Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) s’est joint à l’Australian Cyber Security Centre (ACSC) de l’Australian Signals Directorate (ASD) et aux partenaires internationaux suivants pour publier des conseils en matière de cybersécurité sur les pratiques exemples pour la journalisation d’événements et la détection de menaces :
- la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI) et la National Security Agency (NSA) des États-Unis;
- le National Cyber Security Centre (NCSC-NZ) et la Computer Emergency Response Team (CERT-NZ) de la Nouvelle-Zélande;
- le National Center of Incident Readiness and Strategy for Cybersecurity (NISC) et le JPCERT/CC du Japon;
- le Republic of Korea National Intelligence Service (NIS) et le National Cyber Security Center du NIS (NCSC) de la Corée;
- le Singapore Cyber Security Agency (CSA).
- le General Intelligence and Security Service (AIVD) et le Military Intelligence and Security Service (MIVD) des Pays-Bas.
Ces conseils conjoints expliquent en détail les pratiques exemplaires à suivre pour la journalisation d’événements et la détection de menaces en lien aux services infonuagiques, aux réseaux d’entreprise, à la mobilité d’entreprise et aux réseaux de technologie opérationnelle (TO). Ces conseils présentent un niveau de complexité technique modéré et supposent une compréhension de base de la journalisation d’événements.
La journalisation des événements permet d’assurer une visibilité du réseau, de soutenir la livraison continue de systèmes essentiels et de renforcer la sécurité et la résilience des systèmes. Quatre facteurs principaux dont il faut tenir compte pour appliquer des pratiques exemples en matière de journalisation sont examinés dans les conseils formulés, soit :
- les politiques de journalisation approuvées pour l’entreprise;
- la collecte et la corrélation centralisées de journaux;
- l’entreposage sécurisé et l’intégrité des journaux;
- les stratégies de détection pour les menaces pertinentes.
Ces conseils ont été élaborés à l’intention des hautes et hauts décisionnaires des technologies de l’information (TI), des exploitantes et exploitants de TO , des administratrices et administrateurs réseau, des opératrices et opérateurs de réseau ainsi que des fournisseurs des infrastructures essentielles au sein de moyennes et de grandes entreprises.
Veuillez prendre connaissance du bulletin conjoint ci-annexé : Best practices for Event Logging and Threat Detection (en anglais seulement)