Points clés
- La centralisation des journaux d'activité dans un référentiel unique est la condition pour permettre la corrélation des événements entre différentes sources et détecter les incidents qui traversent plusieurs périmètres.
- Les logs décentralisés — chaque système conservant ses propres logs localement — sont impraticables pour la détection et vulnérables à la suppression par un attaquant ayant accès au système compromis.
- Une architecture de centralisation des logs pour une organisation de taille moyenne génère entre 1 et 100 Go de logs par jour — un volume qui nécessite une infrastructure SIEM dimensionnée et une politique de rétention définie.
- NIST SP 800-92 recommande la centralisation dans une infrastructure de gestion des logs (Log Management Infrastructure) protégée et indépendante des systèmes supervisés.
La centralisation des journaux d'activité est la fondation architecturale d'un dispositif de supervision efficace. Des logs décentralisés — chaque serveur, application ou équipement réseau conservant ses propres logs localement — rendent la corrélation entre sources pratiquement impossible, exposent les logs à la suppression par un attaquant, et ne permettent pas une supervision en temps réel.
La centralisation dans un SIEM (Security Information and Event Management) transforme des données dispersées en une vue unifiée qui permet la corrélation, l'alerting en temps réel, la visualisation et l'investigation forensique. C'est l'infrastructure qui fait passer la journalisation d'un outil passif d'archivage à un outil actif de détection.
L'architecture de centralisation
L'architecture de centralisation standard comprend plusieurs couches. Les agents de collecte, déployés sur chaque source de logs (serveurs Windows/Linux, équipements réseau, applications), collectent les logs et les transmettent vers un niveau d'agrégation intermédiaire (log aggregators ou forwarders) qui les normalise dans un format commun avant de les transmettre vers le SIEM central. Cette architecture en niveaux permet de réduire les coûts de licence SIEM (qui sont souvent basés sur le volume ingéré) en filtrant et compressant les logs au niveau de l'agrégation.
La normalisation des logs dans un format commun (CEF — Common Event Format, Syslog RFC 5424, ou le format spécifique du SIEM) est indispensable pour permettre la corrélation entre sources hétérogènes. Un événement d'authentification venant d'un Windows Server, d'un équipement Cisco et d'une application SAP doit être normalisé dans un format permettant de les corréler par utilisateur, par système source et par horodatage.
La protection de l'infrastructure de centralisation elle-même est une exigence critique. Le SIEM et les systèmes d'agrégation doivent être protégés avec le plus haut niveau de sécurité : accès restreint aux seules personnes autorisées, durcissement de configuration, surveillance de leurs propres activités (logs des accès au SIEM), et sauvegarde régulière. Un attaquant qui compromet l'infrastructure SIEM peut supprimer les traces de son activité dans l'ensemble du périmètre supervisé.
Les sources prioritaires à centraliser
La prioritisation des sources à centraliser doit suivre la criticité des systèmes supervisés. Les sources prioritaires incluent : les contrôleurs de domaine Active Directory (toutes les authentifications Windows), les systèmes de gestion des accès (IAM, SSO), les firewalls et proxies réseau (tout le trafic entrant et sortant), les équipements VPN (toutes les connexions à distance), et les systèmes d'hébergement des données les plus sensibles (bases de données clients, systèmes financiers).
Les sources secondaires, importantes mais à traiter après les prioritaires, incluent : les serveurs d'applications métier, les serveurs web, les équipements réseau internes (switches, routers), et les solutions SaaS (en utilisant les API d'export de logs disponibles chez les fournisseurs majeurs — Microsoft 365 Audit Logs, Salesforce Event Log, Google Workspace Audit).
Les environnements cloud nécessitent une approche spécifique de centralisation. AWS CloudTrail, Azure Monitor Logs et GCP Cloud Audit Logs doivent être configurés pour exporter leurs logs vers le SIEM central. Cette exportation peut être réalisée via des connecteurs natifs (Microsoft Sentinel pour les services Azure et Microsoft 365), des API, ou des solutions d'agrégation spécialisées.
Le dimensionnement et les coûts
Le dimensionnement de l'infrastructure de centralisation dépend du volume de logs et du nombre de sources. Une organisation de 500 employés génère typiquement entre 1 et 10 Go de logs par jour. Une organisation de 5 000 employés génère entre 10 et 100 Go par jour. Les coûts des solutions SIEM cloud-native (Microsoft Sentinel, Google Chronicle, Elastic SIEM) sont généralement basés sur le volume ingéré — entre 1 et 3 USD par Go ingéré. Ces coûts doivent être évalués en regard des coûts d'un incident non détecté.
La politique de rétention des logs centralisés doit être définie en fonction des exigences réglementaires (12 mois minimum pour PCI-DSS), des délais typiques de détection des compromissions (les APT sophistiqués opèrent souvent pendant plusieurs mois avant d'être détectés) et des contraintes budgétaires. Une stratégie de rétention à deux niveaux — stockage chaud des logs récents (3 mois, accès rapide pour l'investigation) et stockage froid des logs archives (12 mois, accès plus lent) — permet d'optimiser les coûts tout en maintenant la disponibilité des logs nécessaires.
JPMorgan Chase opère l'une des infrastructures SIEM les plus avancées du secteur financier, traitant plus de 1 000 milliards d'événements de sécurité par jour. La centralisation des logs de l'ensemble des systèmes de JPMorgan (plus de 30 000 systèmes dans le monde) dans une infrastructure SIEM propriétaire a nécessité plusieurs années et des investissements de plusieurs centaines de millions de dollars. Cette infrastructure permet à JPMorgan de détecter des anomalies dans des délais de l'ordre de la minute pour les scénarios d'attaque couverts par ses règles de corrélation. JPMorgan cite sa capacité de centralisation et de supervision comme l'un des facteurs clés de sa résilience face aux cyberattaques ciblant le secteur financier.
La Commission Européenne a entrepris à partir de 2019 une modernisation de son infrastructure de supervision cybersécurité, incluant la centralisation des logs de l'ensemble de ses systèmes dans une plateforme SIEM unifiée. Ce projet, conduit dans le cadre de sa politique de cybersécurité renforcée après les incidents de 2020-2021, a permis d'augmenter significativement le taux de couverture des systèmes supervisés et de réduire le MTTD moyen. La Commission publie dans ses rapports annuels de sécurité des métriques sur ses capacités de supervision, démontrant l'amélioration continue de ses capacités de détection. Ce projet est cité par l'ENISA comme exemple de modernisation des capacités de supervision dans une grande organisation publique.
La Government Technology Agency de Singapour (GovTech) opère une plateforme SIEM centralisée pour l'ensemble des agences gouvernementales singapouriennes, permettant une supervision unifiée des quelque 100 000 utilisateurs de l'administration publique. Cette centralisation a permis de réduire significativement les coûts de supervision (économies d'échelle par rapport à des SIEM individuels par agence) et d'améliorer la qualité de la détection (corrélation cross-agences permettant de détecter des campagnes d'attaque ciblant simultanément plusieurs administrations). GovTech présente ce modèle de SIEM gouvernemental centralisé lors du Singapore International Cyber Week comme une approche efficace pour les gouvernements à ressources limitées.