L’exploitation des logs est en train de vivre une évolution importante…

Par Jean-Noël de Galzain, PDG de Wallix

Qu’est-ce qu’un log ?

En informatique, les logs sont les témoins d’une suite d’événements qui concernent l’activité du réseau, des serveurs et des applications. Ils constituent une trace informatique légale avec des informations sur l’origine, le séquençage et les interactions d’un utilisateur avec l’environnement source.

Quelles limites ?

La plupart des applications sont très verbeuses à savoir qu’elles produisent un très grand nombre de logs. Dans des SI à fort trafic, ces quantités deviennent astronomiques et par conséquent, difficiles à capter autant qu’à stocker.
Dans cette masse d’informations, trouver un log revient à chercher une aiguille dans une botte de foin, ce qui lorsque c’est nécessaire ou obligatoire devient une pénible gageure.
D’autre part, les logs sont difficilement lisibles pour le commun des mortels, ils sont écrits dans des formats disparates et leur interprétation requiert une machinerie et des personnels hautement qualifiées.

Quelles obligations ?

Ainsi que l’expliquait Maître Walter, avocat spécialisé au barreau de Paris,  les fournisseurs d’accès Internet ou FAI sont dans l’obligation de collecter et pouvoir fournir des preuves de connexion sous forme de logs pendant 1 an. La notion de FAI englobe les entreprises qui utilisent l’Internet de manière marchande. En réalité, nous sommes tous plus ou moins contraints d’archiver nos logs afin de pouvoir les restituer sur requête judiciaire.
 
Que faire?

Bien sûr certains proposent des systèmes sophistiqués et soit disant pro-actifs, qui s’avèrent très complexes à mettre en œuvre, gourmands en ressources et économiquement prohibitifs. A l’usage, les technologies dites de SIEM s’avèrent pour le moment insuffisamment matures.
 
Et si la solution était ailleurs ?
 
Certes les logs sont et resteront longtemps les preuves nécessaires en cas de litige, cependant, ils nécessitent de nombreux traitements avant d’être exploitables. Or, ce que veut un responsable informatique, ou un responsable d’entreprise, c’est voir et avoir une meilleure lecture de l’incident, en clair et tout de suite.
L’idée de transposer ainsi le paradigme de la vidéo surveillance existante dans nos villes au Système d’Information, lui même en pleine urbanisation, nous conduit à proposer une autre approche : la vidéo surveillance du SI.
C’est probablement une combinaison de la trace vidéo donnant une image immédiate et « humaine » d’un incident de sécurité, et les logs correspondants qui permettront d’arbitrer une situation à l’amiable, ou au tribunal dans l’avenir…

Est-on en train d’assister à l’apparition des logs vidéo? …