Академический Документы
Профессиональный Документы
Культура Документы
PREMIER MINISTRE
Secrtariat gnral
de la dfense
et de la scurit nationale
No DAT-NT-012/ANSSI/SDE/NP
Note technique
Recommandations de scurit pour la mise en uvre
dun systme de journalisation
Public vis:
Dveloppeur
Administrateur
RSSI
DSI
Utilisateur
X
X
X
Informations
Avertissement
Ce document rdig par lANSSI prsente les Recommandations de scurit pour
la mise en uvre dun systme de journalisation . Il est tlchargeable sur le site
www.ssi.gouv.fr. Il constitue une production originale de lANSSI. Il est ce titre plac sous le
rgime de la Licence ouverte publie par la mission Etalab (www.etalab.gouv.fr). Il est
par consquent diffusable sans restriction.
Ces recommandations sont livres en ltat et adaptes aux menaces au jour de leur publication. Au regard de la diversit des systmes dinformation, lANSSI ne peut garantir que
ces informations puissent tre reprises sans adaptation sur les systmes dinformation cibles.
Dans tous les cas, la pertinence de limplmentation des lments proposs par lANSSI doit
tre soumise, au pralable, la validation de ladministrateur du systme et/ou des personnes
en charge de la scurit des systmes dinformation.
BAI,
Rdig par
Approuv par
Date
BSS
SDE
2 dcembre 2013
volutions du document :
Version
Date
1.0
2 dcembre 2013
Version initiale
Adresse
@ml
Tlphone
Bureau Communication
de lANSSI
51 bd de La
Tour-Maubourg
75700 Paris Cedex
07 SP
communication@ssi.gouv.fr
01 71 75 84 04
Page 1 sur 23
Introduction
2.1
2.2
2.3
2.4
Fonctionnalit de journalisation
Horodatage des vnements . .
Synchronisation des horloges . .
Dimensionnement . . . . . . . .
2.4.1 Espace disque . . . . . .
2.4.2 Rsistance la charge .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
3.2
3.3
3.4
3.5
5
5
5
6
6
7
8
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
8
8
8
9
9
10
10
10
11
11
11
11
12
12
12
13
13
13
14
14
Annexes
15
15
Illustrations
16
18
16
17
18
18
Page 2 sur 23
19
19
20
20
20
21
22
Page 3 sur 23
1 Introduction
Les journaux dvnements constituent une brique technique indispensable la gestion de la scurit
des systmes dinformation, quelles que soient la nature et la taille de ces derniers. Les journaux sont
une source dinformation riche qui peut tre utilise a priori pour dtecter des incidents de scurit.
Dans ce cas, les vnements constituant les journaux sont consults et analyss en temps rel. Les journaux peuvent galement tre employs a posteriori pour retrouver les traces dun incident de scurit ;
lanalyse des journaux dun ensemble de composants (postes de travail, quipements rseaux, serveurs,
etc.) peut alors permettre de comprendre le cheminement dune attaque et dvaluer son impact. Il
faut donc garder lesprit que lactivit de journalisation est un moyen de dtection et danalyse. Elle
ne se substitue pas aux mcanismes de protection du systme dinformation, elle doit tre employe
de faon complmentaire. Lutilit des journaux dvnements dpend de leur gnration et de leur
rcupration, une architecture de journalisation doit donc suivre lvolution du systme dinformation
concern (prise en compte des nouveaux quipements, des nouveaux usages, etc.).
Ce document a pour objectifs, dune part, de dtailler les prrequis ncessaires la mise en uvre
dun systme de journalisation efficace et scuris et, dautre part, de prsenter les bonnes pratiques
permettant de btir une architecture de gestion de journaux prenne, quelle que soit la nature du
systme dinformation. La granularit des mesures prsentes dans ce document doit tre adaptes aux
rsultats dune analyse de risques mene en amont. Ce document na pas vocation prsenter la liste dtaille des vnements journaliser, ceux-ci tant dpendants des systmes et des applicatifs employs.
Il peut faciliter la formalisation des rgles et mtriques sous la forme dune politique de journalisation.
Les aspects lgaux et rglementaires relatifs la journalisation des vnements sont galement abords
dans les annexes de ce document.
Page 4 sur 23
Utiliser des systmes et des applicatifs disposant nativement dune fonctionnalit de journalisation est primordial. La prise en compte de cette fonction doit se faire lors de toute
dmarche de conception et de dveloppement.
Lhorodatage doit tre activ pour lensemble des vnements afin de permettre une
meilleure exploitation des journaux.
Page 5 sur 23
drivent naturellement dans le temps. Si les carts peuvent paratre minimes de prime abord, ils peuvent se mesurer en secondes voire en minutes aprs quelques semaines.
Il est donc crucial de disposer dquipements synchroniss sur la mme base de temps pour pouvoir
analyser convenablement les journaux collects. La comprhension de lenchanement prcis dvnements issus de plusieurs types de journaux est beaucoup plus difficile si les quipements qui produisent
ces journaux ne disposent pas du mme temps de rfrence. Un laps de temps trs court (quelques
secondes) peut sparer deux vnements caractrisant un incident de scurit. Si un dcalage dhorloge
existe entre les machines qui ont gnr ces deux vnements, ils ne seront pas horodats correctement
et lincident de scurit pourrait ne pas tre dtect.
Il est donc recommand de mettre en uvre une architecture permettant de disposer de sources
de temps fiables utilises par lensemble des quipements qui composent le systme dinformation.
Plusieurs solutions peuvent tre employes pour obtenir une source de temps prcise. Il existe par
exemple des serveurs de temps reconnus accessibles publiquement sur Internet, mais il est prfrable
dutiliser une source de temps base sur des signaux radio ou satellitaires. Il est galement possible
dinstaller une source de temps autonome trs stable (horloge atomique) pour ne pas dpendre de
signaux extrieurs potentiellement sujets des perturbations (volontaires ou non). Dans le cas des
rseaux non-interconnects, il nest pas dans la plupart des cas ncessaire, ni mme recommand, de
disposer de serveurs de temps synchroniss sur des sources externes ; en revanche, il est indispensable
que les quipements soient synchroniss sur les mmes sources de temps internes cohrentes entre elles.
Le protocole NTP (Network Time Protocol) est largement utilis pour synchroniser les quipements
sur une ou plusieurs sources de temps. Il est disponible pour la plupart des systmes dexploitation,
quel que soit le type dquipement. Une architecture NTP type comprend gnralement un ou plusieurs
serveurs NTP internes sur lesquels se synchronisent lensemble des machines du systme dinformation ;
ces serveurs rfrents tant, quant eux, synchroniss sur plusieurs sources (autonomes, serveurs NTP
publics, signaux radio/satellitaires).
R3
Les horloges des quipements doivent tre synchronises sur plusieurs sources de temps
internes cohrentes entre elles. Ces sources pourront elles-mmes tre synchronises sur
plusieurs sources fiables externes, sauf pour les rseaux isols.
Lorsque les quipements sont rpartis gographiquement sur des fuseaux horaires diffrents, il est
important dadopter une logique de configuration adquate afin dassurer une cohrence temporelle
des journaux au niveau des serveurs de collecte. Dans certains cas, le choix dun mme fuseau horaire
(heure UTC par exemple) sur lensemble des quipements peut tre ncessaire.
2.4 Dimensionnement
2.4.1 Espace disque
Les journaux sont gnralement stocks localement sous forme de texte compress mais ils peuvent
vite reprsenter des quantits de donnes importantes et provoquer une saturation de lespace de
stockage des quipements. Il est ainsi recommand de prendre en compte les besoins despace disque
ncessaires au stockage des journaux lors du dimensionnement des quipements. Les sections suivantes
abordent la rotation des journaux et la mise en place de mcanismes dexportation, ces mesures peuvent
contribuer la mise en uvre de cette recommandation.
R4
Page 6 sur 23
Page 7 sur 23
Les journaux doivent tre automatiquement exports sur une machine physique diffrente
de celle qui les a gnrs.
Les journaux de lensemble des quipements du systme dinformation doivent tre transfrs sur un ou plusieurs serveurs centraux ddis.
Si la taille du systme dinformation est trs importante (plusieurs milliers dquipements) ou si celui-ci
est compos de nombreuses entits (sites physiques, entits fonctionnelles), il est ncessaire dassurer
la rsilience du serveur central sur lequel tous les journaux sont collects. En effet, une indisponibilit
mme de courte dure peut entraner la perte de journaux.
R7
Si le parc dquipements qui gnre des journaux est important, le serveur central devra
tre redond afin daccrotre la disponibilit du service de collecte de journaux.
Dans certains cas, il peut tre pertinent dadopter une organisation hirarchique. Des serveurs locaux collectent les journaux des quipements correspondant leur primtre physique ou fonctionnel
puis ils les transmettent aux serveurs centraux qui ont la charge dagrger la totalit des journaux du
systme dinformation ou dun sous-ensemble spcifique (base de donnes, systme, etc.). Ils dupliquent
galement les journaux quils conservent localement afin dviter les pertes en cas de dysfonctionnement
lors du transfert au niveau suprieur. Une organisation de ce type comporte plusieurs avantages :
la rsilience de larchitecture de journalisation est meilleure : les serveurs de journalisation locaux
peuvent pallier une indisponibilit des serveurs centraux. La copie des journaux conserve sur
ces serveurs intermdiaires pourra tre transmise au niveau central une fois la communication
No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013
Page 8 sur 23
rtablie. Cela ncessite la configuration dune politique de rtention adquate, cest--dire adapte
la volumtrie et aux exigences de disponibilit des serveurs centraux ;
le nombre de flux rseau de journalisation est rduit : cela peut contribuer un meilleur contrle
des matrices de flux des quipements de filtrage rseau ;
les serveurs locaux peuvent apporter des fonctionnalits additionnelles dans la transmission des
journaux (comme la compression ou le chiffrement), ce qui est particulirement utile si des liens de
faible capacit ou non srs sont utiliss pour vhiculer les journaux jusquaux serveurs centraux.
R8
Si le contexte le permet, un transfert en temps rel des journaux sur les serveurs centraux
doit tre privilgi.
Quel que soit le mode de transfert utilis, lenvoi des journaux peut tre provoqu soit par lquipement
qui les gnre (mode push), soit par le serveur de collecte (mode pull ). Le mode pull prsente lavantage
No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013
Page 9 sur 23
de garder la matrise changes, le serveur de journalisation tant plus de confiance que les quipements
vers lesquels il tablit les connexions pour rcuprer les journaux. Cependant ce mode de fonctionnement peut prsenter des risques importants si le serveur central est compromis, lattaquant peut tre
en mesure datteindre lensemble des machines du systme dinformation. Il est donc indispensable de
scuriser le serveur de journalisation et de le placer dans une zone de confiance afin de minimiser les
risques dattaque par rebond. Dans certains cas, le mode push pourra tre retenu si lensemble des
quipements gnrant des journaux ne possdent pas le mme niveau de sensibilit, le serveur central
devant tre protg au plus haut niveau.
3.2.2 Prtraitement des journaux
Il est dconseill de modifier le format des journaux sur les machines mettrices avant leur envoi
sur les serveurs centraux. Si lobjectif du traitement en amont est de faciliter le transfert des journaux
en unifiant au plus tt leur mise en forme, cela peut conduire dnaturer les vnements et induire
des pertes dinformation. Les actions de conversion doivent tre ralises de prfrence laide doutils
installs sur les serveurs centraux, une copie non altre des journaux y tant conserve pour archivage.
R10
Il est recommand de ne pas effectuer de traitement sur les journaux avant leur transfert.
Il est recommand dutiliser des protocoles denvoi de journaux bass sur TCP pour fiabiliser le transfert de donnes entre les machines mettrices et les serveurs centraux.
Cependant, lusage du protocole TCP ne suffit pas lui seul garantir labsence de perte de donnes. Dautres mcanismes prsents au niveau applicatif permettent damliorer encore la fiabilit du
transfert en ajoutant des fonctionnalits de cache et dacquittement plus efficaces.
3.2.4 Scurisation du transfert des journaux
Il est ncessaire de mettre en place des mcanismes de protection garantissant la confidentialit et
surtout lintgrit des flux de transfert des journaux, en particulier lorsque les donnes transitent sur des
rseaux non maitrss. Le besoin en confidentialit est aussi fonction de la sensibilit des informations
journalises. Lidal est de mettre en place un canal de transmission ddi ralis laide de mcanismes
cryptographiques robustes 1 . Idalement, ce canal doit tre tabli aprs authentification mutuelle de la
machine mettrice et le serveur de collecte en utilisant des certificats issus dune autorit de certification
de confiance. Il existe pour certains protocoles de transfert de journaux une version scurise base sur
TLS qui permet de rpondre ces exigences.
R12
Il est recommand dutiliser des protocoles de transfert de journaux qui sappuient sur des
mcanismes cryptographiques robustes en particulier lorsque les donnes transitent sur des
rseaux non matriss.
1. Se rfrer lannexe B1 du Rfrentiel Gnral de Scurit (RGS) disponible sur le site de lANSSI.
Page 10 sur 23
Il est recommand de bien contrler la bande passante des flux rseau utilise pour transfrer les journaux dvnements.
Lorsque le besoin de scurit pour le transfert des journaux est important, il doit se faire
sur un rseau dadministration ddi.
Les rseaux dadministration doivent galement tre utiliss pour accueillir la zone rserve lhbergement des serveurs de collecte. En effet, ces derniers concentrent une quantit importante dinformations
dont certaines sont sensibles, leur protection doit donc tre assure.
R15
Sil nexiste pas de rseaux dadministration dans larchitecture pour accueillir les serveurs
de journalisation, ils doivent tre placs dans une zone interne non expose directement
des rseaux qui ne sont pas de confiance (par exemple Internet).
3.3 Stockage
Les recommandations qui suivent sont applicables lensemble des quipements qui composent
larchitecture de journalisation : quipements source, serveurs de journalisation locaux et centraux.
3.3.1 Partition spare
Afin dviter la saturation des disques des quipements qui produisent ou centralisent des journaux, il est recommand de crer une partition ddie aux journaux dvnements et disposant de
droits daccs restreints. Cette mesure permet dviter la dfaillance du systme ou de certains services
qui nauraient pas despace disque suffisant pour fonctionner correctement. Cependant des journaux
2. Se rfrer au guide Recommandations pour un usage scuris dOpenSSH disponible sur le site de lANSSI.
3. Se rfrer au guide Recommandations de scurit relatives IPsec pour la protection des flux rseau disponible
sur le site de lANSSI.
4. Gestion non rigoureuse du renouvellement des cls, premption des certificats, etc.
Page 11 sur 23
pourraient tre perdus si la partition ddie venait tre sature son tour. Cest la raison pour
laquelle une politique de rotation adquate des journaux doit tre mise en uvre en complment de
cette mesure (se rfrer au paragraphe 3.3.3).
R16
Une partition disque doit tre ddie au stockage des journaux dvnements sur les
quipements qui les gnrent ou qui les centralisent.
3.3.2 Arborescence
Un quipement, en fonction de son rle, peut tre amen stocker diffrents types dvnements
(systme, applicatif, etc.). Il peut tre utile de stocker les journaux sous forme darborescence dfinie
laide de thmatiques : authentification, applicatifs mtiers, web, etc. Cela pourra faciliter le transfert
massif des journaux, lenvoi dun seul rpertoire (gnralement compress) contiendra lensemble des
journaux de lquipement.
R17
Il est recommand dadopter une arborescence pour le stockage des journaux dvnements.
3.3.3 Rotation
La mise en uvre dune politique de rotation des journaux consiste configurer des mcanismes de
traitement automatique qui permettent de conserver lexploitabilit des journaux dans la dure tout
en limitant lespace disque utilis. Le dclenchement de la rotation des fichiers de journaux peut tre
bas sur des contraintes temporelles (rotation tous les jours minuit), ou de taille (rotation si le fichier
de journal atteint 100 Mo). Le choix dpend des exigences et des contraintes spcifiques au systme
dinformation.
Voici les traitements qui peuvent tre raliss lors de la rotation des journaux :
sparation des fichiers : un nouveau fichier est cr au moment de la rotation pour viter que les
vnements soient stocks dans un seul fichier de taille trop importante. Les fichiers ainsi gnrs
sont gnralement nomms selon un format qui inclut la date et lheure de cration ainsi que le
type de journal ;
compression : les fichiers crs au moment de la rotation sont habituellement compresss afin de
rduire leur occupation sur le disque ;
effacement : pour viter la saturation de lespace disque local, les fichiers de journaux les plus
anciens peuvent tre effacs automatiquement lors de la rotation. Il convient de sassurer que les
journaux dtruits ont t correctement exports au pralable. Une dure de rtention adquate
doit donc tre dfinie, elle sera fonction de lespace disque disponible ainsi que des contraintes
ventuelles dexploitation. Dans le cas des serveurs centraux, cette dure doit tre suprieure
lcart qui spare deux sauvegardes. Dans les autres cas (quipements source et serveurs de
collecte locaux), cette dure doit tre suprieure lcart qui spare deux envois de journaux si
le mode de transfert en temps diffr est employ.
R18
Une politique de rotation des journaux dvnements doit tre formalise et mise en uvre
sur lensemble des quipements du systme de journalisation.
3.3.4 Archivage
Larchivage des journaux consiste conserver les fichiers pendant une longue dure. Il est gnralement ralis sur des supports amovibles de grande capacit conservs hors ligne. Si la centralisation
des journaux est correctement mise en uvre, larchivage est ralis partir des fichiers stocks sur les
No DAT-NT-012/ANSSI/SDE/NP du 2 dcembre 2013
Page 12 sur 23
La dure de conservation des fichiers de journaux tant soumise des contraintes lgales
et rglementaires, il convient den prendre connaissance pour dfinir les moyens techniques
ncessaire larchivage des journaux.
Laccs aux journaux doit tre limit en criture un nombre restreint de comptes ayant
le besoin den connatre.
R21
Les processus de journalisation et de collecte doivent tre excuts par des comptes disposant de peu privilges.
3.4 Consultation
3.4.1 Choix dun outil
Les journaux stocks de faon centralise doivent tre facilement consultables laide dun outil
adapt. Dans certains cas dusage, il est ncessaire de retrouver rapidement les informations recherches
dans les journaux. Loutil utilis doit donc tre ractif et facile utiliser. Les besoins fonctionnels sont
le principal critre de slection de lapplicatif employ pour exploiter les journaux, des contraintes
technologiques peuvent galement intervenir dans le choix de loutil (type de stockage, format des
5. La liste des produits qualifis rpondant ces besoins sont disponibles sur le site de lANSSI.
Page 13 sur 23
journaux, etc.).
R22
Un outil spcifique doit tre utilis pour une meilleure exploitation des journaux prsents
sur les serveurs centraux, la dtection dvnements anormaux en sera facilite.
Les accs loutil de consultation des journaux doivent tre journaliss au mme titre que pour nimporte quel autre service.
3.4.2 Dfinition des rles
En fonction du contexte, plusieurs types de populations peuvent accder loutil mis disposition
sur les serveurs centraux pour exploiter les journaux. Ces groupes dutilisateurs nont pas ncessairement besoin de disposer dun accs en lecture lensemble des journaux du systme dinformation
(niveaux de sensibilit diffrents), cest la raison pour laquelle il est recommand de pratiquer un cloisonnement en dfinissant des rles prcis au niveau de loutil de consultation des journaux. Ces rles
peuvent tre calqus sur des entits mtier qui ont besoin de consulter les journaux relatifs leur
activit (administrateurs systmes, administrateurs de bases de donnes, administrateurs de scurit,
etc.). Lusage dun annuaire prexistant est recommand pour authentifier les utilisateurs de loutil de
consultation des journaux ; les groupes dutilisateurs quil contient pourront alors tre utiliss comme
rfrences pour dfinir ceux prsents dans loutil.
R23
Les comptes ayant accs loutil de consultation centralise des journaux doivent tre
associs des rles prdtermins.
Lespace disque des quipements qui gnrent et stockent les journaux doit tre surpervis.
La mise en place de seuils dalerte (pourcentage despace disque restant) permet danticiper une saturation de lespace de stockage des quipements.
Page 14 sur 23
Annexes
A Choix des vnements
Il est important de procder la slection des vnements journaliss par les diffrents composants
du systme dinformation. Journaliser la totalit des vnements peut entraner une consommation excessive des ressources (processeur, mmoire, stockage, bande passante, etc.) et engendrer une quantit
de donnes difficilement exploitable. linverse, une politique de journalisation trop cible ne produira
pas suffisamment de donnes utiles.
Ce paragraphe prsente les principales thmatiques dvnements quil est recommand de journaliser.
Cette liste de haut niveau nest pas exhaustive, elle peut tre enrichie en fonction des exigences propres
au contexte.
Thme
Exemple
Authentification
- ajouts/suppressions de comptes/groupes/rles
- affectations/suppressions de droits aux comptes/groupes/rles
- modifications des donnes dauthentification
Modification
des
stratgies de scurit
- dmarrages/arrts
- dysfonctionnements
- chargements/dchargements de modules
dmarrages/arrts
dysfonctionnements/surcharges du systme
chargements/dchargements de modules
activit matrielle (dfaillances, connexions/dconnexions physiques, etc.)
Dautres lments caractrisant les vnements doivent galement tre pris en compte lors de la
configuration des paramtres de journalisation : niveau de svrit, niveau de verbosit, frquence
dmission, etc.
Page 15 sur 23
B Illustrations
Les figures prsentes dans ce paragraphe ont simplement pour objectif dillustrer deux types darchitectures de journalisation centralises. La premire reprsentant un systme dinformation de dimension rduite, la seconde un systme plus tendu ou multi-sites.
Page 16 sur 23
Page 17 sur 23
Art. 2, loi n78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts.
Autonomous System ou Systme Autonome
Commission Nationale de lInformatique et des Liberts
Voir notamment les deux jurisprudences : CA Paris, 11me ch. 17 dcembre 2001 et CA Paris, 14me ch. 4 fvrier
Le terme habilit est utilis ici au sens juridique, cest--dire apte accomplir un acte .
Page 18 sur 23
Page 19 sur 23
La non-conservation de ces donnes par les fournisseurs daccs Internet et les hbergeurs est
sanctionne pnalement par une peine demprisonnement dun an et de 75 000 euros damende 12 .
C.3.2 Conservation des lments de journalisation des oprateurs de communications lectroniques 13
Les oprateurs de tlcommunications lectroniques, cest--dire les personnes qui au titre dune
activit professionnelle principale ou accessoire offrent au public une connexion permettant une communication en ligne par lintermdiaire dun accs au rseau, y compris titre gratuit, ont lobligation
de conserver certaines donnes de leurs abonns. Ces oprateurs peuvent tre similaires ceux viss
dans lannexe C.3.1 (cybercafs, fournisseurs daccs des rseaux de communications lectroniques
accessibles via une borne Wi-Fi que ce soit titre payant ou non) mais les lments de journalisation
faisant lobjet dune conservation diffrent.
Les trois catgories de donnes concernes sont les donnes utiles :
dans le cadre de la facturation et du paiement des prestations de communications lectroniques ;
dans le cadre de la recherche ou de la poursuite dune infraction ;
dans le cadre de la protection des systmes dinformation de loprateur de communications lectroniques.
Les types de donnes concerns par ces catgories sont prciss par la rglementation 14 , mais ne
sont pas exhaustifs :
les informations permettant didentifier lutilisateur ;
les donnes relatives aux quipements terminaux de communication utiliss ;
les caractristiques techniques ainsi que la date, lhoraire et la dure de chaque communication ;
les donnes relatives aux services complmentaires demands ou utiliss et leurs fournisseurs ;
les donnes permettant didentifier le ou les destinataires de la communication.
La dure minimale de conservation est dun an pour les deux premires catgories de
donnes et de trois mois pour les donnes conserves pour la scurit des rseaux et des
installations.
La non-conservation, le non-respect de la dure minimale de conservation et de lanonymisation
des donnes sont sanctionns pnalement par une peine demprisonnement dun an et de 75 000 euros
damende 15 .
C.3.3 Accs aux lments de journalisation par les autorits judiciaires
Les autorits judiciaires peuvent demander que les oprateurs de communications lectroniques, les
fournisseurs daccs internet ainsi que les fournisseurs dhbergement soient astreints leur fournir
les lments de journalisation cits prcdemment. Conformment au code de procdure pnale, ces
informations ne peuvent tre obtenues que par une rquisition crite.
Page 20 sur 23
travail 16 . Ainsi, leur mise en uvre doit, en particulier, tre proportionne au but recherch et tre
pralablement porte la connaissance des salaris et, le cas chant, des instances reprsentatives du
personnel.
Les personnels et leurs instances reprsentatives doivent tre associs la dfinition des
processus de mise en uvre des mcanismes de journalisation, en particulier sils sont
utiliss des fins disciplinaires.
16. Art. L 121-8, L 432-2, L 1121-1, L 1222-4, L 1321-4 al. 3 du code du travail
17. Rglementations Ble 2, Sarbanes-Oxley, LSQ, etc.
18. Loi n 2010-476 du 12 mai 2010 relative louverture la concurrence et la rgulation du secteur des jeux
dargent et de hasard en ligne, art. 31.
19. Articles R1111-1 -15-1 du code de la sant publique cr par le dcret n2006-6 du 4 janvier 2006.
Page 21 sur 23
C.6 Rcapitulatif
Rgime juridique
Fondement
Public concern
Personnes
dont
lactivit est doffrir un accs
des services de
communication
au public en ligne
Hbergeurs
Page 22 sur 23
Rgime juridique
Fondement
Public concern
Oprateur
de
communications
lectroniques
Toute personne
qui,
au
titre
dune
activit
professionnelle
principale
ou
accessoire,
offrant au public
une
connexion
permettant une
communication
en ligne par lintermdiaire dun
accs un rseau,
y compris titre
gratuit
Responsables de
traitement
de
donnes caractre personnel
Page 23 sur 23