⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
FR EN BG CS DA DE EL ES ET FI GA HR HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Preuves de journalisation ISO 27001 pour NIS2, DORA et GDPR

Igor Petreski
15 min read
#Journalisation et surveillance #Audit #SMSI #Réponse aux incidents #Protection des données #SOC #Gestion des fournisseurs
Cartographie des preuves de journalisation ISO 27001 pour les audits NIS2, DORA et GDPR

L’alerte est arrivée dans le canal SOC à 2 h 17 un mardi : plusieurs tentatives de connexion échouées pour l’utilisateur à privilèges admin depuis une nouvelle adresse IP. Les tentatives ont cessé après quelques minutes. Un analyste junior a pris note de l’alerte, a supposé qu’il s’agissait d’un script mal configuré ou d’un administrateur système travaillant tard, puis est passé à autre chose.

Deux jours plus tard, Maria, RSSI d’une entreprise fintech en forte croissance, était en réunion de direction lorsque son téléphone a vibré. L’équipe d’ingénierie avait constaté une utilisation anormalement élevée du processeur sur une instance de base de données de production. Un nouveau compte utilisateur non autorisé avait été créé. L’alerte de 2 h 17 n’était pas un faux positif. C’était le premier signe visible d’une tentative d’intrusion.

L’incident a été confiné, mais l’investigation a mis en évidence un problème plus large. Les journaux de pare-feu se trouvaient dans un système. Les journaux Kubernetes dans un autre. Les journaux d’audit de base de données étaient stockés séparément. Plusieurs horodatages présentaient un décalage de plusieurs minutes. L’équipe disposait de données, mais ne pouvait pas reconstituer rapidement une chronologie défendable de la détection, de la revue, de l’escalade, du confinement et de l’évaluation de la violation.

L’audit de surveillance ISO/IEC 27001:2022 de Maria s’était conclu avec succès, mais l’auditeur avait émis un avertissement : l’organisation disposait de contrôles de journalisation et de surveillance, mais aurait des difficultés à produire en temps utile des preuves corrélées pour les décisions de notification NIS2, DORA et GDPR.

C’est la réalité de nombreuses organisations en 2026. Elles n’ont pas un problème de journalisation. Elles ont un problème de preuves.

Un SIEM, une plateforme EDR, une piste d’audit cloud ou un journal de pare-feu ne constitue pas, à lui seul, une preuve prête pour l’audit. Une preuve ne devient défendable que si elle est encadrée par une politique, protégée contre l’altération, revue selon une périodicité définie, reliée aux décisions de gestion des incidents et conservée suffisamment longtemps pour reconstituer les événements.

Pour ISO/IEC 27001:2022, NIS2, DORA et GDPR, la question clé n’est plus : « Collectons-nous des journaux ? » Elle est désormais : « Pouvons-nous prouver ce qui s’est passé, qui l’a revu, comment cela a été classifié, si une notification était requise et si la direction exerçait une supervision ? »

Pourquoi la journalisation et la surveillance sont devenues un enjeu de preuves de conformité

NIS2, DORA et GDPR ont modifié la portée métier des journaux de sécurité.

Au titre de NIS2, les entités essentielles et importantes doivent mettre en œuvre des mesures de gestion des risques de cybersécurité appropriées et proportionnées. Article 21 inclut la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement, le développement sécurisé, l’évaluation de l’efficacité, l’hygiène cyber, la cryptographie, la sécurité des ressources humaines, le contrôle d’accès, la gestion des actifs, MFA et les communications sécurisées. Article 23 crée un modèle de notification par étapes, comprenant une alerte précoce dans les 24 heures, une notification d’incident dans les 72 heures, des mises à jour intermédiaires le cas échéant et un rapport final au plus tard un mois après la notification de l’incident.

Ce modèle dépend de la journalisation et de la surveillance. Il est impossible d’envoyer une alerte précoce crédible si l’organisation ne peut pas démontrer quand l’événement a été détecté. Il est impossible de classifier un incident significatif si l’organisation ne peut pas reconstituer les systèmes affectés, l’activité des utilisateurs, l’impact sur les services et les actions de confinement.

DORA exerce une pression similaire sur les entités financières. Articles 5 à 14 définissent les attentes de gouvernance et de gestion des risques liés aux TIC, y compris la responsabilité de l’organe de direction, l’identification des actifs TIC, la protection et la prévention, la détection, la réponse et le rétablissement, la sauvegarde, la restauration, l’apprentissage et la communication. Articles 17 à 23 imposent un processus de gestion des incidents liés aux TIC couvrant la détection, l’enregistrement, la classification, l’escalade, la notification et le suivi. Articles 24 à 27 portent sur les tests de résilience opérationnelle numérique. Articles 28 à 31 créent des obligations de gestion des risques liés aux prestataires tiers TIC.

GDPR ajoute la couche de responsabilité en matière de protection de la vie privée. Article 32 exige une sécurité appropriée du traitement. Article 33 impose la notification d’une violation de données à caractère personnel à l’autorité de contrôle sans retard indu et, lorsque cela est possible, au plus tard 72 heures après en avoir pris connaissance, sauf si la violation n’est pas susceptible d’engendrer un risque pour les personnes. Article 34 peut exiger une communication aux personnes concernées lorsque le risque est élevé. Les journaux aident à déterminer si des données à caractère personnel ont été consultées, modifiées, exfiltrées ou exposées, mais ils peuvent eux-mêmes contenir des données à caractère personnel et doivent donc être gouvernés en conséquence.

ISO/IEC 27001:2022 fournit l’ossature du système de management. Clauses 4.1 à 4.4 exigent que l’organisation comprenne son contexte, les parties intéressées, les exigences et le périmètre du SMSI. Clauses 5.1 à 5.3 exigent le leadership, l’alignement de la politique, ainsi que la définition des rôles, responsabilités et autorités. Clauses 6.1.1 à 6.1.3 exigent un processus reproductible d’appréciation et de traitement des risques, comprenant les critères de risque, les propriétaires de risques, les options de traitement, la comparaison avec les contrôles de l’Annexe A, la Déclaration d’applicabilité et l’acceptation du risque résiduel. Clause 6.2 exige des objectifs mesurables de sécurité de l’information.

C’est pourquoi les preuves de journalisation et de surveillance ne peuvent pas rester uniquement dans le SOC. Elles appartiennent au SMSI, au registre des risques, à la Déclaration d’applicabilité, au processus de réponse aux incidents, au processus d’analyse des violations de données, à la gouvernance des fournisseurs et aux rapports à la direction.

Les contrôles de journalisation ISO 27001 que les auditeurs relient en premier

Dans Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, la phase Controls in Action, Step 19: Technological Controls I, traite la journalisation, la surveillance et la synchronisation des horloges comme une chaîne unique de preuves.

A.8.15 – Journalisation : « Les journaux qui enregistrent les activités, exceptions, défaillances et autres événements pertinents
doivent être produits, stockés, protégés et analysés. »

A.8.16 – Activités de surveillance : « Les réseaux, systèmes et applications doivent être surveillés afin de détecter les
comportements anormaux, et des actions appropriées doivent être prises pour évaluer les incidents potentiels de sécurité de
l’information. »

A.8.17 – Synchronisation des horloges : « Les horloges des systèmes de traitement de l’information utilisés par
l’organisation doivent être synchronisées avec des sources de temps approuvées. »

Ces contrôles répondent à trois questions d’audit :

Contrôle ISO/IEC 27001:2022Question d’auditThème de preuve
Annexe A.8.15 JournalisationQue s’est-il passé ?Génération, stockage, protection, conservation et analyse des journaux
Annexe A.8.16 Activités de surveillanceQui l’a remarqué et a agi ?Alertes, revue, triage, escalade et réponse
Annexe A.8.17 Synchronisation des horlogesPeut-on faire confiance à la chronologie ?Sources de temps approuvées, configuration NTP et corrélation des horodatages

Zenith Controls: The Cross-Compliance Guide Zenith Controls rend cette relation explicite :

« La journalisation constitue la couche de données fondamentale de la surveillance. La mesure 8.16 dépend des journaux générés au titre de la mesure 8.15 pour analyser les événements de sécurité, détecter les anomalies et identifier les violations potentielles. Sans journalisation exhaustive, les systèmes de surveillance sont inefficaces. »

Zenith Controls classe la mesure ISO/IEC 27002:2022 8.15, Journalisation, comme un contrôle de détection soutenant la confidentialité, l’intégrité et la disponibilité. Elle est associée au concept de cybersécurité Detect et à la gestion des événements de sécurité de l’information. Elle relie également la Journalisation aux Activités de surveillance, à l’Évaluation et décision relatives aux événements de sécurité de l’information, et à la Synchronisation des horloges.

Pour la mesure 8.16, Activités de surveillance, Zenith Controls la classe comme détective et corrective, associée à Detect et Respond. Elle relie la surveillance à la surveillance des services fournisseurs et à l’évaluation des événements, ce qui est essentiel pour les environnements cloud, SaaS, services managés et externalisés.

Le message pratique est simple. Les journaux fournissent les faits. La surveillance identifie les anomalies. La synchronisation des horloges rend les faits fiables entre systèmes. L’évaluation des événements transforme les alertes en décisions.

À quoi ressemblent réellement des preuves de journalisation prêtes pour l’audit

Des preuves prêtes pour l’audit ne sont pas un dossier de captures d’écran. Il s’agit d’une piste cohérente qui démontre la conception du contrôle, son fonctionnement et la prise de décision.

Un dossier mature de preuves de journalisation et de surveillance contient généralement les éléments suivants :

PreuveCe qu’elle démontreSource type
Politique de journalisation et de surveillanceExigences approuvées par la direction en matière de journalisation, de revue, de conservation, de protection et d’escaladeBibliothèque de politiques Clarysec, corpus de politiques du SMSI
Inventaire de journalisation des systèmesQuels systèmes produisent quels journaux et qui en est propriétaireCMDB, registre des actifs, outil de suivi d’intégration SIEM
Configuration du SIEM ou de l’agrégateur de journauxCollecte centralisée, parsing, corrélation et alertesTableau de bord SIEM, configuration syslog, paramètres d’audit cloud
Preuve de conservationLes journaux sont conservés pendant les durées prévues par la politique, la loi et les contratsPolitique de stockage, paramètres de conservation du SIEM, paramètres d’archivage
Preuve d’intégritéLes journaux sont protégés contre toute modification ou suppression non autoriséeRBAC, protection en écriture, chiffrement, vérification par hachage
Enregistrements de revueLes journaux et alertes sont revus selon une périodicité définieRapport SOC quotidien, liste de contrôle de revue, file de tickets
Enregistrements d’escaladeLes alertes prioritaires sont escaladées dans les délais définisTicket d’incident, courriel, journal d’astreinte, horodatage du processus
Articulation avec les incidentsLes alertes sont évaluées et converties en incidents lorsque les seuils sont atteintsRegistre des incidents, enregistrement de classification, analyse de la cause racine
Preuve de synchronisation temporelleLes horloges système sont alignées sur des sources de temps approuvéesConfiguration NTP, politique des terminaux, configuration de référence des serveurs
Rapports à la directionLa direction reçoit des indicateurs et des résultats de surveillance pertinents au regard des risquesRapport SMSI, dossier du comité des risques, tableau de bord du conseil d’administration

La Politique de journalisation et de surveillance Enterprise de Clarysec Politique de journalisation et de surveillance l’encadre directement :

« Cette politique est essentielle pour soutenir ISO/IEC 27001 Clause 8.1 et les contrôles de l’Annexe A 8.15 (Journalisation), 8.16 (Surveillance) et 8.17 (Synchronisation des horloges), et elle est directement cartographiée avec les obligations réglementaires au titre de GDPR, NIS2, DORA et COBIT 2019. »

Extrait de la section « Objet », clause de politique 1.3.

La même politique définit l’attente opérationnelle :

« Établir des systèmes centralisés de journalisation et d’alerte (par exemple, SIEM) afin d’agréger, de corréler et d’escalader les activités suspectes quasiment en temps réel. »

Extrait de la section « Objectifs », clause de politique 3.4.

Pour les organisations plus petites, la Politique de journalisation et de surveillance - PME de Clarysec Politique de journalisation et de surveillance - PME traduit le même principe en exigences proportionnées :

« Le prestataire de support informatique doit définir et suivre un calendrier régulier de revue des journaux : »

Extrait de la section « Exigences de gouvernance », clause de politique 5.1.1.

Elle définit également la conservation et la protection :

« Les journaux doivent être conservés pendant au moins 12 mois, sauf si une période de conservation plus longue est requise par la loi ou un contrat, ou justifiée dans le cadre d’un incident actif ou d’un litige. »

Extrait de la section « Exigences de gouvernance », clause de politique 5.2.1.

« Les journaux doivent être stockés dans des emplacements protégés en écriture, et leur accès doit être limité au seul personnel autorisé. »

Extrait de la section « Exigences de gouvernance », clause de politique 5.3.1.

Pour NIS2 et DORA, un référentiel minimal de preuves sur 12 mois peut faire la différence entre une reconstitution crédible et une investigation défaillante. Pour GDPR, il soutient la responsabilité tout en imposant la minimisation, le contrôle d’accès et la discipline de conservation.

Le chaînon manquant : évaluation des événements et seuils de notification

De nombreuses organisations collectent des journaux et déclenchent des alertes sur les anomalies, mais échouent au point de décision.

L’alerte n’était-elle qu’un événement de sécurité, ou est-elle devenue un incident de sécurité de l’information ? Était-elle significative au titre de NIS2 ? Était-elle un incident majeur lié aux TIC au titre de DORA ? Des données à caractère personnel étaient-elles concernées ? Une analyse de notification de violation GDPR est-elle requise ?

Ce point de décision correspond à la mesure ISO/IEC 27002:2022 5.25, Évaluation et décision relatives aux événements de sécurité de l’information. Zenith Controls décrit 5.25 comme la fonction de triage entre les alertes brutes issues de la surveillance et la gestion formelle des incidents. Elle relie 5.25 à la planification de la gestion des incidents, aux activités de surveillance, à la réponse aux incidents de sécurité de l’information et à la journalisation. Elle cartographie également 5.25 avec GDPR Articles 33 et 34 pour la notification des violations et l’évaluation des risques, avec la notification et les critères de classification des incidents NIS2, ainsi qu’avec la classification des incidents majeurs liés aux TIC au titre de DORA.

La Politique de réponse aux incidents de Clarysec Politique de réponse aux incidents soutient ce point d’escalade :

« Si un incident entraîne une exposition confirmée ou probable de données à caractère personnel ou d’autres données réglementées, le service juridique et le DPO doivent évaluer l’applicabilité de : »

Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.4.1.

Pour les PME, la Politique de réponse aux incidents - PME Politique de réponse aux incidents - PME définit l’exigence technique relative aux preuves :

« Les systèmes de journalisation doivent être configurés pour capturer un niveau de détail suffisant afin de soutenir l’investigation. »

Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.4.1.

C’est ici que GDPR Article 33 devient opérationnel. La question n’est pas seulement de savoir si des données à caractère personnel ont été consultées. Elle est de savoir si les journaux, les alertes de surveillance et les enregistrements d’incident permettent au DPO de réaliser une évaluation de violation rapide et défendable.

NIS2 Article 23 et DORA Articles 17 à 23 créent une pression similaire. Les délais de notification dépendent de la prise de connaissance, de la classification et de l’évaluation de la matérialité. L’organisation doit pouvoir prouver quand l’alerte a été générée, quand elle a été revue, qui l’a évaluée, quelle décision a été prise et quand l’escalade a eu lieu.

Un exercice de 60 minutes sur les preuves pour une investigation de connexion à privilèges

Une bonne manière de tester la capacité à produire des preuves consiste à répéter un scénario réel avant l’audit ou l’incident.

Scénario : un compte administrateur à privilèges se connecte depuis un pays inhabituel à 02:13 UTC. Cinq minutes plus tard, le compte tente d’accéder à une fonction d’export de données clients. L’accès conditionnel bloque la session et une alerte est générée.

Objectif : produire en 60 minutes un dossier de preuves démontrant la détection, la revue, l’escalade, l’évaluation et la clôture.

Étape 1 : Confirmer que l’événement existe dans les journaux

Utilisez la Politique de journalisation et de surveillance pour identifier les sources de journaux requises : journaux du fournisseur d’identité, journaux d’administration cloud, journaux applicatifs, journaux de bases de données, journaux des terminaux et journaux de pare-feu ou d’accès sécurisé.

Exportez l’enregistrement de l’événement avec l’horodatage, l’identifiant utilisateur, l’adresse IP source, l’appareil, l’action, le résultat et l’identifiant de corrélation. Si l’événement n’existe que dans une console et non dans le SIEM ou l’agrégateur de journaux, consignez-le comme une lacune de contrôle.

Zenith Blueprint Step 19 recommande de vérifier que les systèmes critiques transmettent leurs journaux au SIEM ou à l’agrégateur central de journaux, et de valider que la conservation est alignée sur la politique.

Étape 2 : Prouver que la surveillance l’a détecté

Présentez l’alerte SIEM, l’alerte EDR ou l’alerte de protection de l’identité. Incluez le nom de la règle, la gravité, l’horodatage, la condition déclenchée et le circuit de notification. Si l’organisation utilise une revue manuelle, présentez le rapport quotidien et la validation du réviseur.

La Politique de journalisation et de surveillance Enterprise en fait une responsabilité de rôle :

« Revoit les rapports quotidiens et veille à ce que les anomalies soient analysées, documentées et escaladées si nécessaire. »

Extrait de la section « Rôles et responsabilités », clause de politique 4.2.3.

Étape 3 : Prouver que l’escalade a eu lieu dans le délai prévu par la politique

Pour les PME, l’exigence d’escalade est explicite :

« Les alertes de haute priorité doivent être escaladées au directeur général et au Coordinateur Protection des données dans les 24 heures. »

Extrait de la section « Application et conformité », clause de politique 8.1.2.

Pour les équipes d’entreprise, les preuves peuvent comprendre un ticket d’incident, un enregistrement d’escalade Teams ou Slack, un journal d’astreinte, une notification par courriel, une note de passation SOC ou une entrée dans l’outil de gestion des dossiers.

Étape 4 : Classifier l’événement

Utilisez la logique d’évaluation des événements 5.25 de Zenith Controls. Capturez si l’alerte constitue un événement de sécurité, un incident de sécurité de l’information, une violation de données à caractère personnel, un incident significatif NIS2 ou un incident majeur lié aux TIC au titre de DORA.

La note de classification doit répondre aux questions suivantes :

  • L’authentification a-t-elle réussi ou a-t-elle été bloquée ?
  • Un accès à privilèges a-t-il été utilisé ?
  • Des données clients ont-elles été consultées, modifiées ou exfiltrées ?
  • Des services réglementés ont-ils été perturbés ?
  • Des actifs TIC critiques ont-ils été affectés ?
  • Des fournisseurs ou sous-traitants de traitement de données sont-ils impliqués ?
  • L’événement atteint-il les seuils internes de notification ?
  • Une notification au DPO, au service juridique, à l’autorité de régulation ou aux clients est-elle requise ?

Étape 5 : Construire une chronologie fiable

La synchronisation des horloges est souvent ignorée jusqu’à l’échec d’une investigation. Zenith Blueprint Step 19 indique que l’heure synchronisée est indispensable à la corrélation des événements, car les journaux de différents systèmes doivent s’aligner pendant l’analyse d’un incident.

Incluez des preuves de configuration NTP pour les plateformes d’identité, services cloud, serveurs, terminaux, bases de données, pare-feu et le SIEM. Normalisez les horodatages en UTC lorsque cela est possible.

Étape 6 : Clôturer ou escalader

Si l’événement est confiné et qu’aucune donnée n’a été consultée, documentez la clôture, le retour d’expérience et l’action préventive. S’il devient un incident, reliez-le à la réponse aux incidents, à la revue juridique et à tout processus de notification NIS2, DORA ou GDPR.

Enfin, protégez les preuves. La Politique d’audit et de surveillance de la conformité de Clarysec Politique d’audit et de surveillance de la conformité indique :

« Tous les journaux d’audit, constats et rapports de remédiation doivent être conservés, chiffrés et protégés contre l’altération. »

Extrait de la section « Application et conformité », clause de politique 8.5.1.

Cet exercice unique fournit des preuves pour Annexe A.8.15, A.8.16, A.8.17, la mesure ISO/IEC 27002:2022 5.25, la responsabilité en matière de violation au titre du GDPR, la gestion des incidents NIS2 et la classification des incidents TIC au titre de DORA.

Cartographie des preuves de conformité croisée pour ISO 27001, NIS2, DORA et GDPR

Les programmes de conformité les plus robustes ne construisent pas des ensembles de preuves séparés pour chaque référentiel. Ils construisent un système unique de preuves pouvant être examiné sous plusieurs angles d’audit.

Capacité de preuveISO/IEC 27001:2022 et ISO/IEC 27002:2022NIS2DORAGDPRPoint d’ancrage de mise en œuvre Clarysec
Périmètre et responsabilitéClauses 4, 5 et 6 alignent le périmètre, le leadership, les risques, les contrôles et les objectifsArticle 20 supervision par la direction et Article 21 mesures de gestion des risquesArticles 5 à 14 gestion des risques TIC et responsabilité de l’organe de directionArticle 5 responsabilité et Article 32 sécurité du traitementPhases Zenith Blueprint pour le cadrage, les risques et Controls in Action
Génération des journauxAnnexe A.8.15 et mesure ISO/IEC 27002:2022 8.15Soutient la gestion des incidents et la préservation des preuves au titre de Article 21Soutient l’enregistrement, la détection et l’analyse des événements TIC au titre des Articles 10 et 17Soutient la responsabilité et l’investigation des violationsPolitique de journalisation et de surveillance, outil de suivi d’intégration SIEM
Surveillance activeAnnexe A.8.16 et revue des événementsSoutient la gestion des incidents et la capacité de notification au titre de Article 23Soutient la détection, la réponse et la gestion des incidents au titre des Articles 10, 11 et 17Soutient la détection rapide des violations et l’évaluation au titre de Article 33Rapports SOC, règles d’alerte, périodicité de revue
Synchronisation temporelleAnnexe A.8.17Soutient des chronologies d’incident fiablesSoutient une reconstitution cohérente des incidents TICSoutient une chronologie de violation défendableConfiguration de référence sécurisée et preuves NTP
Évaluation des événementsMesure ISO/IEC 27002:2022 5.25 évaluation et décision relatives aux événementsClassification des incidents significatifsClassification des incidents majeurs liés aux TIC au titre des Articles 18 et 19Évaluation du risque de violation de données à caractère personnel au titre des Articles 33 et 34Politique de réponse aux incidents et feuille de classification
Journaux fournisseursContrôles fournisseurs incluant la mesure ISO/IEC 27002:2022 5.22 surveillance des services fournisseursArticle 21 sécurité de la chaîne d’approvisionnementArticles 28 à 31 risque lié aux prestataires tiers TICResponsabilité des sous-traitants de traitement et preuves de sécuritéRegistre des fournisseurs, clauses contractuelles, accès aux journaux cloud
Tests et retours d’expérienceÉvaluation de la performance et amélioration continueÉvaluation de l’efficacité et hygiène cyberArticles 24 à 27 tests de résilience opérationnelle numériqueResponsabilité et amélioration de la sécuritéExercices sur table, ajustement des alertes, audit interne

NIST Cybersecurity Framework 2.0 peut aider à l’opérationnaliser comme couche de communication. Ses six Functions, GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND et RECOVER, montrent que la journalisation et la surveillance se situent principalement dans DETECT et RESPOND, mais dépendent de la gouvernance, de la compréhension des actifs et des priorités de risque.

Les Profiles NIST CSF 2.0 peuvent également soutenir une feuille de route 2026. Un Current Profile peut montrer la couverture actuelle de la journalisation et la maturité des alertes. Un Target Profile peut définir la couverture requise pour les systèmes réglementés, les activités à privilèges, les plateformes fournisseurs et les environnements contenant des données à caractère personnel. L’écart entre les deux devient le plan de remédiation.

Journaux fournisseurs et cloud : la lacune de preuves de plus en plus testée par les auditeurs

Dans les audits modernes, les questions de journalisation les plus difficiles concernent souvent les plateformes externalisées.

Pouvez-vous accéder aux journaux d’authentification de votre fournisseur cloud ? Les actions d’administration SaaS sont-elles journalisées ? Les journaux d’audit de base de données sont-ils activés dans les services managés ? Votre MSSP conserve-t-il les alertes assez longtemps ? Les contrats exigent-ils une coopération en cas d’incident ? Les fournisseurs peuvent-ils fournir les journaux assez rapidement pour les délais de notification NIS2 ou DORA ? Les journaux des sous-traitants de traitement sont-ils disponibles pour l’évaluation d’une violation GDPR ?

Zenith Controls relie les Activités de surveillance, mesure 8.16, à la Surveillance des services fournisseurs, mesure 5.22. Il cartographie également la surveillance avec ISO/IEC 27005:2024 clause 10.5, qui met l’accent sur la surveillance et la revue des plans de traitement des risques et des contrôles, ainsi qu’avec ISO/IEC 27035-2:2023 clause 7.3, où les mécanismes de surveillance continue détectent les événements de sécurité de l’information et déclenchent la gestion des incidents.

DORA rend la journalisation fournisseurs particulièrement importante pour les entités financières, car la gestion des risques liés aux prestataires tiers TIC inclut les registres fournisseurs, les accords contractuels, le risque de sous-traitance, le risque de concentration et les stratégies de sortie. NIS2 Article 21 place la sécurité de la chaîne d’approvisionnement parmi les mesures de gestion des risques de cybersécurité. GDPR peut rendre les journaux fournisseurs déterminants lorsqu’un incident chez un sous-traitant de traitement peut devenir une violation de données à caractère personnel notifiable par le responsable du traitement.

Une clause pratique de journalisation fournisseur doit exiger :

  • Des journaux d’audit pertinents pour la sécurité couvrant l’authentification, les changements de privilèges, les actions d’administration, l’accès API, l’export de données et les changements de configuration.
  • Une conservation des journaux alignée sur la politique, les obligations réglementaires et le risque contractuel.
  • La synchronisation temporelle et la normalisation des fuseaux horaires.
  • La protection contre l’altération et l’accès restreint aux journaux.
  • La coopération en cas d’incident dans des délais définis.
  • La remise de preuves pour les audits, investigations et demandes des autorités de régulation.
  • Des déclencheurs de notification en cas d’accès suspect, de compromission de service ou d’exposition de données.
  • Des obligations de journalisation et d’escalade applicables aux sous-traitants ultérieurs, le cas échéant.

La journalisation fournisseur doit être traitée avant un incident, et non négociée pendant celui-ci.

Comment différents auditeurs testent le même contrôle de journalisation

Un bon dossier de preuves doit résister à différents regards professionnels. Un auditeur ISO, un évaluateur NIS2, un superviseur DORA, un réviseur GDPR et un auditeur orienté COBIT 2019 ou ISACA peuvent examiner le même tableau de bord SIEM, mais ils poseront des questions différentes.

Angle d’auditCe que l’auditeur teste réellementPreuves attendues
Audit de certification ISO/IEC 27001:2022Si la journalisation, la surveillance et la synchronisation temporelle sont sélectionnées, mises en œuvre, exploitées et revues dans le SMSIPérimètre, traitement des risques, Déclaration d’applicabilité, Politique de journalisation et de surveillance, configuration SIEM, enregistrements de revue, alertes échantillonnées, paramètres de conservation, preuves NTP
Revue des contrôles ISO/IEC 27002:2022Si les mesures 8.15, 8.16 et 8.17 sont effectivement mises en œuvreInventaire des sources de journaux, stockage protégé, règles d’alerte, rapports quotidiens, enregistrements d’escalade, captures d’écran de synchronisation des horloges
Revue de préparation NIS2Si la détection et la gestion des incidents soutiennent la notification des incidents significatifsCartographie des contrôles Article 21, processus de notification Article 23, critères de classification des incidents, horodatages d’escalade, preuves de supervision par la direction
Revue des risques TIC DORASi les incidents TIC sont détectés, enregistrés, classifiés, escaladés, notifiés et exploités pour l’apprentissageCadre de risques TIC, registre des incidents, classification des incidents majeurs, processus de notification, preuves de journaux fournisseurs, résultats des tests de résilience
Revue de responsabilité GDPRSi l’évaluation des violations de données à caractère personnel est rapide et défendableEnregistrement d’évaluation DPO, analyse d’impact sur les données à caractère personnel, journal de décision Article 33, journaux d’accès, journaux d’export de données, preuves des sous-traitants
Évaluation NIST CSF 2.0Si les résultats DETECT et RESPOND sont gouvernés, alignés sur les risques et mesurablesCurrent Profile, Target Profile, plan d’écarts, couverture de détection, métriques de réponse, rapports à la direction
Audit orienté COBIT 2019 ou ISACASi la surveillance est gouvernée comme un processus de management reproductible, mesuré et responsabiliséRACI, propriété des contrôles, KPI, KRI, respect de la politique, intégrité des preuves, suivi de remédiation, rapports à la direction

Zenith Blueprint Step 19 prépare les organisations à ces questions. Pour la Journalisation, les auditeurs vérifient si les événements de sécurité clés sont journalisés et si les journaux sont conservés, protégés et exploitables. Pour les Activités de surveillance, ils demandent comment les activités inhabituelles ou non autorisées sont détectées, évaluées et escaladées. Pour la Synchronisation des horloges, ils peuvent comparer les horodatages entre systèmes et signaler les défauts de synchronisation horaire.

Step 16: People Controls II, mesure 6.8, est également important, car les mécanismes de notification des incidents relient le signalement humain à la détection technique. GDPR Article 33, NIS2 Article 23 et les obligations de notification des incidents DORA dépendent tous d’une escalade interne rapide.

Constats d’audit courants et corrections pratiques

La plupart des constats relatifs à la journalisation et à la surveillance sont prévisibles. Le problème est que les organisations les découvrent souvent pendant l’audit plutôt que lors de tests internes.

Constat courantPourquoi c’est importantCorrection pratique Clarysec
Les systèmes critiques n’envoient pas leurs journaux au SIEMLa couverture de surveillance est incomplète et les chronologies d’incident ne sont pas fiablesUtiliser Zenith Blueprint Step 19 pour créer un inventaire des sources de journaux et un plan d’intégration SIEM
Les journaux sont conservés pendant des durées incohérentesLes investigations réglementaires et d’incident peuvent nécessiter des preuves plus anciennesAppliquer le référentiel minimal de conservation de la Politique de journalisation et de surveillance et documenter les exceptions
Absence de preuve de revue quotidienne ou régulièreLa journalisation existe, mais le fonctionnement de la surveillance n’est pas démontréUtiliser la validation des rapports quotidiens, la revue des tickets et les indicateurs de file SOC
Les alertes ne sont pas reliées aux tickets d’incidentL’escalade et la classification ne peuvent pas être prouvéesCartographier les alertes avec le triage de la mesure 5.25 et le processus de réponse aux incidents
Journaux fournisseurs indisponiblesLes incidents cloud ou externalisés ne peuvent pas être investigués correctementAjouter des exigences de journalisation fournisseur aux contrats et aux revues de surveillance des fournisseurs
Dérive temporelle entre systèmesLa corrélation des événements et la reconstitution forensique deviennent peu fiablesValider la configuration NTP et intégrer la synchronisation des horloges aux configurations de référence sécurisées
Trop de données à caractère personnel dans les journauxLes risques liés à la minimisation GDPR et au contrôle d’accès augmententRevoir le contenu des journaux, masquer les champs sensibles et restreindre l’accès aux journaux
La direction ne reçoit pas d’indicateursLes attentes NIS2, DORA et ISO relatives au leadership sont faiblement démontréesRapporter la couverture de détection, l’achèvement des revues, la rapidité d’escalade et les lacunes ouvertes

Pour les organisations disposant de ressources limitées, l’approche de politique PME est réaliste. Elle n’exige pas un SOC complet dès le premier jour. Elle exige des calendriers de revue définis, une conservation de 12 mois sauf nécessité de durée supérieure, un stockage protégé en écriture, un accès restreint et l’escalade des alertes de haute priorité. Cela crée un référentiel minimal défendable pendant que l’organisation gagne en maturité vers un SIEM centralisé, une corrélation automatisée et une détection managée.

Les indicateurs qui rendent la journalisation crédible pour la direction

Les conseils d’administration et les dirigeants n’ont pas besoin d’événements SIEM bruts. Ils ont besoin d’une assurance pertinente au regard des risques. Comme NIS2 Article 20 et les exigences de gouvernance DORA placent la responsabilité sur les organes de direction, les indicateurs de journalisation et de surveillance doivent figurer dans les rapports de gouvernance de la sécurité.

Les indicateurs utiles incluent :

  • Le pourcentage d’actifs critiques transmettant leurs journaux au SIEM ou à l’agrégateur de journaux.
  • Le pourcentage d’événements d’accès à privilèges couverts par les alertes.
  • Le nombre d’alertes de haute priorité revues dans le SLA.
  • Le délai moyen entre la génération de l’alerte et la revue par l’analyste.
  • Le délai moyen entre la détection et l’escalade.
  • Le nombre d’événements classifiés dans le processus de réponse aux incidents.
  • Le nombre d’événements nécessitant une revue par le DPO ou le service juridique.
  • Le niveau de conformité de la conservation des journaux par catégorie de système.
  • Le nombre de plateformes fournisseurs avec accès contractuel aux journaux.
  • Le nombre de systèmes échouant aux contrôles de synchronisation des horloges.
  • Les actions de remédiation ouvertes en matière de journalisation et de surveillance, par niveau de risque.

Ces indicateurs soutiennent ISO/IEC 27001:2022 clause 6.2 pour les objectifs mesurables de sécurité de l’information. Ils renforcent également la supervision par la direction au titre de NIS2 et DORA, ainsi que la responsabilité GDPR.

Construire votre dossier de preuves de journalisation et de surveillance 2026

Un solide dossier de preuves 2026 doit être constitué avant l’audit ou l’incident. Clarysec recommande généralement un dossier structuré ou un objet de preuves GRC comprenant les sections suivantes :

  1. Gouvernance et périmètre : périmètre du SMSI, parties intéressées, applicabilité réglementaire, approbation de la direction et attribution des rôles.
  2. Politique : Politique de journalisation et de surveillance, Politique de réponse aux incidents, Politique d’audit et de surveillance de la conformité, exigences de conservation et exigences d’escalade.
  3. Risque et SoA : appréciation des risques, plan de traitement des risques, justification de la Déclaration d’applicabilité pour A.8.15, A.8.16, A.8.17 et les contrôles associés.
  4. Architecture : schéma du SIEM ou de l’agrégateur de journaux, inventaire des sources de journaux, paramètres de journalisation cloud et dépendances de journaux fournisseurs.
  5. Fonctionnement des contrôles : enregistrements de revue, alertes, tickets, journaux d’escalade, preuves de clôture et exceptions.
  6. Articulation avec les incidents : feuille de classification des événements, registre des incidents, enregistrement d’évaluation DPO et journal des décisions de notification.
  7. Intégrité et conservation : contrôles d’accès, chiffrement, protection en écriture, paramètres d’archivage, contrôles de suppression et preuve de conservation.
  8. Synchronisation temporelle : configuration NTP, configuration de référence sécurisée, surveillance de la dérive d’horloge et approche de normalisation en UTC.
  9. Preuves fournisseurs : clauses contractuelles, rapports d’assurance fournisseurs, disponibilité des journaux d’audit cloud et procédures de coopération en cas d’incident.
  10. Amélioration : constats d’audit interne, outil de suivi de remédiation, résultats d’exercices sur table, enregistrements d’ajustement des alertes et rapports à la direction.

L’objectif n’est pas de submerger les auditeurs par le volume. Il est de prouver que la journalisation et la surveillance fonctionnent comme un processus maîtrisé, depuis la gouvernance jusqu’à la détection, l’évaluation, l’escalade, la notification et l’amélioration.

Transformer les journaux en preuves de conformité défendables

L’équipe de Maria n’a pas résolu son problème en achetant un autre tableau de bord. Elle l’a résolu en transformant la journalisation et la surveillance en moteur de preuves. Les politiques ont défini les exigences. Les règles SIEM et les journaux cloud ont fourni les signaux. Les processus d’incident ont capturé les décisions. La synchronisation des horloges a rendu la chronologie crédible. Les rapports à la direction ont rendu le risque visible.

C’est le niveau attendu des organisations pour ISO/IEC 27001:2022, NIS2, DORA et GDPR en 2026.

Commencez par un test pratique : prenez une alerte réelle des 30 derniers jours et démontrez, de bout en bout, comment elle a été journalisée, détectée, revue, escaladée, classifiée, conservée et notifiée.

Si la réponse n’est pas solide, Clarysec peut vous aider à combler l’écart.

Utilisez Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint pour mettre en œuvre Step 19 relatif à la journalisation, à la surveillance et à la synchronisation des horloges, ainsi que Step 16 relatif aux mécanismes de notification des incidents. Utilisez Zenith Controls: The Cross-Compliance Guide Zenith Controls pour cartographier Annexe A.8.15, A.8.16, A.8.17 et la mesure ISO/IEC 27002:2022 5.25 selon les perspectives NIS2, DORA, GDPR, NIST CSF 2.0 et COBIT 2019.

Opérationnalisez ensuite les exigences au moyen de la Politique de journalisation et de surveillance de Clarysec Politique de journalisation et de surveillance, de la Politique de journalisation et de surveillance - PME Politique de journalisation et de surveillance - PME, de la Politique de réponse aux incidents Politique de réponse aux incidents, de la Politique de réponse aux incidents - PME Politique de réponse aux incidents - PME et de la Politique d’audit et de surveillance de la conformité Politique d’audit et de surveillance de la conformité.

Les journaux ne sont pas des preuves tant qu’ils ne sont pas gouvernés, protégés, revus et reliés aux décisions. Les organisations capables de prouver cette chaîne réussiront leurs audits plus rapidement, répondront mieux aux incidents et donneront confiance à la direction lorsque la prochaine alerte de 2 h 17 arrivera.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

DLP en 2026 : ISO 27001 pour GDPR, NIS2 et DORA

DLP en 2026 : ISO 27001 pour GDPR, NIS2 et DORA

La prévention des pertes de données n’est plus une simple configuration d’outil autonome. En 2026, les RSSI ont besoin d’un programme DLP piloté par la politique de sécurité et étayé par des preuves, reliant la classification des données, le transfert sécurisé, la journalisation, la réponse aux incidents, la gouvernance des fournisseurs et les contrôles ISO/IEC 27001:2022 à GDPR Article 32, NIS2 et DORA.

Registres des contacts réglementaires NIS2 et DORA pour ISO 27001

Registres des contacts réglementaires NIS2 et DORA pour ISO 27001

Un registre des contacts réglementaires n’est plus une simple tâche administrative. Pour NIS2, DORA, GDPR et ISO/IEC 27001:2022, il constitue un élément probant opérationnel démontrant que votre organisation peut notifier la bonne autorité, le bon superviseur, le bon prestataire ou le bon dirigeant avant l’expiration du délai applicable.