Journalisation & audit (SOCLE CLD)

Sans journaux, un incident est invisible et une intrusion se découvre des mois trop tard, quand il ne reste plus rien à investiguer. Cette famille fait de la journalisation une preuve fiable. Une politique définie fixe les sources et les événements collectés (actions des utilisateurs, changements de droits, échecs) ; les journaux sont conservés au moins six mois, transférés vers un serveur central dédié hors de portée de la machine qui les génère, et protégés contre la désactivation et l'altération (intégrité, immutabilité, alerte sur arrêt). Les horloges sont synchronisées pour permettre la corrélation ; les flux réseau (VPC) sont journalisés ; et les événements sont analysés et corrélés en continu, avec des alarmes traitées au moins quotidiennement.

Concrètement, ces exigences parent : l'incident invisible faute de journalisation, l'investigation impossible quand les journaux ont tourné ou ont été effacés, la désynchronisation qui empêche de corréler, et l'exfiltration non repérée faute d'analyse. Exigences de niveau renforcé (R2).

L'enjeu

Des journaux désactivables ou non centralisés permettent à l'attaquant d'effacer ses traces.

Les pièges à éviter

Les erreurs les plus fréquentes sur ce périmètre :

journaux altérables localement

conservation < 6 mois

horloges non synchronisées

Exigences

Comment lire R1R2R3du fondamental au souverain Doitobligatoire Devraitrecommandé Chaque carte porte son énoncé, le pourquoi, la preuve attendue et ses correspondances aux standards.

Afficher R1 R1 + R2 R1 + R2 + R3

SOCLE-CLD-LOG-1 R2 Doit

politique de journalisation définie : sources, événements collectés (activité des utilisateurs, modifications de droits, anti-codes malveillants, exceptions, échecs), protection des journaux.#

Journaliser au hasard laisse des angles morts et noie les événements utiles. Une politique définie (sources, événements collectés, protection des journaux) garantit que les actions sensibles, les changements de droits et les échecs sont captés et protégés, condition d'une détection et d'une investigation crédibles.

Preuve attendue

Politique de journalisation documentée ; événements de sécurité effectivement collectés.

Outillage

Pépin Prowler

Correspondances & menaces parées 5 standards · 5 menaces

Correspondance

SecNumCloud 12.6.a SecNumCloud 12.6.b CSA CCM LOG-01 CSA CCM LOG-07 CIS AWS Foundations 3.1

Menaces parées

L'attaquant crée des identifiants, rôles ou comptes cloud supplémentaires pour conserver un accès durable, même après remédiation de l'intrusion initiale (ATT&CK T1098). La persistance s'ancre dans l'IAM du tenant ATT&CK T1098.001 ATT&CK T1098.003 ATT&CK T1136.003. L'attaquant désactive ou altère la journalisation (CloudTrail, Audit Logs) pour effacer ses traces et aveugler la détection. La perte de journaux compromet l'investigation et la preuve (ATT&CK T1562) ATT&CK T1685.002. Le MFA est contourné ou désactivé (enregistrement d'un facteur attaquant, exceptions) pour pérenniser un accès aux comptes. L'authentification forte annulée rouvre les comptes (ATT&CK T1556.006) ATT&CK T1556.006. L'attaquant utilise les ressources de calcul du tenant pour du minage de cryptomonnaie, générant un coût et signalant souvent une compromission plus large. L'abus financier est parfois le seul symptôme visible (ATT&CK T1496) ATT&CK T1496.001. L'attaquant modifie la configuration du compute (images, instances, groupes) pour persister ou affaiblir la posture. L'infrastructure mutable devient un point d'ancrage (ATT&CK T1578) ATT&CK T1578.002 ATT&CK T1578.005.

SOCLE-CLD-LOG-2 R2 Doit

conservation des journaux pendant au moins six mois, sous réserve des obligations légales.#

Une intrusion est souvent découverte des mois après : si les journaux ont déjà tourné, l'investigation est impossible. Conserver au moins six mois (sous réserve des obligations légales) garantit qu'on dispose de l'historique nécessaire pour reconstituer un incident détecté tardivement.

Preuve attendue

Rétention des journaux ≥ 6 mois configurée et vérifiée.

Outillage

Pépin Prowler

Correspondances & menaces parées 2 standards · 1 menace

Correspondance

SecNumCloud 12.6.c CSA CCM LOG-02

Menaces parées

L'attaquant désactive ou altère la journalisation (CloudTrail, Audit Logs) pour effacer ses traces et aveugler la détection. La perte de journaux compromet l'investigation et la preuve (ATT&CK T1562) ATT&CK T1685.002.

SOCLE-CLD-LOG-3 R2 Doit

journaux transférés vers un serveur central dédié, sur une machine distincte de celle qui les génère ; intégrité et confidentialité protégées.#

Des journaux stockés sur la machine qui les génère sont effaçables par l'attaquant qui la compromet. Les transférer vers un serveur central dédié, sur une machine distincte, avec intégrité et confidentialité protégées, met la preuve hors de portée de celui qui voudrait couvrir ses traces.

Preuve attendue

Journalisation centralisée sur machine dédiée ; protection en intégrité/confidentialité.

Outillage

Pépin Prowler

Correspondances & menaces parées 5 standards · 1 menace

Correspondance

SecNumCloud 12.7.a SecNumCloud 12.7.c CSA CCM LOG-04 CSA CCM LOG-09 CIS AWS Foundations 3.2

Menaces parées

L'attaquant désactive ou altère la journalisation (CloudTrail, Audit Logs) pour effacer ses traces et aveugler la détection. La perte de journaux compromet l'investigation et la preuve (ATT&CK T1562) ATT&CK T1685.002.

SOCLE-CLD-LOG-4 R2 Doit

synchronisation des horloges sur une source de temps fiable ; horodatage de chaque événement journalisé.#

Des horloges désynchronisées rendent impossible la corrélation d'événements entre systèmes lors d'une investigation. Synchroniser sur une source de temps fiable et horodater chaque événement garantit une chronologie cohérente, sans laquelle reconstituer un incident multi-systèmes devient un casse-tête peu fiable.

Preuve attendue

Source de temps synchronisée ; événements horodatés.

Outillage

Pépin Prowler

Correspondances & menaces parées 3 standards · 1 menace

Correspondance

SecNumCloud 12.8.a SecNumCloud 12.8.b CSA CCM LOG-06

Menaces parées

L'attaquant désactive ou altère la journalisation (CloudTrail, Audit Logs) pour effacer ses traces et aveugler la détection. La perte de journaux compromet l'investigation et la preuve (ATT&CK T1562) ATT&CK T1685.002.

SOCLE-CLD-LOG-5 R2 Doit

analyse et corrélation des événements pour détecter les incidents ; sondes de détection sur les interconnexions tiers/publiques ; alarmes traitées au moins quotidiennement.#

Collecter des journaux que personne n'exploite ne détecte rien. Analyser et corréler les événements, poser des sondes sur les interconnexions et traiter les alarmes au moins quotidiennement transforment la journalisation passive en détection active : un incident est repéré en heures, pas découvert par hasard.

Preuve attendue

Infrastructure d'analyse/corrélation ; sondes sur interconnexions ; traitement quotidien des alarmes.

Outillage

Pépin Prowler

Correspondances & menaces parées 6 standards · 1 menace

Correspondance

SecNumCloud 12.9.a SecNumCloud 12.9.c SecNumCloud 13.3.a CSA CCM LOG-05 CSA CCM LOG-13 ISO 27017 (CLD.12.4.5)

Menaces parées

L'attaquant désactive ou altère la journalisation (CloudTrail, Audit Logs) pour effacer ses traces et aveugler la détection. La perte de journaux compromet l'investigation et la preuve (ATT&CK T1562) ATT&CK T1685.002.

SOCLE-CLD-LOG-6 R2 Doit

journaux de flux réseau (flux VPC/sous-réseaux) activés pour la détection et l'investigation.#

Sans journaux de flux réseau, une exfiltration ou un mouvement latéral ne laisse aucune trace exploitable. Activer les flow logs (VPC/sous-réseaux) fournit la visibilité sur les communications réelles, indispensable pour détecter un comportement anormal et investiguer après coup le chemin d'un attaquant.

Preuve attendue

Flow logs réseau activés et collectés (détection/forensique).

Outillage

Pépin Prowler

Correspondances & menaces parées 2 standards · 1 menace

Correspondance

CSA CCM LOG-03 SecNumCloud 13.3.a

Menaces parées

Les données sont copiées vers un compte ou abonnement cloud contrôlé par l'attaquant, contournant les contrôles de sortie classiques. L'exfiltration reste interne au cloud, difficile à repérer (ATT&CK T1537) ATT&CK T1537.

SOCLE-CLD-LOG-7 R2 Doit

journaux protégés contre la désactivation et l'altération : validation d'intégrité, immutabilité, alerte sur arrêt ou modification de la journalisation.#

Un attaquant compétent coupe ou modifie la journalisation pour effacer ses traces. Protéger les journaux par validation d'intégrité, immutabilité et alerte sur tout arrêt garantit que la preuve survit à l'intrusion et que la tentative d'aveuglement devient elle-même un signal de détection.

Preuve attendue

Validation d'intégrité/immutabilité des journaux ; alerte sur désactivation (réf. ATT&CK T1685.002).

Outillage

Pépin Prowler

Correspondances & menaces parées 2 standards · 2 menaces

Correspondance

CIS AWS Foundations 3.2 CSA CCM LOG-02

Menaces parées

L'attaquant crée des identifiants, rôles ou comptes cloud supplémentaires pour conserver un accès durable, même après remédiation de l'intrusion initiale (ATT&CK T1098). La persistance s'ancre dans l'IAM du tenant ATT&CK T1098.001 ATT&CK T1098.003 ATT&CK T1136.003. L'attaquant désactive ou altère la journalisation (CloudTrail, Audit Logs) pour effacer ses traces et aveugler la détection. La perte de journaux compromet l'investigation et la preuve (ATT&CK T1562) ATT&CK T1685.002.

Prochaines étapes

Suivant : Gouvernance & inventaire cloudFamille suivante du domaine Domaine : CloudRevenir à la vue d'ensemble du domaine

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →