule généralement comme suit :

1. Collecte des données : les données des sondes matérielles et logicielles sont collectées dans une base de données centrale.
2. Indexation des données : les données de toutes les sources sont centralisées et indexées pour accélérer les recherches, permettant aux professionnels de l’informatique d’identifier rapidement les problèmes ou les modèles.
3. Analyse : des outils d’analyse des journaux, notamment la normalisation, la reconnaissance de modèles, la corrélation et le balisage, peuvent être utilisés automatiquement grâce à l’apprentissage automatique, ou manuellement si nécessaire.
4. Surveillance : une plate-forme d’analyse des journaux en temps réel et autonome peut générer des alertes en cas de détection d’anomalies. Ce type d’analyse automatisée des journaux est la base de la surveillance continue de la pile informatique complète.
5. Rapports : les rapports et les tableaux de bord traditionnels sont intégrés à une plate-forme d’analyse des journaux, offrant une vue rapide ou historique des mesures aux équipes responsables des opérations, du développement et de la gestion.