Mission 2 — Lister ce qui doit être journalisé (logs)
Objectif : Etablir quoi logger sur routeurs/switchs pour la supervision/sécurité.
1. Connexions administrateur
À journaliser :
- Connexions SSH / Telnet / Console réussies
- Tentatives de connexion échouées
- Entrée / sortie du mode enable
- Escalade de privilèges
- Identifiant, IP source, date / heure
Justification CNIL/RGPD : traçabilité des accès, enregistrement des actions d’administration
2. Changements d’état des interfaces
À journaliser :
- Interface up/down
- Changement speed/duplex
- Déconnexion / reconnexion
- Erreurs physiques : CRC, collisions, input/output errors
Justification : détection d’incident matériel ou intrusion réseau
3. Violations de sécurité L2
À journaliser :
- Port‑Security : MAC inconnue, port en err‑disabled
- DHCP Snooping : serveur DHCP non autorisé
- Dynamic ARP Inspection (DAI) : ARP spoofing / MITM détecté
- IP Source Guard : mismatch IP/MAC
Justification : détection d’accès non autorisé et attaques L2 ciblant des données personnelles
4. VLAN / trunk / Spanning‑Tree
À journaliser :
- VLAN créés / supprimés / modifiés
- Changements d’affectation de port
- Perte d’un trunk 802.1Q
- Spanning‑Tree : changement de root, TCN, blocage de port
Justification : actions administratives affectant le transport des données ➝ traçabilité obligatoire
5. Reboot, crash, anomalies système
À journaliser :
- Reboot planifié / manuel
- Crash system / stack trace
- Panic IOS / firmware
- Événements SNMP critiques
Justification : analyse d’incident et sécurité du système d’information
6. Alertes matérielles (température, ventilateurs, alimentation)
À journaliser :
- Température anormale
- Ventilateur défectueux
- Panne alimentation / changement d’état PSU
Justification : mesure technique indispensable à la sécurité (art. 32 RGPD)
7. Violations ACL / tentatives d’accès refusées
À journaliser :
- Paquets bloqués par ACL
- Accès réseau refusé
- Tentatives d’accès à ressources interdites
Justification : traçabilité des tentatives d’accès non autorisées (CNIL)
8. Modifications de configuration
À journaliser :
- copy run start / write
- Modification des ACL
- Modification des routes
- Création / suppression d’interfaces
- Changement de paramètres NTP, SNMP, VLAN
Justification CNIL : journalisation obligatoire des actions création, modification, suppression de configuration
9. Événements système critiques
À journaliser :
- CPU élevé
- Mémoire saturée
- Bug matériel
Justification : détection automatique des incidents via outils de supervision (CNIL)
10. Journaux NTP (indispensable pour traçabilité)
À journaliser :
- Synchronisation NTP OK / KO
- Perte de synchronisation
- Modification de serveur NTP
Justification : horodatage fiable, nécessaire à la valeur probante des logs (CNIL)
11. SNMP / Supervision
À journaliser :
- Traps SNMP critiques
- Changements de configuration SNMPv3 (auth/priv)
- MIB système / sécurité
Justification CNIL : analyse automatique obligatoire pour détection rapide d’incidents
Sources a utiliser :
https://www.cnil.fr/fr/la-cnil-publie-une-recommandation-relative-aux-mesures-de-journalisation
https://donnees.net/gestion-logs-rgpd
No Comments