Mise sous gel juridique des éléments de preuve en cas de cyberincident pour GDPR, NIS2 et DORA
À 4 h 17, Maria, RSSI d’un fournisseur SaaS fintech, a reçu l’appel auquel tout responsable de la sécurité se prépare, tout en espérant ne jamais le recevoir. Des serveurs de production critiques ne répondaient plus. Des fichiers étaient chiffrés. Une demande de rançon s’affichait sur l’écran d’un administrateur junior.
À 4 h 28, l’équipe de réponse aux incidents voulait isoler les systèmes affectés et redéployer une infrastructure saine. À 4 h 41, l’ingénierie demandait si elle pouvait effectuer une rotation des identifiants, purger les fichiers temporaires et reconstruire les conteneurs. À 5 h 03, le DPO a signalé que l’environnement compromis contenait des identifiants clients et des métadonnées de transaction. À 5 h 16, la direction juridique a rejoint la cellule de crise avec une consigne : « Ne détruisez aucun élément de preuve potentiel. Nous pourrions devoir déclencher un gel juridique. » À 5 h 30, le COO a demandé si les obligations de notification DORA étaient déclenchées. À 6 h 00, Maria s’est souvenue du compte à rebours NIS2 : une alerte précoce pouvait être attendue sous 24 heures, une notification plus complète sous 72 heures et un rapport final dans le mois.
Puis est venue la question qui détermine si un cyberincident reste défendable ou bascule dans le chaos :
« Avons-nous encore les journaux ? »
C’est le problème de gouvernance post-incident que de nombreux plans de réponse sous-estiment. Il ne suffit pas de détecter, contenir et rétablir. En 2026, les organisations doivent également prouver ce qui s’est produit, préserver les éléments de preuve pertinents, éviter de corrompre les artefacts forensiques, respecter la minimisation des données GDPR, soutenir la supervision NIS2 et conserver des enregistrements de risques liés aux TIC au titre de DORA capables de résister à un audit, à un contentieux et à une revue réglementaire.
Le gel juridique et la conservation des éléments de preuve en cas de cyberincident se situent au point de rencontre des opérations de sécurité, de la protection des données, du juridique, de la conformité, de l’ingénierie cloud, de la gestion des prestataires et de l’audit. Si le processus est improvisé pendant une violation, l’organisation peut perdre les éléments de preuve nécessaires à l’analyse de la cause racine, aux notifications aux autorités de régulation, aux demandes d’indemnisation, à la défense en cas de contentieux, aux procédures disciplinaires et aux programmes d’assurance demandés par les clients. S’il est appliqué de manière excessive, l’organisation peut conserver trop de données à caractère personnel et créer un second problème de conformité.
L’approche de Clarysec consiste à faire du gel juridique un processus SMSI maîtrisé, et non une réaction de panique. Le modèle relie la gouvernance ISO/IEC 27001:2022, les contrôles ISO/IEC 27002:2022 relatifs aux éléments de preuve et à la journalisation, la responsabilité GDPR, le signalement des incidents NIS2 et les éléments de preuve relatifs aux risques liés aux TIC au titre de DORA dans un même système opérationnel. Ce système indique aux équipes ce qui doit être préservé, qui peut autoriser la conservation, combien de temps les éléments de preuve restent sous gel, qui peut y accéder et quand la suppression peut reprendre.
Les premières 24 heures déterminent si les éléments de preuve survivent
Dans de nombreux incidents réels, les éléments de preuve ne sont pas détruits par les attaquants. Ils le sont par les opérations normales.
Une période de conservation des journaux cloud expire. Un conteneur est redéployé. Un poste de travail est réimagé avant la capture de la mémoire. Un administrateur SaaS exporte un fichier CSV pour l’investigation, puis le modifie. Un ingénieur bien intentionné supprime des scripts malveillants avant de réaliser une copie forensique. Une tâche de purge dans un entrepôt de données supprime les enregistrements nécessaires pour déterminer quels clients ont été affectés.
L’organisation peut encore se rétablir sur le plan opérationnel, mais elle perd la preuve. Cette distinction est essentielle.
Au titre de GDPR, un responsable de traitement doit être en mesure de démontrer sa conformité aux principes de protection des données, y compris l’intégrité et la confidentialité, la limitation des finalités, la minimisation des données et la limitation de la conservation. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque pour les personnes, Article 33 peut imposer une notification à l’autorité de contrôle sans retard indu et, lorsque cela est faisable, dans les 72 heures suivant la prise de connaissance. Lorsque la violation est susceptible d’engendrer un risque élevé pour les personnes, Article 34 peut imposer une communication aux personnes concernées.
Au titre de NIS2, les entités essentielles et importantes doivent gérer les incidents significatifs au moyen d’une notification par étapes et d’une supervision. Au titre de DORA, les entités financières doivent enregistrer les incidents liés aux TIC, classifier les incidents majeurs, les notifier, réaliser une analyse de la cause racine et préserver les éléments de preuve portant sur les actifs TIC, les fonctions métier et les dépendances vis-à-vis de tiers.
ISO/IEC 27001:2022 fournit la structure de système de management nécessaire. La clause 4.2 impose à l’organisation de déterminer les besoins et attentes des parties intéressées, y compris les exigences légales, réglementaires et contractuelles applicables à la sécurité de l’information. La clause 4.3 impose que le domaine d’application du SMSI tienne compte des interfaces et dépendances, ce qui est critique lorsque les éléments de preuve se trouvent chez un fournisseur cloud, un prestataire de sécurité managée, une plateforme de paiement ou un centre de support externalisé. La clause 6.1 relie ces obligations aux risques de sécurité de l’information et à leur traitement. La clause 7.5 impose la maîtrise des informations documentées. La clause 8 impose la planification et la maîtrise opérationnelles.
Le Zenith Blueprint : feuille de route en 30 étapes pour auditeurs de Clarysec explique pourquoi ce dispositif doit être conçu avant l’incident, et non pendant celui-ci. Dans la phase « Contrôles en action », à l’étape 23, les lignes directrices relatives au contrôle ISO/IEC 27002:2022 5.28 indiquent :
« Lorsqu’un incident de sécurité de l’information survient, l’un des éléments de réponse les plus critiques, et pourtant souvent négligé, est l’élément de preuve. Pas des journaux, pas des captures d’écran, pas des récits informels, mais des éléments de preuve correctement préservés, respectant la chaîne de conservation et protégés contre les altérations. »
La même étape 23 ajoute que « ce que vous pouvez prouver compte autant que ce qui s’est réellement produit ». Cette phrase marque la différence entre une réponse aux incidents et une réponse aux incidents juridiquement défendable. Une autorité de régulation, un auditeur client, un tribunal, un assureur ou une autorité de contrôle n’acceptera pas une reconstruction verbale si l’organisation ne peut pas présenter des journaux préservés, des horodatages fiables, des enregistrements maîtrisés et une chaîne de conservation documentée.
Le gel juridique ne signifie pas « tout conserver indéfiniment »
Un gel juridique en cas de cyberincident est une suspension formelle des processus habituels de suppression ou d’élimination portant sur des enregistrements, journaux, sauvegardes, images, communications et autres éléments de preuve définis, susceptibles d’être pertinents pour une investigation, un contentieux, une demande d’une autorité de régulation, un audit ou un différend contractuel.
L’erreur la plus fréquente consiste à traiter le gel juridique comme une instruction générale : « Ne supprimez rien. » Cela crée des risques en matière de protection des données, de coûts et d’exploitation. GDPR ne cesse pas de s’appliquer pendant un cyberincident. Les données à caractère personnel doivent toujours être traitées de manière licite, loyale et transparente, pour des finalités déterminées, limitées à ce qui est nécessaire et conservées uniquement pendant la durée nécessaire. Article 5(2) ajoute la responsabilité, c’est-à-dire l’obligation pour l’organisation de pouvoir démontrer ces décisions.
C’est ici que la bibliothèque de politiques de Clarysec devient concrète. La Politique de conservation des données et d’élimination sécurisée - PME indique :
« Le gel juridique et la suspension de la suppression prévalent sur les exigences standard de conservation et empêchent la suppression des données. »
Pour les organisations de plus grande taille, la Politique de conservation et d’élimination des données Enterprise, clause 6.4.1, précise :
« Si un gel juridique et une suspension de la suppression sont émis (par exemple en raison d’un contentieux, d’une investigation ou d’un audit en cours), les données qui seraient autrement soumises à destruction doivent être préservées au-delà de leur période normale de conservation. »
La même politique Enterprise exige que le gel soit :
« Documenté et approuvé par la direction juridique et le délégué à la protection des données (DPO) »
Ce modèle d’approbation n’est pas bureaucratique. C’est le mécanisme d’équilibre entre la préservation probatoire et la retenue exigée par la protection des données. La direction juridique confirme le fondement lié au contentieux, à l’investigation ou à la réglementation. Le DPO confirme que le périmètre, la finalité, les catégories de données à caractère personnel, les contrôles d’accès et la prolongation de conservation restent proportionnés.
Pour les PME sans service juridique complet ni fonction DPO, la même logique décisionnelle peut être assurée par un vCISO, un responsable de la protection des données, un directeur général et un conseil juridique externe, à condition que l’autorisation soit documentée, limitée dans le temps et revue.
La tension de conformité que chaque RSSI doit résoudre
Après un incident grave, les différentes parties prenantes demandent des éléments de preuve différents. Le juridique veut la préservation. La protection des données veut la minimisation. Les autorités de régulation veulent des faits. Les opérations veulent le rétablissement. Les clients veulent des garanties. Les auditeurs veulent des éléments objectifs.
| Réglementation ou besoin | Exigence clé concernant les éléments de preuve | Implication pour la conservation |
|---|---|---|
| NIS2 | Prouver l’impact, la gravité et la cause suspectée pour la notification d’incident par étapes | Préserver les alertes, les indicateurs de compromission, les données d’impact sur les services, les enregistrements de perturbation opérationnelle et les journaux de décision |
| DORA | Soutenir la classification de l’incident, la notification, l’analyse d’impact client et la revue de la cause racine | Conserver les artefacts techniques, les éléments de preuve relatifs aux actifs TIC, les notes d’information à la direction, les communications avec les prestataires et les enregistrements de remédiation |
| GDPR | Démontrer la limitation des finalités, la minimisation des données, la limitation de la conservation et la sécurité du traitement | Justifier la conservation des données à caractère personnel, restreindre l’accès et supprimer ou anonymiser les éléments de preuve lors de la levée du gel |
| Contentieux | Présenter des éléments de preuve défendables, non altérés, avec une chaîne de conservation claire | Geler les données pertinentes dans le cadre d’un gel formel et conserver les enregistrements d’acquisition, d’accès et de transfert |
| Contrats clients | Prouver les obligations de notification, d’impact sur le service, de remédiation et de coopération | Préserver les communications clients, l’analyse SLA, les rapports d’incident et les enregistrements de réponse contractuelle |
Tenter de gérer ces demandes par des workflows distincts de protection des données, de juridique, de SOC et d’audit crée les conditions de contradictions. Un SMSI ISO/IEC 27001:2022 unifié les intègre dans un seul processus de risque, de contrôle et d’éléments de preuve.
La pile de contrôles pour une conservation des éléments de preuve défendable
Le gel juridique en cas de cyberincident ne relève pas d’un seul contrôle ISO/IEC 27002:2022. Il s’agit d’une relation entre contrôles.
Le Zenith Controls : guide de correspondance de conformité de Clarysec cartographie le contrôle ISO/IEC 27002:2022 5.28, Collecte des éléments de preuve, comme un contrôle correctif soutenant la confidentialité, l’intégrité et la disponibilité. Il s’inscrit dans les concepts de cybersécurité de détection et de réponse et dans la capacité opérationnelle de gestion des événements de sécurité de l’information.
Le même guide Zenith Controls relie 5.28 à la réponse aux incidents de sécurité de l’information, à la journalisation et à la surveillance, à la protection des enregistrements et à la notification des événements. La logique est opérationnelle : les intervenants en gestion d’incident ont besoin des journaux et artefacts avant que la remédiation ne modifie la scène, les responsables de notification réglementaire ont besoin de faits fiables, et les enquêteurs ont besoin d’éléments de preuve non altérés.
Le contrôle ISO/IEC 27002:2022 5.33, Protection des enregistrements, est tout aussi important. Il soutient les exigences légales et de conformité, la gestion des actifs et la protection de l’information. Il rattache la protection des enregistrements à la classification, aux sauvegardes, à l’élimination sécurisée, aux exigences légales et contractuelles, au contrôle d’accès et à la réponse aux incidents. En pratique, un gel juridique ne doit pas seulement capturer des éléments de preuve. Il doit protéger l’intégrité, la confidentialité et la disponibilité de l’enregistrement probatoire lui-même.
Pour la journalisation, le contrôle ISO/IEC 27002:2022 8.15, Journalisation, constitue le socle. Il est relié à 8.16, Activités de surveillance, et à 8.17, Synchronisation des horloges. Si les journaux sont incomplets, modifiables par des administrateurs, non synchronisés dans le temps ou conservés pendant une durée trop courte, le processus probatoire peut échouer avant même le début de l’investigation.
| Besoin en éléments de preuve | Relation avec les contrôles ISO/IEC 27002:2022 | Pourquoi c’est important après une violation |
|---|---|---|
| Préserver les artefacts avant la remédiation | 5.28 Collecte des éléments de preuve liée à 5.26 Réponse aux incidents de sécurité de l’information | Empêche les intervenants de détruire la preuve pendant le confinement de l’incident |
| Protéger les enregistrements d’investigation | 5.33 Protection des enregistrements liée à 5.31 Exigences légales, statutaires, réglementaires et contractuelles et à 5.15 Contrôle d’accès | Garantit que les dossiers d’éléments de preuve, rapports et approbations restent intacts et restreints |
| Maintenir des journaux fiables | 8.15 Journalisation liée à 8.16 Activités de surveillance et 8.17 Synchronisation des horloges | Soutient les chronologies d’événements, l’attribution, l’analyse d’impact et les notifications réglementaires |
| Équilibrer la protection des données | 5.34 Protection de la vie privée et des PII liée à la journalisation et à la protection des enregistrements | Évite une conservation excessive ou une divulgation non maîtrisée de données à caractère personnel |
| Rétablir la disponibilité des éléments de preuve | 8.13 Sauvegarde des informations liée à la protection des enregistrements | Aide à restaurer les enregistrements et journaux si les systèmes sont corrompus, chiffrés ou supprimés |
| S’améliorer après l’incident | 5.27 Apprentissage à partir des incidents de sécurité de l’information lié aux actions correctives | Transforme les enseignements tirés en traitement des risques, amélioration des contrôles et éléments probants d’audit |
Le Zenith Blueprint, dans la phase « Contrôles en action », étape 19, renforce ce point par une formulation pratique sur la journalisation :
« Les journaux qui enregistrent les activités, exceptions, défaillances et autres événements pertinents doivent être produits, stockés, protégés et analysés. »
Il avertit également que la protection des journaux inclut la restriction des accès et l’utilisation de mécanismes tels que le hachage cryptographique ou le stockage write-once pour prévenir les altérations. L’étape 19 relie la synchronisation des horloges à la cohérence forensique, en expliquant que des horloges synchronisées permettent d’aligner les journaux de différents systèmes pour l’investigation.
Responsabilité GDPR : préserver ce qui est nécessaire, justifier ce qui est conservé
GDPR crée la tension la plus visible dans la conservation des éléments de preuve liés à un incident. Les équipes sécurité veulent souvent davantage de données. Les équipes protection des données veulent en conserver moins. Un gel juridique défendable concilie les deux.
Les journaux et artefacts peuvent contenir des adresses IP, des identifiants utilisateurs, des adresses e-mail, des identifiants d’appareil, des enregistrements d’authentification, du texte issu de tickets de support, des captures d’écran, des exports clients ou des données de catégories particulières. La préservation des éléments de preuve constitue donc un traitement. L’avis de gel juridique doit documenter la base légale, la finalité, le périmètre, les restrictions d’accès, la date de revue de conservation et le déclencheur d’élimination.
La Politique de protection des données et de la vie privée - PME de Clarysec indique :
« Seules les données à caractère personnel minimales nécessaires doivent être collectées et conservées »
La politique Enterprise Evidence Collection and Forensics Policy ancre explicitement le traitement des éléments de preuve forensiques dans :
« GDPR Article 5, y compris la limitation des finalités et la minimisation des données »
C’est le principe opérationnel. Ne préservez pas toute une base de données de production si les éléments de preuve pertinents se limitent à une piste d’audit, un journal des accès, un enregistrement de requête et une liste d’utilisateurs affectés. Ne donnez pas à tous les intervenants l’accès aux éléments de preuve bruts si des extraits pseudonymisés ou un contrôle d’accès fondé sur les rôles suffisent. Ne conservez pas indéfiniment les artefacts d’incident lorsque le besoin juridique, réglementaire et d’audit a expiré.
Un bon enregistrement de gel juridique conforme à GDPR répond à sept questions :
- Quel incident ou quelle investigation a déclenché le gel ?
- Quelles catégories de données à caractère personnel peuvent être incluses ?
- Pourquoi chaque catégorie d’éléments de preuve est-elle nécessaire ?
- Qui a approuvé le gel, et quand ?
- Qui peut accéder aux éléments de preuve ?
- Quand le gel sera-t-il revu ?
- Quel processus de suppression ou d’élimination sécurisée reprend lorsque le gel est levé ?
C’est ainsi que la conservation des éléments de preuve évite de devenir une surconservation au regard de la protection des données.
NIS2 : gel juridique pour la notification d’incidents par étapes
Pour les organisations dans le champ d’application, NIS2 fait évoluer l’exigence probatoire de « utile en interne » à « nécessaire à la supervision ».
NIS2 s’applique à de nombreuses entités essentielles et importantes dans l’UE, notamment les fournisseurs d’infrastructure numérique, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les réseaux de diffusion de contenu, les prestataires de services de confiance, les fournisseurs de communications électroniques, les prestataires de services managés, les prestataires de sécurité managée et certains fournisseurs numériques tels que les places de marché en ligne, les moteurs de recherche en ligne et les plateformes de réseaux sociaux.
Article 21 exige des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées, y compris l’analyse des risques, la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement, le développement sécurisé, l’évaluation de l’efficacité, la formation, la cryptographie, la sécurité des ressources humaines, le contrôle d’accès, la gestion des actifs et l’authentification. Article 20 rend les organes de direction responsables de l’approbation et de la supervision de ces mesures.
Pour le gel juridique, le point clé NIS2 est Article 23. Les incidents significatifs exigent une notification par étapes : alerte précoce dans les 24 heures suivant la prise de connaissance, notification d’incident dans les 72 heures, rapports intermédiaires sur demande et rapport final au plus tard un mois après la notification à 72 heures. Le rapport final doit contenir une description, la gravité, l’impact, le type de menace probable ou la cause racine, les mesures d’atténuation et, le cas échéant, l’impact transfrontalier.
| Étape de notification NIS2 | Éléments de preuve nécessaires | Action de gel juridique |
|---|---|---|
| Alerte précoce à 24 heures | Heure initiale de détection, activité malveillante suspectée, service affecté et éventuel impact transfrontalier | Geler les alertes SOC, le ticket d’incident, les journaux d’identité et les pistes d’audit cloud |
| Notification à 72 heures | Gravité, impact, indicateurs de compromission, perturbation opérationnelle et indicateurs de perte financière | Préserver les exports forensiques, l’inventaire des actifs affectés, les IOC, les notes d’impact métier et les enregistrements de communication |
| Rapports intermédiaires | État actuel, avancement du confinement et questions de l’autorité | Maintenir un enregistrement d’investigation versionné et un journal des décisions de réponse |
| Rapport final | Cause racine, description de l’incident, gravité, impact, atténuation et effet transfrontalier | Préserver les éléments de preuve de cause racine, les éléments de preuve de remédiation, les enseignements tirés et la piste d’approbation |
Si l’incident affecte des données à caractère personnel, les autorités compétentes NIS2 peuvent coopérer avec les autorités de contrôle GDPR. Cela renforce la nécessité d’un récit probatoire unique soutenant à la fois la supervision cybersécurité et la responsabilité en matière de protection des données.
DORA : les éléments de preuve relatifs aux risques liés aux TIC dépassent les journaux de sécurité
Pour les entités financières, DORA constitue le régime sectoriel de résilience opérationnelle. Il s’applique depuis le 17 janvier 2025 et couvre la gestion des risques liés aux TIC, la notification des incidents majeurs liés aux TIC, les tests de résilience, le partage d’informations et la gestion des risques liés aux prestataires tiers de services TIC. Pour les entités financières également essentielles ou importantes au sens de NIS2, DORA fonctionne généralement comme l’acte juridique sectoriel de l’Union applicable aux risques liés aux TIC et à la notification des incidents.
DORA est, par conception, fortement axé sur les éléments de preuve. Article 17 exige un processus de gestion des incidents liés aux TIC. Article 18 traite de la classification des incidents liés aux TIC et des cybermenaces. Article 19 couvre la notification des incidents majeurs liés aux TIC. Les entités financières doivent également maintenir des dispositifs de gouvernance et de contrôle, identifier les fonctions critiques ou importantes, documenter les actifs TIC et les dépendances, et réaliser une analyse de la cause racine.
Cela signifie que le gel juridique DORA doit couvrir les éléments de preuve de résilience opérationnelle, et pas uniquement les artefacts de sécurité. Après une compromission d’identité cloud affectant les opérations de paiement, le gel peut inclure les journaux du fournisseur d’identité, l’historique des accès à privilèges, les journaux d’audit cloud, les alertes SIEM, les images de terminaux, l’analyse d’impact sur les transactions clients, les enregistrements d’activation de continuité d’activité, les éléments de preuve de sauvegarde et de rétablissement, les communications fournisseurs, les notes d’information à l’organe de direction, l’analyse de la cause racine et la validation de la remédiation.
DORA rend également incontournables les éléments de preuve TIC détenus par des tiers. Les articles 28 à 30 imposent la gestion des risques liés aux prestataires tiers de services TIC, des registres des accords contractuels, des diligences préalables, l’évaluation du risque de concentration et des contrats écrits comportant droits et obligations. Pour les fonctions critiques ou importantes, les contrats doivent soutenir les obligations de notification et de reporting du prestataire, l’assistance en cas d’incident, la coopération avec les autorités, les droits d’accès, d’inspection et d’audit, ainsi que les stratégies de sortie.
Si votre fournisseur cloud, MSP, MSSP, processeur de paiement ou dépendance SaaS détient les journaux pertinents, votre processus de gel juridique doit déjà être intégré dans les contrats fournisseurs. À défaut, vous risquez de découvrir pendant un incident majeur que la fenêtre de conservation standard du prestataire est plus courte que votre cycle de notification réglementaire.
Comment Clarysec opérationnalise le gel juridique pendant une violation SaaS
Prenons l’environnement SaaS fintech de Maria. L’incident peut impliquer un accès non autorisé à des identifiants clients, des métadonnées de transaction, des systèmes d’administration et des enregistrements d’un SOC externalisé. L’entreprise sert des établissements financiers de l’UE, s’appuie sur une infrastructure cloud et peut être soumise à GDPR, à des obligations contractuelles DORA et à des obligations NIS2.
La première action n’est pas de tout préserver. La première action consiste à déclencher une décision maîtrisée.
Le responsable de la gestion de l’incident envoie une demande de gel juridique à la direction juridique, au DPO ou au responsable de la protection des données, au RSSI et au propriétaire métier. La demande inclut l’identifiant de l’incident, la date et l’heure, les systèmes affectés, les catégories de données suspectées, les trajectoires réglementaires initiales, les catégories d’éléments de preuve proposées et les risques immédiats de suppression.
En utilisant la Politique de conservation et d’élimination des données Enterprise, le gel est documenté et approuvé par la direction juridique et le DPO. Pour les PME, la Politique de conservation des données et d’élimination sécurisée - PME fournit la règle de suspension de la suppression. L’autorisation inclut une date de revue alignée sur les jalons d’investigation, les échéances de notification réglementaire et le risque attendu de contentieux ou de différend contractuel. Elle ne dit pas « pour toujours ». Elle dit « jusqu’à levée par décision autorisée après revue ».
Ensuite, l’équipe gèle les journaux et artefacts pertinents. La Politique de journalisation et de surveillance - PME indique :
« Les journaux doivent être placés sous gel juridique et suspension de la suppression, et protégés contre l’altération ou la suppression »
L’équipe suspend la suppression des dossiers SIEM, des journaux d’identité, des journaux d’audit cloud, des journaux applicatifs, des journaux de requêtes de bases de données, des événements WAF et des métadonnées d’alertes SOC. Les journaux exportés sont stockés dans un espace de stockage probatoire restreint, avec hachage cryptographique, gestion des versions et droits en lecture seule lorsque cela est approprié.
La règle de collecte est simple : préserver les éléments de preuve sans modifier les originaux. La Politique d’investigation forensique et de collecte des éléments de preuve - PME indique :
« Une copie forensique ou un export doit toujours être créé ; l’élément de preuve original ne doit jamais être modifié directement. »
Les ingénieurs peuvent procéder à la remédiation, mais seulement après la réalisation des instantanés, exports ou copies forensiques requis, sauf si un confinement immédiat est nécessaire pour prévenir un dommage en cours. Si une remédiation d’urgence intervient d’abord, la raison est documentée.
La même politique PME précise :
« Un journal de chaîne de conservation simple (par exemple un fichier Excel ou un modèle de document) doit être tenu pour chaque incident. »
Pour les environnements Enterprise, la Politique d’investigation forensique et de collecte des éléments de preuve, clause 5.6, exige :
« Un journal de chaîne de conservation doit accompagner tous les éléments de preuve physiques ou numériques depuis le moment de l’acquisition jusqu’à l’archivage ou au transfert, et doit documenter : »
En pratique, le journal de chaîne de conservation consigne l’identifiant de l’élément de preuve, la description, le système source, le collecteur, la méthode d’acquisition, la valeur de hachage le cas échéant, la source de temps, l’emplacement de stockage, les événements d’accès, les transferts, les copies d’analyse et la disposition finale.
Enfin, l’enregistrement d’investigation lui-même doit être protégé. La politique Enterprise Politique d’audit et de surveillance de la conformité indique :
« Tous les journaux d’audit, constats et rapports de remédiation doivent être conservés, chiffrés et protégés contre les altérations. »
Cette exigence s’applique à la chronologie de l’incident, au journal des décisions, à l’avis de gel juridique, aux communications avec les autorités de régulation, aux communications clients, à l’analyse de la cause racine et aux éléments de preuve de remédiation.
Les informations documentées que les auditeurs examineront
ISO/IEC 27001:2022 clause 7.5 exige que les informations documentées nécessaires au SMSI et requises par la norme soient maîtrisées. Le Zenith Blueprint, dans la phase « Fondations et leadership du SMSI », étape 6, traduit cela en exigences pratiques : les documents doivent comporter une identification, un format, une revue, une approbation, une gestion des versions, un accès maîtrisé, une protection de l’intégrité, une maîtrise des changements, une conservation et une disposition.
L’étape 6 note également que les enregistrements tels que les journaux de surveillance, les rapports d’audit et les dossiers d’investigation d’incident peuvent être confidentiels et doivent être partagés selon le besoin d’en connaître, avec des droits de modification limités aux utilisateurs autorisés.
Un dossier probatoire défendable doit inclure :
- L’avis de gel juridique et son approbation.
- La classification de l’incident et la décision de gravité.
- L’inventaire des éléments de preuve.
- Le journal de chaîne de conservation.
- La confirmation de conservation des journaux.
- Les enregistrements d’image forensique ou d’export.
- Les valeurs de hachage ou contrôles d’intégrité le cas échéant.
- La liste d’accès au stockage des éléments de preuve.
- Les éléments probants de notification réglementaire.
- L’évaluation de protection des données et l’analyse d’impact sur les données à caractère personnel.
- Les demandes d’éléments de preuve aux prestataires et leurs réponses.
- L’analyse de la cause racine.
- Les éléments de preuve de remédiation et de validation.
- La revue du gel et la décision de levée.
Plus la maîtrise des informations documentées est robuste, plus l’audit est simple.
Éléments de preuve fournisseurs et cloud : le point de défaillance que beaucoup d’équipes manquent
Les éléments de preuve les plus difficiles ne se trouvent souvent pas dans votre organisation. Ils sont détenus par un fournisseur cloud, une plateforme SaaS, un MSSP, un MSP, un processeur de paiement, un fournisseur d’identité ou une équipe de développement externalisée.
NIS2 Article 21 inclut la sécurité de la chaîne d’approvisionnement et les aspects de sécurité des relations avec les fournisseurs directs ou prestataires de services. DORA va plus loin pour les entités financières, en exigeant des registres des tiers TIC, des diligences préalables, une analyse du risque de concentration et des contrats incluant l’assistance en cas d’incident, le reporting par les prestataires, la coopération avec les autorités, les droits d’audit et les dispositions de sortie pour les fonctions critiques ou importantes.
Le NIST Cybersecurity Framework 2.0 traite également le risque lié à la chaîne d’approvisionnement comme une discipline couvrant tout le cycle de vie. Sa fonction Gouverner inclut des résultats de gestion des risques fournisseurs concernant la stratégie, les rôles, les contrats, les diligences préalables, la surveillance, la participation aux incidents et les dispositions de sortie. Les profils CSF peuvent exprimer des exigences cybersécurité cibles à l’intention des fournisseurs, ce qui est utile pour traduire les besoins probatoires du gel juridique en clauses contractuelles.
Les contrats fournisseurs doivent traiter les points suivants :
- Types de journaux de sécurité disponibles pour le client.
- Périodes de conservation par défaut et options de conservation prolongée.
- Processus de demande de préservation d’urgence.
- Délai de préservation des éléments de preuve après demande du client.
- Formats d’export forensique.
- Support à la chaîne de conservation.
- Coopération avec les autorités de régulation.
- Obligations probatoires des sous-traitants ultérieurs ou sous-traitants.
- Restrictions relatives à la localisation et au transfert des données.
- Suppression sécurisée après la levée du gel.
Le Zenith Blueprint, dans la phase « Contrôles en action », étape 18, impose une discipline similaire pour le transfert de supports physiques, en exigeant le chiffrement, un emballage protégé contre les altérations, le suivi, des journaux de transport, un inventaire des supports et l’audit du registre. La même logique s’applique aux transferts d’éléments de preuve cloud : préserver l’intégrité, suivre la garde, restreindre l’accès et confirmer la réception.
Comment les auditeurs et autorités de régulation testeront votre processus de gel juridique
Un processus de gel juridique est évalué différemment selon le mandat du réviseur. Clarysec utilise Zenith Controls comme boussole de conformité croisée afin qu’un même dossier probatoire puisse satisfaire plusieurs angles d’examen sans dupliquer le travail.
| Angle d’audit | Ce que l’auditeur demandera | Éléments de preuve préparés par Clarysec |
|---|---|---|
| Auditeur ISO/IEC 27001:2022 | Le gel juridique fait-il partie du SMSI, du traitement des risques, des informations documentées et du processus de réponse aux incidents ? | Domaine d’application du SMSI, exigences des parties intéressées, Déclaration d’applicabilité, procédure d’incident, politique relative aux éléments de preuve, politique de conservation et enregistrements maîtrisés |
| Réviseur de contrôles ISO/IEC 27002:2022 | La collecte des éléments de preuve 5.28, la protection des enregistrements 5.33 et la journalisation 8.15 sont-elles mises en œuvre et reliées ? | Inventaire des éléments de preuve, journal de chaîne de conservation, protection contre les altérations, paramètres de conservation des journaux, preuve de synchronisation des horloges et contrôles d’accès |
| Auditeur GDPR ou réviseur DPO | Les données à caractère personnel ont-elles été conservées uniquement lorsque cela était nécessaire, sur la base d’une finalité et d’une base légale documentées ? | Évaluation de protection des données, justification de minimisation des données, restrictions d’accès, revue de conservation et preuve de suppression ou d’élimination sécurisée |
| Réviseur de supervision NIS2 | L’entité peut-elle soutenir la notification à 24 heures, 72 heures et le rapport final avec des faits fiables ? | Chronologie d’incident, évaluation de gravité, IOC, éléments de preuve d’impact, analyse transfrontalière, approbations de la direction et communications |
| Réviseur de risques liés aux TIC DORA | Les incidents sont-ils enregistrés, classifiés, escaladés, notifiés, analysés jusqu’à la cause racine et réinjectés dans la gestion des risques liés aux TIC ? | Registre des incidents, critères de classification, reporting à l’organe de direction, analyse de la cause racine, validation de la remédiation et éléments de preuve fournisseurs |
| Évaluateur NIST CSF 2.0 | Les résultats de gouvernance, de risque, de fournisseur, de détection, de réponse et de rétablissement sont-ils intégrés dans un seul profil ? | Profils actuel et cible, plan de traitement des écarts, exigences fournisseurs, éléments de preuve de surveillance et enseignements tirés des incidents |
| Auditeur COBIT 2019 ou ISACA | Les objectifs de gouvernance, la responsabilité, la qualité de l’information, la surveillance des contrôles et les éléments de preuve d’assurance sont-ils fiables ? | RACI, propriété des contrôles, revue de direction, piste d’audit, suivi des points, clôture de remédiation et indicateurs de performance |
L’auditeur ISO s’intéressera à la conformité et aux éléments objectifs. Le réviseur GDPR s’intéressera à la nécessité, à la limitation des finalités et à la responsabilité démontrable. Le réviseur NIS2 s’intéressera aux faits relatifs à la notification des incidents significatifs et à la responsabilité de la direction. Le réviseur DORA s’intéressera à la gouvernance des risques liés aux TIC, à la gestion des incidents majeurs, aux dépendances vis-à-vis de tiers et aux enseignements tirés. L’auditeur COBIT 2019 ou de type ISACA s’intéressera à la gouvernance, à la conception des contrôles, au fonctionnement des contrôles et à l’assurance portant sur la qualité de l’information.
Un seul dossier probatoire peut servir à tous ces examens, s’il est conçu dans cet objectif.
Liste de contrôle pratique du gel juridique en cas de cyberincident pour 2026
Utilisez cette liste de contrôle avant le prochain incident grave, et non pendant celui-ci.
| Question de contrôle | Réponse attendue |
|---|---|
| Qui peut émettre un gel juridique en cas de cyberincident ? | La direction juridique et le DPO ou le responsable de la protection des données approuvent, avec déclenchement par le RSSI et le responsable de la gestion de l’incident |
| Qu’est-ce qui déclenche un gel ? | Suspicion d’incident de sécurité grave, violation de données à caractère personnel, possibilité de notification réglementaire, risque de contentieux, demande des autorités répressives compétentes, audit client ou différend contractuel |
| Quels éléments de preuve sont dans le périmètre ? | Journaux, alertes, images forensiques, instantanés, tickets, communications, analyse d’impact, enregistrements fournisseurs, décisions de direction et éléments de preuve de remédiation |
| Comment les éléments de preuve sont-ils protégés ? | Accès restreint, chiffrement, protection contre les altérations, hachage cryptographique lorsque cela est approprié, stockage immuable ou en lecture seule et accès surveillé |
| Comment la chaîne de conservation est-elle maintenue ? | Le registre des éléments de preuve consigne l’acquisition, le collecteur, l’heure, la méthode, le stockage, le transfert, l’accès et la disposition |
| Comment la minimisation GDPR est-elle traitée ? | Le périmètre est limité aux éléments de preuve nécessaires, l’accès aux données à caractère personnel est restreint, des dates de revue sont fixées et la suppression reprend après la levée |
| Comment les fournisseurs sont-ils inclus ? | Les contrats exigent la préservation des éléments de preuve, l’assistance en cas d’incident, la coopération en audit et la prolongation de conservation sur demande |
| Comment la levée est-elle gérée ? | Une revue autorisée détermine s’il faut poursuivre, restreindre ou lever le gel et reprendre l’élimination sécurisée |
Cette liste de contrôle devient plus efficace lorsqu’elle est intégrée au plan de traitement des risques du SMSI, aux exigences de sécurité des fournisseurs, aux procédures opérationnelles de réponse aux incidents, à l’architecture de journalisation et à la gouvernance de la protection des données.
De la panique post-violation à une résilience compatible avec les exigences d’audit
L’appel de 4 heures du matin restera toujours stressant. Il n’a pas à devenir chaotique.
Un processus mature de gel juridique en cas de cyberincident donne à chaque partie prenante une voie maîtrisée. Le juridique obtient une préservation défendable. La protection des données obtient minimisation et revue. Le RSSI obtient l’intégrité des éléments de preuve. Le DPO obtient la responsabilité. Le conseil d’administration obtient des faits fiables. Les réviseurs NIS2, DORA et GDPR obtiennent des éléments objectifs au lieu d’explications improvisées.
La méthodologie en 30 étapes de Clarysec ne traite pas le gel juridique comme une note juridique autonome. Elle le traite comme une capacité opérationnelle du SMSI.
Dans Zenith Blueprint, l’étape 6 construit la bibliothèque d’informations documentées, y compris les règles de conservation et de disposition. L’étape 19 renforce la journalisation et la synchronisation des horloges afin que les investigations puissent reconstruire les chronologies. L’étape 23 opérationnalise la collecte des éléments de preuve et la chaîne de conservation. L’étape 18 ajoute une discipline de gestion des supports lorsque les éléments de preuve se déplacent physiquement ou entre parties.
Dans Zenith Controls, Clarysec relie les contrôles ISO/IEC 27002:2022 sous-jacents afin que les clients voient comment la collecte des éléments de preuve dépend de la journalisation, de la surveillance, de la réponse aux incidents, de la protection des enregistrements, du contrôle d’accès, des sauvegardes, de la protection des données et des exigences légales.
Dans la bibliothèque de politiques Clarysec, les points d’ancrage pratiques du workflow sont déjà définis : Politique de conservation et d’élimination des données, Politique de conservation des données et d’élimination sécurisée - PME, Politique d’investigation forensique et de collecte des éléments de preuve, Politique d’investigation forensique et de collecte des éléments de preuve - PME, Politique de journalisation et de surveillance - PME, Politique de protection des données et de la vie privée - PME et Politique d’audit et de surveillance de la conformité.
Si votre plan de réponse aux incidents indique « préserver les éléments de preuve » mais ne définit pas l’autorité de gel juridique, le périmètre des éléments de preuve, la suspension de conservation, la chaîne de conservation, la préservation par les fournisseurs, la minimisation GDPR et les critères de levée, il n’est pas encore compatible avec les exigences d’audit.
Construisez le processus avant la violation. Clarysec peut vous aider à créer une capacité défendable de gel juridique et de conservation des éléments de preuve en cas de cyberincident en utilisant Zenith Blueprint : feuille de route en 30 étapes pour auditeurs, Zenith Controls : guide de correspondance de conformité et les modèles de politiques Clarysec, notamment la Politique de conservation et d’élimination des données, la Politique d’investigation forensique et de collecte des éléments de preuve, la Politique d’audit et de surveillance de la conformité, la Politique de journalisation et de surveillance - PME, la Politique de protection des données et de la vie privée - PME et la Politique d’investigation forensique et de collecte des éléments de preuve - PME.
Téléchargez les toolkits, demandez une revue de politique Clarysec ou réservez une évaluation de préparation à la conservation des éléments de preuve avant votre prochain audit, votre prochaine demande d’autorité de contrôle ou votre prochaine revue de sécurité client majeure.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
