Bonjour,
C'est vendredi, mais ceci n'est pas un troll.
Certains d'entre vous ont-ils déjà eu une réflexion sur la conservation des logs (en particulier, des logs mail) dans le respect de la loi française ? D'un côté, il me semble que toute entreprise est tenue de conserver ses logs un certain temps (combien ?) et de pouvoir les présenter en cas de demande ou contrôle. D'un autre côté, la CNIL indique qu'une adresse email (donc contenue dans les logs mail) est une donnée privée et que cela doit être protégé.
Comment faites-vous pour concilier ces deux obligations qui semblent opposée à priori ?
Florian
Tu peux chiffrer ta sauvegarde et mettre ta sauvegarde dans un coffre fort dans un lieu éloigné du centre de sauvegarde (type la banque de l'entreprise) !
Le 8 juillet 2011 15:08, Florian Coulmier florian@coulmier.fr a écrit :
Bonjour,
C'est vendredi, mais ceci n'est pas un troll.
Certains d'entre vous ont-ils déjà eu une réflexion sur la conservation des logs (en particulier, des logs mail) dans le respect de la loi française ? D'un côté, il me semble que toute entreprise est tenue de conserver ses logs un certain temps (combien ?) et de pouvoir les présenter en cas de demande ou contrôle. D'un autre côté, la CNIL indique qu'une adresse email (donc contenue dans les logs mail) est une donnée privée et que cela doit être protégé.
Comment faites-vous pour concilier ces deux obligations qui semblent opposée à priori ?
Florian _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le 08/07/2011 15:08, Florian Coulmier a écrit :
Bonjour,
C'est vendredi, mais ceci n'est pas un troll.
Certains d'entre vous ont-ils déjà eu une réflexion sur la conservation des logs (en particulier, des logs mail) dans le respect de la loi française ? D'un côté, il me semble que toute entreprise est tenue de conserver ses logs un certain temps (combien ?) et de pouvoir les présenter en cas de demande ou contrôle. D'un autre côté, la CNIL indique qu'une adresse email (donc contenue dans les logs mail) est une donnée privée et que cela doit être protégé.
Comment faites-vous pour concilier ces deux obligations qui semblent opposée à priori ?
Florian
Bonjour,
Quelques pointeurs sur la gestion des traces dans le milieu universitaire : - http://www.jres.org/tuto/tuto7/index - http://www.cru.fr/activites/securite/index#gestion_des_traces
Cordialement,
Bonjour,
je "travaille" actuellement sur ce sujet qui n'est pas très documenté sur Internet.
Le texte officiel qui oblige la sauvegarde des logs des systèmes informatiques est décrit et mis en référence au lien suivant :
http://fr.wikipedia.org/wiki/Loi_du_23_janvier_2006_relative_%C3%A0_la_lutte...
J'installe et compare (sous Debian) actuellement les solutions libres et gratuites suivantes :
1ère solution : Rsyslog (Linux) + Winsyslog (Windows) + Loganalyser (le tout envoyé en base de données MySQL) Un serveur Linux (collecteur des autres équipements (EAR, postes clients et serveurs Windows/Linux)) centralise l'intégralité des log du LAN. Ceci simplifie la sauvegarde et l'analyse des log afin de prévenir ou d'identifier des problèmes systèmes.
2ième solution : SPLUNK Une référence dans le domaine, gratuit jusque 512Mo (à confirmer) de log journalier.
3ième solution : Rsyslog (Linux) + Winsyslog (Windows) + Loganalyser (le tout en utilisant des fichiers plats car "apparement" le formatage d'un log (via rsyslog.conf) diminue la valeur juridique d'un log et n'est donc pas recommandé.
4ième solution : Octopussy (8pussy) pas encore testé mais le projet existe depuis fin 2005 et l'interface à l'air sympa.
5ième solution : php-syslog-ng cependant il n'est plus soutenu car il s'appelle maintenant logzilla et est devenu payant.
Ensuite, sauvegarde sur support externe puis stockage en armoire forte.
Cordialement,
----- Mail Original ----- De: "Yann Richard" yann.richard@uhb.fr À: "French SysAdmin Group" frsag@frsag.org Envoyé: Vendredi 8 Juillet 2011 15h42:08 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: Re: [FRsAG] Conservation et protection des fichiers de log
Le 08/07/2011 15:08, Florian Coulmier a écrit :
Bonjour,
C'est vendredi, mais ceci n'est pas un troll.
Certains d'entre vous ont-ils déjà eu une réflexion sur la conservation des logs (en particulier, des logs mail) dans le respect de la loi française ? D'un côté, il me semble que toute entreprise est tenue de conserver ses logs un certain temps (combien ?) et de pouvoir les présenter en cas de demande ou contrôle. D'un autre côté, la CNIL indique qu'une adresse email (donc contenue dans les logs mail) est une donnée privée et que cela doit être protégé.
Comment faites-vous pour concilier ces deux obligations qui semblent opposée à priori ?
Florian
Bonjour,
Quelques pointeurs sur la gestion des traces dans le milieu universitaire : - http://www.jres.org/tuto/tuto7/index - http://www.cru.fr/activites/securite/index#gestion_des_traces
Cordialement,
Si tu as le temps, tu peux aussi jouer avec la configuration suivante : {rsyslog,syslog-ng} -> {logstash,smman} -> ElasticSearch -> {elasticsearchhead,logstash-web}
On 08/07/2011 16:14, Mr DELBEY Winston wrote:
Bonjour,
je "travaille" actuellement sur ce sujet qui n'est pas très documenté sur Internet.
Le texte officiel qui oblige la sauvegarde des logs des systèmes informatiques est décrit et mis en référence au lien suivant :
http://fr.wikipedia.org/wiki/Loi_du_23_janvier_2006_relative_%C3%A0_la_lutte...
J'installe et compare (sous Debian) actuellement les solutions libres et gratuites suivantes :
1ère solution : Rsyslog (Linux) + Winsyslog (Windows) + Loganalyser (le tout envoyé en base de données MySQL) Un serveur Linux (collecteur des autres équipements (EAR, postes clients et serveurs Windows/Linux)) centralise l'intégralité des log du LAN. Ceci simplifie la sauvegarde et l'analyse des log afin de prévenir ou d'identifier des problèmes systèmes.
2ième solution : SPLUNK Une référence dans le domaine, gratuit jusque 512Mo (à confirmer) de log journalier.
3ième solution : Rsyslog (Linux) + Winsyslog (Windows) + Loganalyser (le tout en utilisant des fichiers plats car "apparement" le formatage d'un log (via rsyslog.conf) diminue la valeur juridique d'un log et n'est donc pas recommandé.
4ième solution : Octopussy (8pussy) pas encore testé mais le projet existe depuis fin 2005 et l'interface à l'air sympa.
5ième solution : php-syslog-ng cependant il n'est plus soutenu car il s'appelle maintenant logzilla et est devenu payant.
Ensuite, sauvegarde sur support externe puis stockage en armoire forte.
Cordialement,
----- Mail Original ----- De: "Yann Richard"yann.richard@uhb.fr À: "French SysAdmin Group"frsag@frsag.org Envoyé: Vendredi 8 Juillet 2011 15h42:08 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: Re: [FRsAG] Conservation et protection des fichiers de log
Le 08/07/2011 15:08, Florian Coulmier a écrit :
Bonjour,
C'est vendredi, mais ceci n'est pas un troll.
Certains d'entre vous ont-ils déjà eu une réflexion sur la conservation des logs (en particulier, des logs mail) dans le respect de la loi française ? D'un côté, il me semble que toute entreprise est tenue de conserver ses logs un certain temps (combien ?) et de pouvoir les présenter en cas de demande ou contrôle. D'un autre côté, la CNIL indique qu'une adresse email (donc contenue dans les logs mail) est une donnée privée et que cela doit être protégé.
Comment faites-vous pour concilier ces deux obligations qui semblent opposée à priori ?
Florian
Bonjour,
Quelques pointeurs sur la gestion des traces dans le milieu universitaire :
Cordialement,
Je te confirme la grande qualité de la solution 4 : octopussy.
Je l'ai mis en place sur un système Debian + DRBD + OpenVZ : ça marche très bien (pas de stockage en base de données, donc très très rapide : bien plus que toutes les solution proprio). Je l'ai vu traiter plus de 1 million de logs par minute, stockées sur SAN sans broncher. Il est adaptable à n'importe quel type de logs : tout est à ta main. Et pour bien finir : le dev est un pote très sympa et dispo. N'hésite pas à le contacter à *octo.devel*@gmail.com.
2011/7/8 Mr DELBEY Winston windel@free.fr
Bonjour,
je "travaille" actuellement sur ce sujet qui n'est pas très documenté sur Internet.
Le texte officiel qui oblige la sauvegarde des logs des systèmes informatiques est décrit et mis en référence au lien suivant :
http://fr.wikipedia.org/wiki/Loi_du_23_janvier_2006_relative_%C3%A0_la_lutte...
J'installe et compare (sous Debian) actuellement les solutions libres et gratuites suivantes :
1ère solution : Rsyslog (Linux) + Winsyslog (Windows) + Loganalyser (le tout envoyé en base de données MySQL) Un serveur Linux (collecteur des autres équipements (EAR, postes clients et serveurs Windows/Linux)) centralise l'intégralité des log du LAN. Ceci simplifie la sauvegarde et l'analyse des log afin de prévenir ou d'identifier des problèmes systèmes.
2ième solution : SPLUNK Une référence dans le domaine, gratuit jusque 512Mo (à confirmer) de log journalier.
3ième solution : Rsyslog (Linux) + Winsyslog (Windows) + Loganalyser (le tout en utilisant des fichiers plats car "apparement" le formatage d'un log (via rsyslog.conf) diminue la valeur juridique d'un log et n'est donc pas recommandé.
4ième solution : Octopussy (8pussy) pas encore testé mais le projet existe depuis fin 2005 et l'interface à l'air sympa.
5ième solution : php-syslog-ng cependant il n'est plus soutenu car il s'appelle maintenant logzilla et est devenu payant.
Ensuite, sauvegarde sur support externe puis stockage en armoire forte.
Cordialement,
----- Mail Original ----- De: "Yann Richard" yann.richard@uhb.fr À: "French SysAdmin Group" frsag@frsag.org Envoyé: Vendredi 8 Juillet 2011 15h42:08 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: Re: [FRsAG] Conservation et protection des fichiers de log
Le 08/07/2011 15:08, Florian Coulmier a écrit :
Bonjour,
C'est vendredi, mais ceci n'est pas un troll.
Certains d'entre vous ont-ils déjà eu une réflexion sur la conservation des logs (en particulier, des logs mail) dans le respect de la loi française ? D'un côté, il me semble que toute entreprise est tenue de conserver ses logs un certain temps (combien ?) et de pouvoir les présenter en cas de demande ou contrôle. D'un autre côté, la CNIL indique qu'une adresse email (donc contenue dans les logs mail) est une donnée privée et que cela doit être protégé.
Comment faites-vous pour concilier ces deux obligations qui semblent opposée à priori ?
Florian
Bonjour,
Quelques pointeurs sur la gestion des traces dans le milieu universitaire :
Cordialement,
-- .oooO M. Yann RICHARD <yann.richard at uhb.fr> ( ) Université Rennes 2 Haute Bretagne \ ( Centre de Ressources Informatiques _) Tel: 02.99.14.13.47 - Fax: 02.99.14.13.50
Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Merci beaucoup. Je vais tester cette solution.
Bonne soirée
Winston
Le 21 juil. 2011 à 18:16, Sébastien Gautrias sebastien.gautrias@gmail.com a écrit :
Je te confirme la grande qualité de la solution 4 : octopussy.
Je l'ai mis en place sur un système Debian + DRBD + OpenVZ : ça marche très bien (pas de stockage en base de données, donc très très rapide : bien plus que toutes les solution proprio). Je l'ai vu traiter plus de 1 million de logs par minute, stockées sur SAN sans broncher. Il est adaptable à n'importe quel type de logs : tout est à ta main. Et pour bien finir : le dev est un pote très sympa et dispo. N'hésite pas à le contacter à octo.devel@gmail.com.
2011/7/8 Mr DELBEY Winston windel@free.fr Bonjour,
je "travaille" actuellement sur ce sujet qui n'est pas très documenté sur Internet.
Le texte officiel qui oblige la sauvegarde des logs des systèmes informatiques est décrit et mis en référence au lien suivant :
http://fr.wikipedia.org/wiki/Loi_du_23_janvier_2006_relative_%C3%A0_la_lutte...
J'installe et compare (sous Debian) actuellement les solutions libres et gratuites suivantes :
1ère solution : Rsyslog (Linux) + Winsyslog (Windows) + Loganalyser (le tout envoyé en base de données MySQL) Un serveur Linux (collecteur des autres équipements (EAR, postes clients et serveurs Windows/Linux)) centralise l'intégralité des log du LAN. Ceci simplifie la sauvegarde et l'analyse des log afin de prévenir ou d'identifier des problèmes systèmes.
2ième solution : SPLUNK Une référence dans le domaine, gratuit jusque 512Mo (à confirmer) de log journalier.
3ième solution : Rsyslog (Linux) + Winsyslog (Windows) + Loganalyser (le tout en utilisant des fichiers plats car "apparement" le formatage d'un log (via rsyslog.conf) diminue la valeur juridique d'un log et n'est donc pas recommandé.
4ième solution : Octopussy (8pussy) pas encore testé mais le projet existe depuis fin 2005 et l'interface à l'air sympa.
5ième solution : php-syslog-ng cependant il n'est plus soutenu car il s'appelle maintenant logzilla et est devenu payant.
Ensuite, sauvegarde sur support externe puis stockage en armoire forte.
Cordialement,
----- Mail Original ----- De: "Yann Richard" yann.richard@uhb.fr À: "French SysAdmin Group" frsag@frsag.org Envoyé: Vendredi 8 Juillet 2011 15h42:08 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: Re: [FRsAG] Conservation et protection des fichiers de log
Le 08/07/2011 15:08, Florian Coulmier a écrit :
Bonjour,
C'est vendredi, mais ceci n'est pas un troll.
Certains d'entre vous ont-ils déjà eu une réflexion sur la conservation des logs (en particulier, des logs mail) dans le respect de la loi française ? D'un côté, il me semble que toute entreprise est tenue de conserver ses logs un certain temps (combien ?) et de pouvoir les présenter en cas de demande ou contrôle. D'un autre côté, la CNIL indique qu'une adresse email (donc contenue dans les logs mail) est une donnée privée et que cela doit être protégé.
Comment faites-vous pour concilier ces deux obligations qui semblent opposée à priori ?
Florian
Bonjour,
Quelques pointeurs sur la gestion des traces dans le milieu universitaire :
Cordialement,
-- .oooO M. Yann RICHARD <yann.richard at uhb.fr> ( ) Université Rennes 2 Haute Bretagne \ ( Centre de Ressources Informatiques _) Tel: 02.99.14.13.47 - Fax: 02.99.14.13.50
Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Le sujet date de quelques mois déjà, mais pour ceux que ça intéresse toujours, j'ai trouvé ce document daté de 2009 sur le site de l'OSSIR (Observatoire de la Sécurité des Systèmes d'Information et des Réseaux). Il s'agit d'un livre blanc sur l'aspect juridique des logs. Je pense que ça répond à pas mal de questions que certains administrateurs peuvent se poser.
http://www.ossir.org/technico-juridique/livre-blanc-sur-les-logs.shtml
Bonne lecture.
Florian
Merci, très bon document.
Winston
Le 18 oct. 2011 à 16:19, Florian Coulmier florian@coulmier.fr a écrit :
Bonjour,
Le sujet date de quelques mois déjà, mais pour ceux que ça intéresse toujours, j'ai trouvé ce document daté de 2009 sur le site de l'OSSIR (Observatoire de la Sécurité des Systèmes d'Information et des Réseaux). Il s'agit d'un livre blanc sur l'aspect juridique des logs. Je pense que ça répond à pas mal de questions que certains administrateurs peuvent se poser.
http://www.ossir.org/technico-juridique/livre-blanc-sur-les-logs.shtml
Bonne lecture.
Florian _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le Tue, Oct 18, 2011 at 11:09:38PM +0200, Mr DELBEY Winston a écrit:
Merci, très bon document.
Qui ne couvre pas la problématique principale : la signature numérique d'un message syslog.
http://tools.ietf.org/html/rfc5848
Je sais que pratiquement personne l'implémente mais c'est une RFC qui traite le pb très proprement (c'est pas tjs le cas).
a +.
Juste ma petite pierre, à une réunion FRNOG il y a 2 ans, il y avait eu une conférence donné par un gendarme sur comment il avait fait un coup de filet assez sympa dans la pédo. A la séance des questions ca a pas mal fusé car il demandait que les opérateurs, les fournisseurs de service leur laisse un accès plus efficace aux logs. Là une personne a posé une question toute bête sur la rétention des logs, que ca coûtait cher en disque dur en redondance ...
Et là il a cité un exemple tout à fait simple mais qui s'est retourné contre lui, les hôtels, ces derniers sont tenus de garder un journal de qui descend dans l'hôtel, obligation tout aussi légale que pour nous. La personne ayant posé la question lui dit que plusieurs cahiers ne coûtent pas aussi cher que des baies de disques si vous devez gardez les logs de pop / imap d'un grand fai par ex. Il a alors précisé que la loi obligeait de garder les logs pas de faire le nécessaire pour qu'il y ait de la redondance, PRA, sauvegarde externalisée ou autre. Il a continué sur l'exemple de l'hôtel qui si il déclare un incident type inondation, incendie, perte, vol, ... de ses journaux il serait couvert en cas de demande. Il a bien précisé que cela s'appliquait aussi en informatique. La personne ayant posé la question a répondu en disant qu'il allait dans ce cas utilisé des disques sata grand public à grande capacité pour stocker ses logs, il a validé totalement le principe si cela n'est pas contraignent en gestion.
Donc ma petite précision sur la fiabilité relative à mettre en place pour les logs. Bon ben entendu ces propos n'engage que lui et je serais d'avis que des spécialistes du droit puisse valider cela. En même temps si on a un document à présenter lors d'une demande attestant qu'une défaillance de disque a eu lieu quelques temps avant ...
Le 08/07/11 15:08, Florian Coulmier a écrit :
Bonjour,
C'est vendredi, mais ceci n'est pas un troll.
Certains d'entre vous ont-ils déjà eu une réflexion sur la conservation des logs (en particulier, des logs mail) dans le respect de la loi française ? D'un côté, il me semble que toute entreprise est tenue de conserver ses logs un certain temps (combien ?) et de pouvoir les présenter en cas de demande ou contrôle. D'un autre côté, la CNIL indique qu'une adresse email (donc contenue dans les logs mail) est une donnée privée et que cela doit être protégé.
Comment faites-vous pour concilier ces deux obligations qui semblent opposée à priori ?
Florian _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Merci à tous pour vos réponses, en particulier à Yann Richard pour le lien qu'il a communiqué vers des vidéos de conférences traitant du sujet.
Pour résumer ce que j'ai retenu de ce domaine très complexe, tout le monde n'est pas d'accord et chaque organisme en jeu tire la couverture de son côté. Il semble qu'il faille trouver un bon compromis. Ce qui suit ne concerne que les logs de services web, smtp, etc... Il ne s'agit pas d'accès à Internet ou de surveillance vidéo pour lesquels les règles/lois sont différentes. Pour être en conformité avec la CNIL, il faut définir une politique de gestion des logs qui répond à deux questions : - quelles sont les types de traces conservées et pendant quelle durée - quelles sont les finalités du traitement de ces traces La durée de conservation doit être cohérente avec la finalité qu'on en a. Ainsi, il est recommandé d'avoir 2 containers de logs associés à 2 politiques différentes : - 1 container avec une durée de conservation de 3 mois maximum pour usage interne des logs (supervision, analyse d'attaques, ...) - 1 container avec une durée de conservation d'1 an maximum à présenter en cas d'injonction judiciaire
D'un point de vue technique, il est nécessaire d'avoir ses serveurs à l'heure et tout défaut doit être "loggé". Il est également requis/bon de mettre en place un système d'empreinte des fichiers de log pour s'assurer qu'ils n'ont pas été altérés. Dans le cas contraire, les logs pourraient ne pas être une preuve valide.
Les logs doivent être conservés dans un endroit sécurisé. Cela ne veut pas forcément dire un coffre fort, mais simplement un endroit où l'on pourra prouver que la personne qui y a accédé sans autorisation a du passer des barrières difficiles à franchir pour le faire et donc qu'elle était consciente de ce qu'elle faisait. De même, les personnes ayant accès aux logs dans le cadre de leur travail doivent être sensibilisés au fait qu'ils travaillent sur des données personnelles et que celles ci ne doivent pas être copiées/diffusées/altérées... En aucun cas les logs ne doivent servir à autre chose que ce à quoi ils sont destinés. Par exemple, un admin système n'a pas le droit d'analyser les logs pour savoir si une personne contacte régulièrement une autre personne par mail si les logs ne servent normalement qu'à faire des statistiques sur les différents SMTP contactés par le serveur smtp.
Maintenant, très honnêtement, il peut y avoir des avis contraires. Un avocat a fait une remarque pertinente en disant que la CNIL ne faisait pas la loi, mais que la loi faisait la CNIL. Donc, ce qui est dans la loi ne peut être remis en question par la CNIL. La notion de logs n'existant pas dans la loi, ça devient difficile de savoir quelle est leur législation.
Si vous avez d'autres avis sur la questions, je reste preneur de vos remarques.
Florian Coulmier
-
Benjamin AVET -
Florian Coulmier -
Guillaume Friloux -
Jérôme Benoit -
Mr DELBEY Winston -
Pierre-Henry -
Sébastien Gautrias -
Yann Richard