Points clés
- La traçabilité est la condition sine qua non de la compréhension des incidents : sans journaux d'activité, il est impossible de déterminer comment une attaque a démarré, quels systèmes ont été touchés et quelles données ont été exposées.
- Equifax (2017) n'a pas pu déterminer avec précision l'étendue exacte de la compromission pendant plusieurs semaines en raison d'une journalisation insuffisante des accès à ses bases de données.
- Le coût moyen d'identification d'une violation de données est de 4,45 millions USD selon IBM (2024) — ce coût est directement corrélé à la qualité de la traçabilité disponible pour les équipes d'investigation.
- NIST SP 800-92, ISO 27001:2022 A.8.15 et PCI-DSS v4.0 Exigence 10 définissent les exigences de journalisation et de traçabilité applicables aux organisations.
La traçabilité des activités informatiques — journaux d'accès, logs système, enregistrements des transactions, historiques des modifications — est l'infrastructure invisible qui permet de comprendre ce qui s'est passé après un incident. Sans cette traçabilité, les enquêtes forensiques pataugent, les régulateurs ne peuvent pas être informés avec précision, et les équipes de sécurité ne peuvent pas identifier la cause racine d'un incident pour éviter sa répétition.
La traçabilité n'est pas seulement un outil d'investigation post-incident. C'est aussi un outil de supervision continue : des journaux correctement configurés permettent de détecter des comportements anormaux en temps réel, d'identifier des tentatives d'accès non autorisées, et de détecter des mouvements latéraux dans le système d'information. La traçabilité est à la fois la mémoire du système et son système d'alerte précoce.
Ce que la traçabilité permet de comprendre
Lors d'une investigation forensique, la première question est : que s'est-il passé exactement ? Sans journaux d'activité complets, cette question reste sans réponse précise. L'organisation sait qu'il y a eu un incident, mais ne peut pas déterminer : quand exactement l'attaquant a accédé au système, par quel compte ou quelle vulnérabilité, quels fichiers ou bases de données ont été consultés ou exfiltrés, si d'autres systèmes ont été compromis par mouvement latéral.
Equifax, lors de la compromission de 2017 qui a exposé les données de 147 millions de personnes, n'a pas pu déterminer avec certitude pendant plusieurs semaines exactement quelles données avaient été accédées — parce que les bases de données de l'entreprise ne journalisaient pas systématiquement les requêtes et les accès. Cette lacune a rendu la notification aux régulateurs et aux personnes concernées beaucoup plus difficile, et a contribué à l'étendue des sanctions.
À l'opposé, lors de la compromission de Sony Pictures Entertainment en 2014, l'existence de certains journaux d'accès a permis aux enquêteurs du FBI d'identifier rapidement les systèmes compromis et les méthodes utilisées. La reconstruction de la chronologie de l'attaque a été possible grâce aux traces laissées dans les logs disponibles, même si leur incomplétude a laissé des zones d'ombre.
La traçabilité comme obligation de conformité
La traçabilité n'est pas seulement une bonne pratique sécuritaire — c'est une obligation de conformité dans de nombreux référentiels. PCI-DSS v4.0 consacre son Exigence 10 entière à la journalisation et à la surveillance des logs, avec des exigences précises sur les événements à journaliser, la durée de conservation (12 mois minimum, 3 mois disponibles immédiatement), et la revue quotidienne des logs.
ISO 27001:2022 A.8.15 (Journalisation) impose la journalisation des activités des utilisateurs, des exceptions et des événements de sécurité, avec une protection des journaux contre la modification et la suppression non autorisées. RGPD Article 30 impose la tenue d'un registre des activités de traitement qui, bien que différent des logs techniques, implique une traçabilité des opérations sur les données personnelles.
DORA (Digital Operational Resilience Act) impose aux entités financières européennes de maintenir des capacités de journalisation et de traçabilité suffisantes pour permettre l'investigation et le reporting des incidents ICT significatifs aux autorités compétentes. NIS2 impose des exigences similaires pour les entités essentielles et importantes dans les États membres.
Ce que coûte l'absence de traçabilité
L'absence de traçabilité a un coût direct lors des incidents. Les organisations sans journalisation suffisante doivent déployer des ressources forensiques considérables pour reconstituer ce qui s'est passé à partir de sources indirectes — captures réseau partielles, témoignages d'utilisateurs, métadonnées de systèmes. Cette reconstruction est longue, coûteuse et souvent incomplète.
L'absence de traçabilité a également un coût indirect lors des interactions avec les régulateurs. Une organisation qui ne peut pas démontrer précisément l'étendue d'une violation de données — ce qui nécessite des journaux — s'expose à des sanctions plus élevées que celle qui peut présenter une investigation complète et précise. Les régulateurs évaluent la capacité de l'organisation à comprendre et à maîtriser ses incidents comme un indicateur de maturité.
IBM Cost of a Data Breach 2024 établit que le coût moyen d'identification d'une violation (mean time to identify — MTTI) est de 194 jours, et que le coût de l'incident est directement corrélé à ce délai. Les organisations avec des capacités de journalisation et de supervision avancées identifient les incidents en 50 à 70 jours en moins que la moyenne — une différence de coût estimée à plusieurs millions d'euros par incident.
La compromission de Capital One en 2019, qui a exposé les données de 106 millions de clients, illustre paradoxalement l'importance de la traçabilité : c'est précisément parce que Capital One avait des logs AWS suffisants que la compromission a pu être rapidement identifiée et contenue. Une chercheuse en sécurité a découvert des données Capital One sur un forum public et les a signalées à Capital One, qui a pu en 48 heures identifier via ses logs la requête SSRF malveillante, le compte IAM compromis, et l'étendue des données accédées. Sans ces logs, l'étendue de la compromission aurait été beaucoup plus longue à établir. Capital One a été condamné à une amende de 80 millions USD malgré cette réactivité.
Suite à une cyberattaque revendiquée par des hacktivistes pro-russes en novembre 2022, le Parlement européen a conduit une investigation post-incident. L'investigation a établi que si l'attaque DDoS elle-même était documentée, les tentatives d'intrusion qui ont suivi n'avaient pas été suffisamment tracées dans les systèmes de journalisation. L'absence de logs détaillés sur certains accès internes a empêché d'établir avec certitude si des données internes avaient été consultées. Le Parlement a depuis investi dans un système de journalisation centralisée (SIEM) et renforcé ses exigences de traçabilité pour tous ses systèmes critiques.
Cathay Pacific a annoncé en octobre 2018 une violation de données affectant 9,4 millions de passagers. L'investigation post-incident a révélé que la compromission avait démarré en mars 2018 mais n'avait pas été détectée pendant plusieurs mois, en partie parce que les systèmes de journalisation n'avaient pas alerté sur les accès anormaux aux bases de données de passagers. L'Autorité de Protection des Données de Hong Kong a identifié l'insuffisance de journalisation et de supervision comme l'un des facteurs ayant contribué au délai de détection. Cathay Pacific a reçu une amende et a été contrainte de mettre en place un programme de remédiation incluant des exigences renforcées de journalisation et de supervision.