Points clés
- Les journaux d'activité sont la matière première de toute investigation post-incident : ils permettent de reconstituer la chronologie des événements, d'identifier les systèmes compromis et de déterminer l'étendue de l'exposition.
- Sans journaux complets et intègres, l'investigation forensique est condamnée à l'incomplétude — avec des conséquences directes sur la capacité à notifier les personnes concernées et à démontrer la diligence aux régulateurs.
- Adobe (2013) a pu déterminer rapidement l'étendue de sa compromission (153 millions de comptes) grâce à ses journaux de bases de données, bien que ces journaux aient également révélé l'utilisation de chiffrement insuffisant.
- NIST SP 800-86 (Integration of Forensics Techniques into Incident Response) et ISO 27001:2022 A.5.28 (Collection of evidence) définissent les exigences de gestion des preuves digitales lors des investigations.
L'investigation post-incident est le processus par lequel une organisation cherche à comprendre ce qui s'est passé lors d'un incident de sécurité : comment l'attaquant est entré, quels systèmes ont été compromis, quelles données ont été accédées ou exfiltrées, quelle a été la durée de présence de l'attaquant. Cette investigation est indispensable pour notifier les personnes concernées, répondre aux demandes des régulateurs, et prendre les mesures correctives qui éviteront une récidive.
Les journaux d'activité sont la matière première de cette investigation. La qualité et la complétude des journaux disponibles déterminent directement la qualité de l'investigation : une investigation menée sur des journaux complets produit une analyse précise de l'incident, tandis qu'une investigation sur des journaux insuffisants produit une analyse lacunaire qui laisse des questions sans réponse et des zones d'ombre potentiellement compromettantes.
Ce que les journaux permettent de reconstituer
La chronologie de l'attaque est la première reconstruction que permettent les journaux. En corrélant les événements de différentes sources — authentifications, accès aux données, connexions réseau, exécutions de processus — les enquêteurs forensiques peuvent reconstituer précisément la progression de l'attaquant : premier accès, découverte du réseau, élévation de privilèges, mouvement latéral, accès aux données sensibles, exfiltration. Cette chronologie est indispensable pour comprendre comment l'attaquant a procédé et quels contrôles de sécurité ont échoué.
L'identification des systèmes compromis nécessite des journaux de connexion et d'accès qui permettent de tracer les mouvements de l'attaquant dans le réseau. Sans ces journaux, les équipes de réponse à incident ne peuvent pas déterminer avec certitude quels systèmes ont été touchés — ce qui conduit à une remédiation incomplète et à des risques de réinfection.
La détermination de l'étendue de l'exposition — quelles données ont été accédées, consultées ou exfiltrées — est la question la plus critique pour les obligations de notification. RGPD Article 33 impose la notification à l'autorité de contrôle dans les 72 heures, avec une description de la nature de la violation, des catégories de données concernées et du nombre approximatif de personnes affectées. Sans journaux de bases de données qui tracent les accès aux données personnelles, il est impossible de répondre précisément à ces questions dans les délais requis.
Les standards de collecte de preuves
NIST SP 800-86 (Integration of Forensics Techniques into Incident Response) définit les principes de collecte de preuves digitales qui maintiennent leur valeur forensique et leur admissibilité potentielle en procédure judiciaire : collecte sans modification des preuves originales, documentation de la chaîne de custody, hachage des preuves pour démontrer leur intégrité. Ces principes s'appliquent aux journaux d'activité collectés lors d'une investigation.
L'intégrité des journaux est une condition de leur valeur forensique. Si un attaquant a pu modifier les journaux du système compromis, leur valeur comme preuves est nulle. La protection des journaux dans un système centralisé immuable — isolé du système compromis — est la garantie de leur intégrité. ISO 27001:2022 A.8.15 impose explicitement la protection des journaux contre la modification non autorisée.
La conservation des journaux dans des durées compatibles avec les délais d'investigation est également critique. Une compromission qui démarre en janvier et n'est découverte qu'en septembre ne peut être investigée que si les journaux de janvier sont disponibles. PCI-DSS Exigence 10.7 impose 12 mois de conservation. Pour les incidents impliquant des données sensibles, des durées de conservation plus longues peuvent être nécessaires en raison des délais de découverte typiques des APT.
Préparer l'investigation avant l'incident
La préparation de l'investigation post-incident doit commencer avant que l'incident ne survienne. Cela implique de définir les sources de journaux prioritaires, de les centraliser dans un SIEM protégé, de les conserver pendant les durées requises, et de documenter les procédures de collecte de preuves. Les organisations qui n'ont pas préparé ces capacités avant un incident se retrouvent à tenter de les mettre en place dans l'urgence, ce qui conduit à des investigations incomplètes.
Les exercices de simulation d'incident (tabletop exercises) devraient inclure des composantes d'investigation forensique — quels journaux sont disponibles, comment les collecter, comment les analyser. Ces exercices permettent d'identifier les lacunes dans les capacités de traçabilité avant qu'un incident réel ne les révèle de manière douloureuse.
Lors de la compromission d'Anthem, Mandiant (mandaté par Anthem) a conduit une investigation forensique qui a duré plusieurs semaines. Les journaux disponibles dans l'environnement Anthem permettaient de reconstituer en partie les accès aux bases de données de membres, mais les gaps dans la journalisation (certains accès aux données de santé n'étaient pas journalisés au niveau de granularité requis) ont empêché de déterminer avec précision l'étendue exacte des données consultées. Cette incertitude a conduit Anthem à adopter une approche de notification conservatrice — notifier l'ensemble des personnes potentiellement affectées — ce qui a augmenté le coût de la notification. L'accord de règlement final de 115 millions USD avec les États a tenu compte de cette incertitude sur l'étendue réelle de la compromission.
La compromission de British Airways, qui a exposé les données de paiement de 500 000 clients via une injection de code malveillant sur son site de réservation, a pu être précisément délimitée grâce aux journaux de l'infrastructure web de BA. Les journaux ont permis d'identifier la durée précise de l'exposition (22 août au 5 septembre 2018), les pages affectées, et les types de données exposées. Cette précision dans la délimitation de l'incident a permis à BA de notifier l'ICO avec une information complète dans le délai requis par le RGPD. Malgré cette réactivité, l'ICO a infligé une amende initiale de 183 millions GBP (réduite à 20 millions GBP après procédure), en partie parce que les journaux avaient également révélé des failles de sécurité préexistantes.
Singtel a subi en 2021 une compromission via une vulnérabilité dans un outil de transfert de fichiers (Accellion FTA). Grâce à ses journaux d'activité centralisés, Singtel a pu reconstituer en moins de 48 heures la liste complète des fichiers potentiellement exposés, les dates d'accès, et les systèmes depuis lesquels les accès avaient été réalisés. Cette rapidité d'investigation a permis à Singtel de notifier les entités et personnes potentiellement affectées dans des délais conformes aux exigences de la PDPA (Personal Data Protection Act) singapourienne. Singtel a publié un rapport de transparence sur cet incident, citant explicitement la qualité de ses journaux d'activité comme facteur clé de la rapidité de l'investigation.