La surveillance des activités consiste à collecter, analyser et réagir aux événements générés par les systèmes d'information pour détecter les anomalies, les incidents de sécurité et les défaillances techniques. L'ISO 27002 mesure 8.16 recommande quatre contrôles :

• Collecte des journaux : enregistrer les événements significatifs sur les serveurs, applications, équipements réseau et systèmes de sécurité
• Analyse régulière : examiner les journaux pour identifier les comportements anormaux ou suspects
• Alertes automatisées : configurer des notifications en temps réel pour les événements critiques
• Conservation adaptée : conserver les journaux pendant une durée suffisante pour permettre les investigations et respecter les obligations légales

Ces exigences visent à passer d'une approche réactive (on découvre l'incident par ses conséquences) à une approche proactive (on détecte l'incident dès son apparition).

Connexions et authentifications

Tentatives de connexion échouées : de multiples échecs sur un même compte indiquent une tentative de force brute. Connexions depuis des emplacements inhabituels : un utilisateur qui se connecte simultanément depuis Paris et Tokyo révèle une compromission de compte. Connexions en dehors des heures habituelles : des accès à 3h du matin sur des comptes de bureautique peuvent signaler une activité malveillante. Élévations de privilèges : un utilisateur standard qui obtient soudainement des droits administrateur nécessite une vérification immédiate.

Accès aux données sensibles

Volume anormal de téléchargements : un utilisateur qui télécharge soudainement des centaines de fichiers peut préparer une exfiltration de données. Accès à des fichiers inhabituels : un collaborateur du service commercial qui accède aux fichiers RH ou financiers doit déclencher une alerte. Modifications de fichiers critiques : toute modification de fichiers de configuration système ou de bases de données sensibles doit être tracée.

Activité réseau

Connexions sortantes suspectes : des communications vers des serveurs inconnus ou des pays inhabituels peuvent indiquer un malware. Volumes de données inhabituels : un transfert massif de données vers l'extérieur en pleine nuit est un signal d'alarme. Tentatives de scan de ports : des scans réseau internes révèlent souvent une machine compromise qui cherche à se propager.

Performances et disponibilité

Utilisation anormale des ressources : un serveur qui passe soudainement à 100% d'utilisation CPU sans raison métier peut héberger un processus malveillant. Erreurs applicatives répétées : une augmentation brutale des erreurs peut signaler une attaque ou une défaillance imminente. Arrêts inattendus : des redémarrages de serveurs non planifiés nécessitent une investigation.

Centraliser les journaux

Collecter tous les journaux dans un système centralisé facilite l'analyse et la corrélation d'événements provenant de sources différentes. Un utilisateur peut échouer à se connecter au VPN, puis tenter d'accéder à un serveur de fichiers, puis essayer de modifier un compte : ces trois événements séparés révèlent une tentative coordonnée.

Collecter tous les journaux dans un système centralisé facilite l'analyse et la corrélation d'événements provenant de sources différentes. Un utilisateur peut échouer à se connecter au VPN, puis tenter d'accéder à un serveur de fichiers, puis essayer de modifier un compte : ces trois événements séparés révèlent une tentative coordonnée.

Définir des règles d'alerte

Pour chaque type d'événement critique, configurez des seuils qui déclenchent automatiquement une alerte. Plus de 5 tentatives de connexion échouées en 10 minutes sur un compte, accès à plus de 50 fichiers sensibles en une heure, connexion depuis un pays non autorisé, élévation de privilèges en dehors des heures de travail.

Les alertes doivent être graduées : notification par email pour les événements à surveiller, notification SMS ou appel pour les événements critiques nécessitant une action immédiate.

Former une équipe de réponse

Désignez des personnes responsables de la surveillance et de la réaction aux alertes. Selon la taille de l'organisation, cela peut être l'équipe IT, un prestataire externe, ou une équipe dédiée. Documentez un processus de réaction : qui est alerté, qui analyse, qui décide, qui agit.

Trier les alertes

Toutes les alertes ne sont pas des incidents réels. Un utilisateur peut légitimement se tromper 5 fois de mot de passe, ou accéder à de nombreux fichiers dans le cadre d'un projet normal. L'analyse consiste à distinguer les faux positifs des vrais incidents. Critères de validation : l'événement est-il cohérent avec l'activité habituelle de l'utilisateur ? L'heure et le contexte sont-ils normaux ? Y a-t-il d'autres événements corrélés qui renforcent la suspicion ?

Investiguer les incidents

Pour chaque alerte confirmée, reconstituez la chronologie complète : quand l'activité a commencé, quelles actions ont été réalisées, quelles données ont été consultées ou modifiées, si d'autres comptes ou systèmes sont impliqués. Les journaux centralisés permettent de corréler les événements : un utilisateur a échoué à se connecter au VPN à 2h, puis a réussi à se connecter à 2h15, puis a accédé à 200 fichiers RH entre 2h20 et 3h30, puis s'est déconnecté. Cette séquence complète révèle un incident grave.

Documenter et améliorer

Chaque incident traité doit être documenté : nature de l'alerte, analyse réalisée, actions prises, résultat. Cette documentation sert à améliorer les règles d'alerte, à identifier les faux positifs récurrents, et à affiner la surveillance.

Durée de conservation

Les journaux doivent être conservés suffisamment longtemps pour permettre les investigations et respecter les obligations réglementaires. Minimum recommandé : 90 jours pour les journaux d'événements courants, 1 an pour les journaux de sécurité (authentification, accès), plusieurs années pour les secteurs réglementés (santé, finance).

Protection des journaux

Les journaux eux-mêmes sont des cibles : un attaquant cherchera à effacer ses traces en supprimant les journaux. Protection nécessaire : stockage sur un système séparé et protégé, accès restreint en lecture seule pour la plupart des utilisateurs, chiffrement et intégrité vérifiable.

• Collecter des journaux sans les analyser : avoir des millions de lignes de logs non examinés n'apporte aucune valeur. La surveillance nécessite une analyse régulière et des alertes configurées.
• Trop d'alertes non pertinentes : des dizaines d'alertes quotidiennes qui sont toutes des faux positifs créent une fatigue et font manquer les vrais incidents. Affiner les seuils et les règles.
• Pas de réaction définie : recevoir une alerte sans savoir qui doit agir et comment rend la surveillance inutile. Documenter le processus de réponse.
• Journaux non protégés : si un attaquant peut effacer les journaux, la surveillance perd toute valeur. Protéger l'accès et l'intégrité des logs.

La surveillance des activités transforme la détection d'incidents de semaines en heures grâce à la collecte centralisée des journaux, l'analyse automatisée et les alertes en temps réel. Surveiller les connexions, les accès aux données, l'activité réseau et les performances permet d'identifier rapidement les comportements suspects.

La mise en œuvre efficace repose sur la centralisation des journaux, la définition de règles d'alerte précises, la formation d'une équipe de réponse, et la protection des journaux eux-mêmes. La documentation de chaque incident permet d'améliorer continuellement la qualité de la surveillance.