La conservation des logs est un pilier fondamental de toute stratégie cybersécurité. Elle permet de retracer les événements techniques, détecter des comportements anormaux, réagir aux incidents, et répondre aux obligations réglementaires. LOGIQE vous accompagne dans la mise en œuvre d’une stratégie de conservation des journaux conforme, pérenne et adaptée à votre infrastructure IT.
Pourquoi conserver les logs ?
Les logs sont les journaux d’activité générés par vos systèmes (serveurs, postes de travail, applications, équipements réseau, cloud…). Leur exploitation permet de :
- Détecter les attaques et anomalies de sécurité (tentatives d’intrusion, exfiltration, mouvements latéraux…)
- Reconstituer un incident ou une compromission a posteriori
- Prouver la conformité réglementaire (NIS2, RGPD, ISO 27001, PCI-DSS…)
- Justifier les actions d’un utilisateur ou d’un système, en cas d’enquête
Mais pour être utiles, les logs doivent être fiables, horodatés, protégés contre l’altération, et conservés pendant la durée légale.
Comment LOGIQE met en œuvre la conservation des logs ?
1. Audit de l’existant
- Identification des sources de logs (systèmes, pare-feu, AD, Microsoft 365, antivirus…)
- Vérification des paramètres de journalisation active
- Analyse de la qualité, volumétrie, fréquence et format des logs
2. Définition d’une stratégie de conservation
- Choix de la durée de conservation selon les obligations légales (de 6 mois à 3 ans)
- Séparation des logs sensibles et des logs techniques
- Règles de purge, archivage, pseudonymisation si nécessaire
3. Centralisation & sécurisation
- Intégration des logs dans une solution SIEM (Sentinel, Graylog…) ou une brique dédiée
- Horodatage fiable (NTP, UTC), stockage chiffré, contrôle d’intégrité
- Mise en place de droits d’accès stricts, cloisonnés par profil (DSI, RSSI, Auditeur…)
4. Reporting & conformité
- Génération de rapports automatisés
- Requêtage et alertes sur événements sensibles
- Documentation pour audit externe ou autorité de contrôle (ANSSI, CNIL, commissaire aux comptes…)
Puits de logs : un socle centralisé pour la traçabilité et l’analyse
Un puits de logs désigne l’architecture centralisée dans laquelle convergent tous les journaux d’activité critiques de votre système d’information. Cette approche permet non seulement de sécuriser la conservation, mais aussi d’offrir une visibilité complète et exploitable sur vos événements IT.
LOGIQE conçoit et intègre des puits de logs robustes et conformes, qui jouent un rôle stratégique dans :
- La corrélation d’événements et la détection précoce d’incidents (SIEM ou supervision dédiée)
- L’investigation post-incident grâce à une traçabilité complète et horodatée
- La mise en conformité avec les normes RGPD, NIS2, ISO 27001, PCI-DSS
- La production de rapports d’audit fiables et exploitables par les autorités ou auditeurs externes
Ces puits de logs sont construits sur des technologies éprouvées telles que Graylog, Syslog sécurisé (RFC 5424 via TLS), Fluentd, ou Zabbix, et s’adaptent à tout type d’environnement (Microsoft, Linux, Cloud, SaaS, OT). Ils garantissent une rétention conforme, une intégrité vérifiable, une recherche rapide et un accès restreint aux données sensibles.
Conservation des logs & obligations réglementaires
La conservation des logs est exigée par de nombreux textes et standards :
- RGPD : journalisation des accès aux données personnelles, limitation de durée
- NIS2 : obligation de traçabilité des incidents de sécurité, avec stockage protégé
- RGS / SecNumCloud : exigences d’intégrité et d’accessibilité des journaux
- ISO 27001 : preuve de surveillance active et capacité de réponse
- Code du travail : encadrement de la surveillance des utilisateurs
LOGIQE adapte votre politique de logs à ces référentiels, avec une documentation claire à l’appui.
Des solutions adaptées à chaque besoin : Graylog et Syslog
Graylog : une solution SIEM open source puissante et flexible
Graylog est une plateforme SIEM robuste, idéale pour les organisations souhaitant un haut niveau de personnalisation, tout en gardant la maîtrise de leurs données. LOGIQE déploie et configure Graylog pour :
- Centraliser les logs système, réseau, cloud ou applicatif
- Filtrer et normaliser les messages (pipeline et parsing)
- Détecter des comportements suspects via des dashboards et des requêtes programmées
- Mettre en place des alertes temps réel sur des événements critiques
- Générer des rapports d’audit automatisés (RGPD, NIS2, ISO)
Graylog peut être hébergé on-premise ou dans le cloud, et s’intègre parfaitement avec les infrastructures Microsoft, Linux, ou les appliances réseau du marché.
Syslog : la conservation simple, conforme et sécurisée des journaux
Syslog est un protocole universellement reconnu pour la collecte et la transmission des journaux. Il permet l’ingestion multi-sources, la centralisation sur des serveurs dédiés, et la transmission sécurisée via TLS. LOGIQE configure des chaînes fiables de collecte, intégrant horodatage UTC, formatage standard (RFC 5424) et redondance.
Pour les clients qui n’ont pas besoin d’un SIEM complet, Syslog constitue une solution légère, interopérable et conforme pour assurer la traçabilité et la conservation légale des journaux d’activité. Elle permet notamment :
- Le stockage sécurisé, horodaté en UTC des journaux (conformité RGPD, NIS2)
- L’archivage immuable pendant la durée réglementaire, avec intégrité vérifiable
- L’ingestion multi-sources (pare-feu, serveurs, routeurs, équipements métiers) via protocoles standardisés (RFC 5424, TLS)
- L’accès encadré et restreint via des interfaces sécurisées pour les auditeurs (DPO, RSSI)
- La réversibilité des données et leur portabilité en cas de changement de SIEM ou de stratégie IT
Syslog est particulièrement adaptée aux PME, collectivités ou établissements de santé souhaitant respecter les exigences de conservation sans complexité excessive, tout en conservant une capacité d’audit claire, pérenne et conforme.
Exemples de mise en œuvre
- PME industrielle : activation des logs de tous les équipements critiques, conservation sur 18 mois, supervision via Graylog, alertes en cas d’accès suspect en heures creuses.
- Collectivité : collecte des logs AD, firewall et serveurs applicatifs, archivage sécurisé pendant 3 ans, rapport trimestriel au RSSI.
- Clinique privée : respect des exigences RGPD et HDS, conservation des logs de consultation de dossiers patients, accès restreint au DPO.
Pourquoi confier la gestion des logs à LOGIQE ?
- Expertise technique & réglementaire : nous combinons conformité et performance.
- Intégration dans votre SI : solutions compatibles avec Microsoft, Linux, cloud, SaaS, firewall, etc.
- Mise en œuvre rapide et documentée : diagnostic, plan d’action, livrables d’audit.
- Supervision continue possible : via notre SOC managé (option SIEM + alerting).
- Formation et transfert de compétences : pour une autonomie progressive de vos équipes.
FAQ – Conservation des logs
Quelle est la durée de conservation légale des logs ?
Cela dépend du contexte : 1 an pour NIS2, jusqu’à 3 ans pour certaines données sensibles ou dans le cadre d’une norme ISO 27001. LOGIQE vous aide à déterminer la durée adaptée à votre secteur.
Peut-on utiliser le cloud pour conserver les logs ?
Oui, à condition de garantir l’intégrité, la localisation (si exigée), le chiffrement et les accès restreints. Nous vous accompagnons sur Azure, AWS, OVHcloud, etc.
Est-ce que les logs sont vraiment utiles en cas d’attaque ?
Absolument. Ils sont souvent la seule source permettant de comprendre comment une attaque a été menée, à quelle date, et avec quels impacts.
Besoin d’un diagnostic ou d’un plan de conservation des logs ?
Que vous soyez une PME, une collectivité ou un établissement de santé, la conservation des logs ne peut plus être négligée. LOGIQE vous accompagne dans la mise en place de solutions robustes, conformes et adaptées à votre environnement IT.
