Journalisation et logs sécurité : guide ANSSI 2026

En une phrase. La journalisation des événements de sécurité est une exigence transverse : ANSSI PA-022 « Recommandations de sécurité pour la journalisation » (décembre 2022), article 32 RGPD, article 21 NIS 2, ISO 27001 A.8.15. Sans logs centralisés, datés, intègres et conservés 6 à 12 mois, aucune investigation post-incident n’est possible et l’organisation s’expose à des sanctions (jusqu’à 10 M€ ou 2 % du CA mondial pour entités essentielles NIS 2).

La CNIL recommande 6 mois minimum de rétention des logs d’accès aux données personnelles (délibération de référence CNIL 2021). L’ANSSI recommande 12 mois minimum pour les logs de sécurité dans le guide PA-022. NIS 2 (art. 21 §2g) impose la « détection et la gestion des incidents » qui inclut implicitement une journalisation.

Pour approfondir : PSSI ANSSI, cartographie SI, PCA ANSSI.

Points clés

• L’ANSSI publie le guide PA-022 v2.0 (décembre 2022) comme référence pour la journalisation.
• La CNIL exige une rétention minimale de 6 mois, l’ANSSI 12 mois pour les logs sécurité.
• Les logs doivent être horodatés (NTP sécurisé), intègres (signature ou WORM) et centralisés.
• Un SIEM est de fait obligatoire pour les entités essentielles NIS 2.
• L’accès aux logs est soumis au RGPD (les logs contiennent des données personnelles).

1. Cadre juridique de la journalisation

Texte	Article	Exigence
RGPD	Art. 32	Mesures appropriées (sous-entendu : traçabilité)
NIS 2	Art. 21 §2(g)	Détection, gestion des incidents
DORA	Art. 10-12	Détection, journalisation, traçabilité
LPM	Art. L1332-6-1	OIV : qualification produit de détection
Code monétaire	Art. L561-2	Lutte anti-blanchiment, traçabilité 5 ans

2. Référentiel ANSSI : PA-022 v2.0

Le guide « Recommandations de sécurité pour la journalisation des systèmes Microsoft Windows en environnement Active Directory » couvre :

• Politiques d’audit (audit avancé Windows)
• Événements critiques à journaliser (EID list)
• Centralisation (collecteurs WEF, agents)
• Conservation et intégrité

L’ANSSI publie également PA-014 « Recommandations sur la journalisation des systèmes Linux » (2014, toujours référente).

3. Événements à journaliser : la liste minimale

L’ANSSI distingue 6 familles :

1. Authentification : succès, échec, déverrouillage, changement mot de passe
2. Autorisation : accès refusé, élévation de privilèges, sudo
3. Administration : création/suppression compte, modification droits, GPO
4. Configuration système : modification de politique, désactivation antivirus
5. Réseau : flux refusés (firewall), connexions VPN, requêtes DNS suspectes
6. Application : accès aux données sensibles, exports massifs, requêtes SQL anormales

Pour Active Directory, l’ANSSI fournit la liste des Event IDs prioritaires : 4624, 4625, 4634, 4648, 4672, 4720, 4724, 4732, 4768, 4769, 4776, 5136, 5137, 5141.

4. Centralisation : SIEM et collecteurs

Trois architectures :

Architecture	Pour	Coût
Syslog centralisé (rsyslog, syslog-ng)	PME, < 500 postes	Faible
SIEM open source (Wazuh, Elastic Security, Graylog)	ETI, 500-5000 postes	Moyen
SIEM commercial (Splunk, QRadar, Sentinel)	Grands comptes, OIV/OSE	Élevé

L’ANSSI qualifie certains produits Détection au sens LPM : Gatewatcher Trackwatch, Sekoia.io XDR, Thales Cybels Sensor.

5. Horodatage : NTP authentifié

Sans horodatage fiable, les logs sont inexploitables. Recommandations ANSSI :

• NTPv4 avec authentification (clés symétriques ou NTS depuis 2020)
• Serveurs internes synchronisés sur PTP ou GPS (stratum 1)
• Pas de NTP public direct pour les systèmes critiques (risque MITM)

L’ANSSI recommande l’utilisation de NTS (Network Time Security) depuis RFC 8915 (2020).

6. Intégrité des logs

Pour qu’un log soit opposable en justice, son intégrité doit être garantie :

• Signature cryptographique des fichiers journaux (rotation + sceau)
• Stockage WORM (Write Once Read Many) : LTO-9, AWS S3 Object Lock
• Hachage chaîné (style blockchain interne) à chaque rotation
• Séparation des rôles : l’admin du système journalisé n’a pas accès aux logs

C’est crucial en cas d’attaque interne (insider threat).

7. Rétention : combien de temps conserver ?

Type de log	Durée CNIL	Durée ANSSI	Durée NIS 2
Authentification	6 mois	12 mois	12 mois minimum
Accès données personnelles	6 mois	12 mois	n/a
Firewall / proxy	1 an	1 an	1 an
AD / privilèges	1 an	3 ans	3 ans
Forensics (sur incident)	Indéfini	Jusqu’à clôture	Jusqu’à clôture

La CNIL a toléré jusqu’à 5 ans pour les logs LCB-FT (lutte anti-blanchiment).

8. Logs et RGPD : protéger ce que vous collectez

Les logs contiennent des données personnelles (login, IP, horodatage). À ce titre :

• Mention dans le registre des traitements (RGPD art. 30)
• Information des utilisateurs (charte informatique, RH)
• Accès restreint (RSSI, SOC, audit)
• Durée de conservation justifiée dans la politique
• Sécurité renforcée (chiffrement, WORM)

La CNIL a sanctionné Spartoo (2020) — 250 000 € pour journalisation excessive des conversations call-center.

9. SOC : organisation humaine

Un SIEM sans équipe est inutile. L’ANSSI recommande pour un SOC opérationnel :

• 24/7 pour OIV, banques, hôpitaux universitaires
• 8/5 acceptable pour ETI non régulées
• Astreinte SOC pour le reste
• Effectif minimum : 4 ETP pour un 8/5, 12 ETP pour un 24/7

Qualification ANSSI PRIS (Prestataires de Réponse aux Incidents de Sécurité) pour externalisation : 8 prestataires qualifiés en 2024.

10. Détection : règles SIEM essentielles

Top 10 des règles à implémenter en priorité :

1. Multiples échecs d’authentification (brute force)
2. Connexion depuis pays inhabituel (geo-velocity)
3. Élévation de privilèges
4. Création de compte admin
5. Désactivation antivirus / EDR
6. Exfiltration volumineuse (> 1 GB sortants)
7. Requête DNS vers domaine malveillant (threat intel)
8. Connexion VPN hors horaire
9. PowerShell encodé / obfusqué
10. Accès massif aux fichiers (signature ransomware)

11. Sanctions et jurisprudence

• CNIL 2020 — Spartoo : 250 000 € — journalisation excessive
• CNIL 2021 — Brico Privé : 500 000 € — défaut de journalisation des accès admin
• CNIL 2023 — Cityscoot : 100 000 € — logs sans rétention claire
• NIS 2 (régime français) : jusqu’à 10 M€ ou 2 % du CA mondial pour entités essentielles

12. Erreurs fréquentes en audit

• Logs locaux uniquement (effacés par l’attaquant)
• Horloges désynchronisées (corrélation impossible)
• Rétention < 6 mois
• Aucun cas d’usage SIEM documenté
• Logs verbeux non filtrés (bruit > signal)
• Pas de revue mensuelle des alertes

FAQ

Quelle durée minimale de conservation des logs ?

La CNIL recommande 6 mois minimum, l’ANSSI 12 mois pour les logs de sécurité. Pour les comptes à privilèges (AD), 3 ans. Pour LCB-FT, 5 ans. Au-delà, justification spécifique nécessaire (art. 5 §1e RGPD : limitation de la conservation).

Un SIEM est-il obligatoire ?

Aucun texte ne nomme explicitement « SIEM », mais NIS 2 (art. 21) impose détection et gestion d’incidents. De fait, sans SIEM ni équivalent (XDR, MDR managé), une entité essentielle ne peut prouver sa conformité. Coût d’entrée Wazuh open source : 0 € + 1 ETP.

Les logs doivent-ils être chiffrés ?

Au transit : oui, TLS obligatoire pour les flux syslog/SIEM. Au repos : recommandé si les logs contiennent des données sensibles. Surtout, l’intégrité prime sur la confidentialité — WORM ou signature cryptographique.

Que journaliser pour Active Directory ?

L’ANSSI PA-022 liste les Event IDs prioritaires : 4624 (logon), 4625 (échec logon), 4672 (privilèges spéciaux), 4720 (création compte), 4732 (ajout groupe), 4768/4769 (Kerberos), 5136 (modification objet AD). Activer l’audit avancé Windows, pas l’audit de base.

Comment garantir l’intégrité des logs face à un attaquant ?

Trois mesures : (1) centralisation immédiate vers un collecteur isolé (l’attaquant n’a pas accès), (2) stockage WORM ou Object Lock (impossible de modifier rétroactivement), (3) signature cryptographique ou hachage chaîné. Combinés, les logs deviennent opposables en justice.