Points clés
- La traçabilité établit un lien direct entre chaque action dans le système d'information et l'individu ou le processus qui l'a réalisée — condition indispensable pour attribuer les responsabilités en cas d'incident.
- Sans traçabilité, la responsabilité des incidents devient collective et diffuse : il est impossible de déterminer si un accès non autorisé était intentionnel, négligent, ou malveillant.
- Jérôme Kerviel (Société Générale, 2008) et Edward Snowden (NSA, 2013) illustrent deux cas opposés : le premier a pu opérer pendant des mois en exploitant des lacunes de traçabilité, le second a laissé des traces qui ont permis de reconstituer ses actions.
- RGPD Article 5(2) (accountability), ISO 27001:2022 A.8.15 et NIS2 imposent des capacités de traçabilité comme mécanismes de démonstration de la responsabilité des organisations.
La traçabilité des activités informatiques établit un principe fondamental : chaque action dans un système d'information doit pouvoir être attribuée à un individu ou à un processus, avec horodatage et contexte. Ce principe est à la fois un mécanisme de dissuasion (les acteurs savent que leurs actions sont tracées), un mécanisme d'attribution (les responsabilités peuvent être établies post-facto), et un mécanisme de conformité (la preuve de la diligence peut être apportée aux régulateurs).
L'absence de traçabilité crée une responsabilité collective et diffuse qui nuit à la fois à la sécurité (les comportements individuels ne sont pas surveillés) et à la conformité (il est impossible de démontrer qui a fait quoi). Dans un contexte réglementaire croissant — RGPD, DORA, NIS2 — la traçabilité est devenue une obligation et non une option.
Traçabilité et responsabilité individuelle
Le principe de traçabilité signifie que les identifiants partagés sont incompatibles avec la responsabilité individuelle. Si plusieurs personnes utilisent le même compte pour accéder à un système, il est impossible de déterminer laquelle d'entre elles a réalisé une action particulière. Cette situation, courante dans les environnements où les bonnes pratiques de gestion des identités ne sont pas appliquées, crée une zone de non-responsabilité qui peut être exploitée.
Les comptes de service partagés par plusieurs personnes pour des raisons pratiques (compte "admin" ou "test" partagé entre les membres d'une équipe) doivent être remplacés par des comptes individuels avec des droits équivalents mais une attribution individuelle claire. Cette transformation est un prérequis à la traçabilité individuelle dans les environnements IT.
L'authentification multifacteur renforce la traçabilité en s'assurant que l'utilisation d'un compte individuel est effectivement réalisée par son titulaire légitime et non par un attaquant ayant obtenu ses identifiants. Sans MFA, un compte peut être utilisé par un tiers — ce qui brouille la traçabilité en attribuant des actions à un individu qui ne les a pas réalisées.
Traçabilité et responsabilité organisationnelle
RGPD Article 5(2) consacre le principe d'accountability : le responsable de traitement doit être en mesure de démontrer le respect des principes du règlement. Cette démonstration est impossible sans traçabilité des traitements réalisés — qui a accédé à quelles données personnelles, quand, depuis quelle application, pour quel motif légitime. Le registre des activités de traitement (Article 30) est une forme de traçabilité organisationnelle, mais la traçabilité technique des accès est également indispensable pour répondre à un contrôle de la CNIL ou d'une autre autorité de protection des données.
DORA (Digital Operational Resilience Act) impose aux entités financières de maintenir des journaux d'activité permettant l'attribution des incidents ICT, incluant l'identification des systèmes affectés, des données compromises et des actions réalisées pendant l'incident. Ces journaux doivent être disponibles pour les inspections des autorités compétentes (BCE, ABE, EIOPA selon les secteurs).
NIS2 (Article 21) impose que les entités essentielles et importantes mettent en œuvre des mesures de sécurité incluant des politiques sur l'utilisation de la cryptographie, la sécurité de la chaîne d'approvisionnement, et des procédures relatives à la gestion des incidents — toutes ces mesures nécessitent une traçabilité pour démontrer leur implémentation lors des audits des autorités nationales compétentes.
Traçabilité et dissuasion
La traçabilité est également un mécanisme de dissuasion des comportements malveillants internes. Un collaborateur qui sait que toutes ses actions dans le système d'information sont enregistrées et potentiellement auditées est moins susceptible d'adopter des comportements frauduleux ou de violer les politiques de sécurité. Cette dissuasion ne fonctionne que si la traçabilité est réelle, complète, et si les collaborateurs ont connaissance de son existence.
La communication transparente sur les capacités de traçabilité — dans les politiques d'utilisation acceptable des systèmes informatiques, dans les formations de sensibilisation — est indispensable pour activer cet effet de dissuasion. Un collaborateur qui ignore que ses accès aux systèmes sont journalisés ne peut pas être dissuadé par cette journalisation.
L'affaire Snowden illustre paradoxalement les deux faces de la traçabilité. D'un côté, la NSA disposait de journaux d'activité suffisants pour reconstituer précisément les fichiers accédés et copiés par Snowden — ce qui a permis de déterminer l'étendue de la divulgation. De l'autre, ces journaux n'avaient pas été configurés pour générer des alertes sur des volumes d'accès anormaux par un administrateur — ce qui a permis à Snowden d'opérer pendant plusieurs mois sans déclencher d'alerte. La NSA a investi après cet incident dans des systèmes de traçabilité avec alertes comportementales spécifiquement conçus pour surveiller les utilisateurs avec des accès privilégiés à des systèmes classifiés.
L'affaire LuxLeaks, dans laquelle Antoine Deltour et Raphaël Halet ont divulgué des milliers de documents fiscaux confidentiels du cabinet PricewaterhouseCoopers Luxembourg, a été rendue possible par des lacunes de traçabilité dans les systèmes de gestion documentaire de PwC Luxembourg. Les documents avaient été accessibles et copiés par des stagiaires et junior associates sans que les systèmes de gestion documentaire ne tracent et n'alertent sur des accès anormaux en termes de volume ou de nature. Cette affaire a conduit de nombreux cabinets d'audit et conseil à revoir leur politique de traçabilité des accès aux documents confidentiels de leurs clients.
L'effondrement de Wirecard, qui a révélé une fraude comptable de 1,9 milliard EUR, a mis en lumière des lacunes graves de traçabilité dans les systèmes financiers de l'entreprise. Les enquêteurs du BaFin et de la Staatsanwaltschaft München ont rencontré des difficultés significatives à reconstituer les flux financiers frauduleux en raison d'une gestion des preuves insuffisante et de journaux d'activité lacunaires dans certains systèmes de back-office. Ces difficultés ont ralenti l'investigation et ont contribué à la difficulté de récupérer les actifs disparus. L'enquête a conduit le BaFin à renforcer ses exigences de traçabilité et d'audit trail pour les prestataires de services de paiement.