Passer au contenu
ISMS.en ligne

A.8.15 Journalisation – Architecture des journaux MSP et exigences de conservation

Les fichiers journaux des fournisseurs de services gérés (MSP) peuvent sembler suffisants, jusqu'à ce qu'un audit ISO 27001 les mette à l'épreuve. Les auditeurs recherchent bien plus que de simples données ; ils exigent des preuves claires et fiables établissant un lien entre les actions et leurs résultats. La norme A.8.15 incite les MSP à concevoir une journalisation qui prouve l'intention, protège les clients et résiste à l'examen, jetant ainsi les bases de la confiance et de la résilience.

Auteur
Marc Sharron
Mise à jour: 1 décembre, 2025
4 / 5 Etoiles

Pourquoi la journalisation des fournisseurs de services gérés semble adéquate – jusqu'à un audit ISO 27001

La journalisation des incidents chez les fournisseurs de services gérés (MSP) semble souvent suffisante jusqu'à ce que la reconstitution d'un incident révèle que les journaux ne permettent pas d'en comprendre clairement les circonstances. Ce guide fournit des informations générales et non des conseils juridiques, mais il illustre comment les auditeurs, les enquêteurs et les assureurs utilisent les journaux pour évaluer vos services et votre mise en œuvre de la norme ISO 27001 A.8.15. Une journalisation rigoureuse transforme une journée chaotique en un dossier de preuves exploitable en cas de difficulté.

Seule une organisation sur cinq environ, interrogée en 2025 par ISMS.online, a déclaré avoir évité toute forme de perte de données au cours de l'année précédente.

Une bonne journalisation transforme les événements chaotiques en histoires que l'on peut revivre.

L'écart entre « nous avons des journaux de bord » et « nous avons des preuves »

Le fossé entre les journaux et les preuves apparaît lorsqu'il est impossible de transformer des événements bruts en une chronologie claire et vérifiable des incidents pour les auditeurs. Ces derniers s'intéressent moins à la capacité des outils à générer des journaux qu'à votre aptitude à prouver qui a fait quoi, quand, d'où et avec quel résultat, au sein de vos outils MSP et des environnements de vos clients.

Dans de nombreux fournisseurs de services gérés (MSP), ces questions engendrent une véritable course contre la montre entre les tableaux de bord RMM, les consoles de pare-feu, les portails de sécurité de messagerie, les centres d'administration cloud et les systèmes de gestion des tickets. Les horodatages ne correspondent pas car les appareils sont sur des fuseaux horaires différents ou leurs horloges ont dérivé. Les actions d'administration sont enfouies dans des journaux d'audit obscurs. Certaines modifications critiques ne sont consignées que dans des échanges par e-mail ou par chat. Pris individuellement, chaque outil semble fonctionner correctement ; mais ensemble, ils ne produisent pas le récit cohérent attendu par la norme ISO 27001, conformément à la section A.8.15.

Une autre pratique courante consiste à limiter l'accès aux journaux d'activité à un petit nombre d'ingénieurs seniors. Ces derniers peuvent souvent répondre aux questions de mémoire, mais cela ne saurait remplacer des preuves objectives et infalsifiables. Si l'un d'eux quittait l'entreprise demain, il serait extrêmement difficile de reconstituer le déroulement des événements à partir des seules données. Du point de vue d'un auditeur, cela laisse penser que votre organisation s'appuie sur des individus plutôt que sur un système de contrôle structuré.

Comment les auditeurs examinent réellement votre contrôle de journalisation

Les auditeurs partent de la déclaration de contrôle, et non de la liste des fonctionnalités de votre fournisseur SIEM. Ils s'intéressent à la manière dont la journalisation contribue à la détection, à l'investigation et à l'assurance qualité. Ils veulent s'assurer que les journaux d'activités, d'exceptions, de défauts et autres événements pertinents sont produits, stockés, protégés et analysés de façon planifiée et conforme à vos objectifs.

En pratique, ils examinent d'abord les intentions écrites : politiques, normes de journalisation et matrices de responsabilités précisant ce qui doit être consigné, où, par qui et pendant combien de temps. Ils comparent ensuite ces intentions avec le comportement actuel de votre environnement. Si votre documentation indique que toutes les actions privilégiées sur les systèmes clients sont consignées de manière centralisée pendant au moins un an, ils vérifieront cette affirmation sur un ou deux clients et un ou deux systèmes.

Là où vos documents et la réalité divergent, des non-conformités apparaissent. Si les paramètres par défaut des outils imposent une durée de conservation alors que vos contrats garantissent une traçabilité sur plusieurs années, les auditeurs relèveront cet écart. Si vous vous fiez à des captures d'écran ou à des tableurs parce que les journaux sont difficiles à interroger ou ont été supprimés, ils remettront en question l'efficacité de la norme A.8.15. C'est souvent à ce stade que les fournisseurs de services gérés (MSP) réalisent qu'ils ne disposent pas d'une architecture de journalisation cohérente ; ils ont simplement une multitude d'outils. La suite de ce guide vise à combler cet écart grâce à une conception explicable et des preuves vérifiables.

Demander demo


Que requiert réellement la norme ISO 27001:2022 A.8.15 Journalisation

La norme ISO 27001, paragraphe 8.15, exige que la journalisation soit conçue de manière à permettre la détection des incidents, leur investigation et la reconstitution des faits en fonction des risques et des services fournis. Les explications indépendantes de la révision de 2022, telles que les commentaires pratiques sur le paragraphe 8.15 rédigés par des spécialistes de l'ISO 27001, reprennent cette exigence en des termes très similaires, en insistant sur une journalisation favorisant la détection rapide, l'investigation et la reconstitution des preuves, adaptées au profil de risque et au périmètre des services de l'organisation. Ceci est particulièrement important pour les fournisseurs de services gérés (MSP) qui utilisent des outils partagés et gèrent des responsabilités multi-locataires.

Pour un fournisseur de services gérés (MSP), cette conception doit englober vos systèmes internes et les composants partagés ou gérés des environnements clients, et pas seulement votre propre réseau. Il s'agit de développer une capacité que vous pouvez décrire et reproduire, et non de simplement activer les paramètres par défaut.

Le contrôle en langage clair

En clair, la norme A.8.15 exige de choisir les informations à consigner, de les consigner de manière fiable, de les protéger et de les examiner. Tout le reste du contrôle découle de ces quatre principes. En vous concentrant sur ces décisions, les aspects techniques deviennent plus faciles à gérer. Pour les fournisseurs de services gérés (MSP), cela signifie appliquer la même rigueur à l'ensemble des outils partagés, des systèmes internes et des environnements clients.

Premièrement, il convient de déterminer quelles activités, exceptions, anomalies et événements sont pertinents pour la sécurité et les opérations. Deuxièmement, ces événements doivent être consignés dans les systèmes et services concernés. Troisièmement, les journaux doivent être stockés et protégés afin d'empêcher toute modification ou perte non détectée. Quatrièmement, ces journaux doivent être analysés et examinés afin de contribuer à la surveillance et aux investigations.

Pour un fournisseur de services gérés (MSP), les « événements pertinents » englobent bien plus que les journaux de serveur traditionnels. Les scripts exécutés à distance via votre solution RMM, les modifications de politiques sur les pare-feu partagés, les connexions aux portails d'administration cloud, les modifications apportées aux groupes privilégiés de votre plateforme d'identité et les actions effectuées sur votre système de gestion des tickets peuvent tous avoir un impact significatif sur la sécurité des clients. Une évaluation des risques doit déterminer quels événements sont concernés, mais une fois identifiés, ils doivent être consignés de manière cohérente, facilement repérable et exploitable.

Ce contrôle part du principe que la journalisation est intentionnelle et non opportuniste. Il ne suffit pas de dire « l'outil peut journaliser cela si on l'active ». Vous devez démontrer que vous avez choisi les données à journaliser, configuré le système et veillé à son adéquation avec l'évolution de vos services, de vos clients et de votre infrastructure technologique. C'est pourquoi le point A.8.15 s'inscrit dans un système de gestion plus large : il doit être lié aux risques, aux objectifs, aux politiques et à l'amélioration continue.

Comment A.8.15 s'intègre au reste de votre système de gestion de la sécurité de l'information (SGSI)

La journalisation ne constitue pas une tâche isolée. Le point A.8.16, relatif aux activités de surveillance, décrit comment consulter les journaux et agir en conséquence. Les descriptions générales de la norme ISO/IEC 27001 présentent systématiquement le point A.8.16 comme le contrôle axé sur la surveillance et l'analyse des événements et des journaux de sécurité, ce qui explique son association naturelle avec le point A.8.15 dans la plupart des implémentations.

Le rapport 2025 sur l'état de la sécurité de l'information note que les clients attendent de plus en plus des fournisseurs qu'ils s'alignent sur des cadres formels tels que l'ISO 27001, l'ISO 27701, le RGPD ou le SOC 2 plutôt que de se fier à des affirmations génériques de bonnes pratiques.

Les contrôles relatifs à la gestion des accès, au traitement des incidents, à la continuité des activités et à la protection de la vie privée impliquent chacun des exigences spécifiques auxquelles votre système de journalisation doit répondre. Les auditeurs examinent ces liens pour déterminer l'efficacité de votre mise en œuvre de la norme A.8.15.

Il peut être utile de raisonner en termes de familles de contrôles liées :

  • Les contrôles de gestion des accès exigent des journaux indiquant qui a accédé à quoi et avec quels privilèges.
  • Les mécanismes de gestion des incidents s'appuient sur les journaux d'événements pour reconstituer les événements et tirer des enseignements.
  • Les dispositifs de continuité d'activité nécessitent des journaux d'activité pour vous aider à comprendre les modes de défaillance et la reprise.
  • Les mesures de protection de la vie privée exigent que les journaux contenant des données personnelles soient réduits au minimum, protégés et conservés uniquement pendant la durée nécessaire. Ceci est conforme aux principes fondamentaux de protection des données, tels que la minimisation des données et la limitation de leur conservation, énoncés dans des réglementations comme le RGPD. Ces réglementations imposent aux organisations d'éviter la collecte de données personnelles inutiles dans les journaux et de les supprimer dès lors qu'elles ne sont plus nécessaires aux fins déclarées.

Ensemble, ces exigences impliquent que votre architecture de journalisation doit remplir plusieurs fonctions simultanément, et pas seulement assurer la sécurité. C'est là qu'un système de gestion de la sécurité de l'information structuré devient crucial. Une plateforme comme ISMS.online vous permet de centraliser la manière dont la norme A.8.15 s'aligne sur votre gestion des risques, votre déclaration d'applicabilité et vos autres contrôles. Vous pouvez définir les types d'événements pertinents pour la sécurité, les associer aux systèmes et services, et indiquer les personnes responsables de leur examen ainsi que la fréquence de cet examen. De nombreux fournisseurs de services gérés (MSP) documentent désormais les décisions relatives à la norme A.8.15, en parallèle avec l'analyse des risques et la déclaration d'applicabilité, dans ce type de système de gestion de la sécurité de l'information structuré, car cela offre aux auditeurs une vision claire et cohérente.

En liant les décisions relatives à la journalisation aux déclarations de risques et aux objectifs, vous pouvez expliquer aux auditeurs le choix de certaines sources de journaux ou de certaines durées de conservation, au lieu de donner l'impression d'avoir simplement adopté les paramètres par défaut du fournisseur. À mesure que vos services évoluent, vous pouvez mettre à jour la conception de manière centralisée et intégrer les modifications aux procédures et aux descriptions de service. C'est là toute la différence entre considérer la norme A.8.15 comme une simple clause et l'intégrer à une méthodologie de conception qui renforce la sécurité de votre environnement.



ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Une avance de 81 % dès le premier jour

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer


Le fossé de la journalisation des MSP : théorie du modèle mono-locataire contre réalité du modèle multi-locataire

La plupart des recommandations génériques en matière de journalisation partent du principe qu'une seule organisation contrôle l'ensemble de ses systèmes, avec une seule équipe de sécurité et un seul groupe de parties prenantes. Les fournisseurs de services gérés (MSP) fonctionnent différemment : ils gèrent des plateformes partagées, telles que les solutions RMM, les outils SOC et les consoles de gestion cloud, pour de nombreux clients, et fournissent des services où la propriété des journaux est partagée entre eux et ces clients. Cette différence a des conséquences importantes sur la manière dont la norme A.8.15 doit être mise en œuvre et expliquée.

Outils partagés et risques inter-locataires

Les outils partagés des fournisseurs de services gérés (MSP) sont au cœur de votre service et de vos risques. Les pare-feu centraux, les concentrateurs VPN, les fournisseurs d'identité et les plateformes d'administration par lesquels les ingénieurs accèdent aux environnements de plusieurs clients génèrent souvent des journaux détaillés, mais ils comportent également un risque : si les données d'un client sont visibles alors que le cas d'un autre client est affiché à l'écran, vous êtes exposé à un risque de cyberattaque entre locataires.

Une plateforme SIEM ou de gestion des journaux mutualisée utilisant des index ou des files d'attente partagés peut aggraver ce problème. Si les événements ne sont étiquetés qu'avec un identifiant client peu rigoureux, une erreur de configuration ou un bug d'ingestion peut les afficher dans la mauvaise vue. Les discussions sur les architectures de journalisation mutualisées et les déploiements SIEM partagés soulignent fréquemment ce risque : des identifiants de locataire faibles ou appliqués de manière incohérente peuvent permettre à des événements mal étiquetés de fuiter des données de télémétrie entre les locataires, de façon difficilement détectable rapidement.

La plupart des organisations interrogées dans le cadre de l'enquête 2025 d'ISMS.online ont déclaré avoir été touchées par au moins un incident de sécurité lié à un tiers ou à un fournisseur au cours de l'année écoulée.

Du point de vue de la norme ISO 27001, cela compromet la confidentialité. D'un point de vue contractuel, cela peut constituer un manquement aux engagements. Du point de vue de la journalisation, cela signifie que votre architecture n'a pas correctement pris en compte la mutualisation des ressources comme dimension de conception. Les recommandations relatives à la journalisation et à la surveillance dans les environnements de cloud partagé, notamment les travaux d'organismes tels que la Cloud Security Alliance, considèrent l'exposition des journaux entre locataires comme une violation de la confidentialité et une infraction potentielle aux obligations contractuelles ou réglementaires.

Parallèlement, les clients peuvent supposer que vous détenez une copie intégrale de leurs journaux, du simple fait que vous fournissez un service géré. En réalité, vous ne détenez peut-être que des résumés ou des alertes provenant de leurs systèmes, tandis que les journaux bruts restent stockés dans leurs abonnements cloud ou centres de données. Si cette répartition des responsabilités n'est pas clairement définie, les attentes et les obligations relatives à l'article A.8.15 deviennent confuses, et votre position en cas de litige ou d'enquête est plus difficile à défendre.

Pour satisfaire à l'exigence A.8.15 dans le contexte d'un fournisseur de services gérés (MSP), il est essentiel de définir clairement qui est propriétaire de quels journaux, qui peut y accéder et à quelles fins. Pour chaque offre de service, vous devez être en mesure de répondre aux questions suivantes : quels systèmes génèrent des journaux, où ces journaux sont stockés, qui dispose d'un accès administrateur et de lecture, comment ils sont sauvegardés et conservés, et comment ils sont utilisés pour la surveillance et la gestion des incidents.

Environ 41 % des personnes interrogées ont déclaré que la gestion des risques liés aux tiers et le suivi de la conformité des fournisseurs constituent l'un de leurs principaux défis en matière de sécurité de l'information.

Cette clarté doit transparaître dans vos contrats et descriptions de services. Si vous proposez un service de pare-feu géré, par exemple, conservez-vous des journaux de trafic détaillés, uniquement les événements de sécurité ou seulement des résumés mensuels ? Si un client souhaite accéder aux journaux bruts pour son propre SIEM, cela est-il explicitement prévu ? Lorsqu’il demande un rapport d’incident six mois après les faits, quelles sources de journaux utiliserez-vous de manière fiable ?

Les organismes de réglementation et les entreprises clientes exigent de plus en plus que vous présentiez des schémas d'architecture ou des descriptions écrites de votre conception de journalisation et de surveillance, notamment si vous intervenez dans des secteurs critiques ou gérez des flux de données transfrontaliers. Les documents de politique relatifs à la cybersécurité des infrastructures critiques et des services cloud, en particulier dans le contexte européen, insistent sur la nécessité de disposer d'architectures documentées et de responsabilités clairement définies en matière de journalisation et de surveillance, afin de démontrer la résilience et la transparence opérationnelles. Si vous ne pouvez pas fournir ces éléments en temps voulu, cela laisse penser que la journalisation résulte de la configuration d'outils plutôt que d'une architecture mutualisée et réfléchie. La section suivante présente un modèle simple qui vous permettra de passer d'une pratique ad hoc à une conception structurée, conforme aux exigences des audits et des enquêtes.



La pile de journalisation A.8.15 MSP : une architecture à 4 couches

Pour concevoir efficacement un système de journalisation pour un fournisseur de services gérés (MSP), il est conseillé de l'articuler autour de quatre couches : collecte, traitement et normalisation, stockage et protection, et accès et utilisation. Chaque couche présente ses propres risques, contrôles et preuves, et doit fonctionner dans un contexte mutualisé. Une explication claire de ces couches inspire confiance aux auditeurs et aux clients.

  • Collection: – comment les événements quittent les systèmes et atteignent votre plateforme de journalisation.
  • Traitement et normalisation : – comment analyser, enrichir et acheminer les données de journalisation.
  • Stockage et protection : – comment conserver vos journaux en toute sécurité, avec intégrité et sauvegardes.
  • Accès et utilisation : – comment les utilisateurs consultent, examinent et exploitent les journaux d'événements.

Les quatre couches en pratique

La couche de collecte décrit comment les événements quittent les systèmes et atteignent votre plateforme de journalisation. Pour les fournisseurs de services gérés (MSP), cela peut concerner les agents sur les serveurs et les terminaux, les connecteurs sur les services cloud, les flux syslog provenant des périphériques réseau et les intégrations API pour les outils RMM et PSA. Il est essentiel de vérifier que tous les systèmes concernés sont configurés pour envoyer les événements appropriés et que ces connexions sont sécurisées et fiables.

Le traitement et la normalisation consistent à analyser, enrichir et acheminer les journaux dès leur réception. Il peut s'agir d'ajouter des identifiants de locataire, de normaliser les noms d'utilisateur entre les systèmes, de mapper les champs spécifiques aux fournisseurs dans un schéma commun et de filtrer les données parasites. Les décisions prises à ce stade influencent la facilité de recherche, par exemple : « qu'a fait cet ingénieur pour tous les clients hier » ou « afficher tous les échecs de connexion administrateur sur les systèmes à haut risque la semaine dernière ».

Le stockage et la protection concernent l'emplacement des journaux, leur protection contre la falsification et la perte, ainsi que les modalités de conservation. Il est nécessaire de choisir les supports de stockage, les stratégies de sauvegarde, les contrôles d'intégrité (comme le stockage en mode ajout uniquement ou le hachage) et les schémas de hiérarchisation des données (chaudes et froides). Enfin, l'accès et son utilisation englobent les rôles, les autorisations, les tableaux de bord, les alertes, les investigations et les rapports. C'est là que les points A.8.15 et A.8.16 se rejoignent : générer des journaux ne suffit pas si personne ne peut les consulter et les exploiter efficacement.

Transformer la pile technologique en plans de services MSP

Une fois les quatre couches définies pour votre environnement, vous pouvez les appliquer service par service afin de créer des modèles de journalisation reproductibles. Pour un service géré, vous décidez de la manière dont les événements sont collectés, enrichis, stockés et consultés avant de vous préoccuper des paramètres spécifiques à chaque fournisseur. Cette séquence facilite la communication de votre approche de manière cohérente à tous vos clients.

Prenons l'exemple d'un pare-feu géré. Lors de la collecte, vous activez les journaux de sécurité et d'administration détaillés et les transmettez de manière sécurisée à votre plateforme centrale. Lors du traitement, vous étiquetez les événements avec des identifiants client et normalisez les noms des règles et des interfaces. Lors du stockage, vous conservez les événements de sécurité dans un espace de stockage consultable pendant une période convenue et archivez les journaux bruts plus longtemps si nécessaire. Lors de l'accès et de l'utilisation, votre SOC visualise des tableaux de bord mutualisés tandis que les clients consultent leur propre sous-ensemble via des rapports ou des portails.

Le même principe s'applique à Microsoft 365 géré, à la sécurité des terminaux, aux services d'identité et aux autres offres. Pour chacune d'elles, votre SMSI (Système de Management de la Sécurité de l'Information) consigne les couches de sécurité mises en œuvre, les contrôles appliqués et la méthode de collecte des preuves. Cela simplifie considérablement l'intégration des nouveaux clients, la présentation de votre architecture lors des appels d'offres et la démonstration de la conformité à la norme A.8.15 lors des audits.

Étape 1 – Décrire le périmètre du service

Définissez les systèmes, les plateformes partagées et les composants clients couverts par le service, y compris les régions, les locataires ou les contraintes de résidence des données.

Étape 2 – Capture de chaque couche de journalisation

Pour ce service, consignez la manière dont vous collectez les événements, les traitez et les normalisez, les stockez et les protégez, et dont vous donnez accès aux personnes concernées à des fins de surveillance et d'enquêtes.

Étape 3 – Lier les couches aux contrôles et aux preuves

Associez chaque couche aux contrôles, responsabilités, procédures et enregistrements spécifiques de la norme ISO 27001 afin de pouvoir montrer aux auditeurs exactement comment la pile fonctionne en pratique.

Cette approche structurée permet également de concrétiser les questions de résilience. En cas de défaillance des agents de collecte, comment les journaux sont-ils mis en mémoire tampon ? Si le système de stockage des journaux d'une région est indisponible, comment éviter les interruptions silencieuses ? Si votre SIEM est hors service, comment respecter les obligations minimales de journalisation et de conservation ? En considérant votre journalisation comme un ensemble, vous pouvez anticiper ces scénarios au lieu de découvrir les faiblesses uniquement lorsqu'un problème survient.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Conception d'une plateforme mutualisée de collecte, d'agrégation, de stockage et d'accès

Compte tenu de cette architecture, vous pouvez désormais aborder les spécificités multi-locataires de la journalisation des fournisseurs de services gérés (MSP) : la séparation des données clients, le respect des frontières régionales et l’alignement de la conception technologique avec les contrats et les obligations de confidentialité. Ces décisions ont un impact direct sur la crédibilité perçue de votre mise en œuvre de la norme A.8.15 auprès des auditeurs, des clients et des organismes de réglementation.

Collecte et agrégation dans un monde mutualisé

Dans un environnement mono-organisationnel, il suffit de connecter tous les systèmes à un collecteur de journaux centralisé. Chez un fournisseur de services gérés (MSP), il faut également tenir compte des clients qui partagent les collecteurs, des régions de transit des données et de la manière d'étiqueter et de vérifier les identifiants des locataires sur les événements entrants. Un bon point de départ consiste à définir des modèles de collecte standard par service et par région.

Par exemple, vous pouvez utiliser des points de terminaison d'ingestion spécifiques à chaque région afin que les journaux des clients européens ne quittent pas la région, sauf accord explicite. Vous pouvez exiger que chaque message de journal inclue un identifiant de locataire, validé en périphérie avant d'être accepté. Vous pouvez isoler les clients particulièrement sensibles dans leurs propres pipelines. Ces décisions contribuent à prévenir le mélange accidentel de données et à garantir le respect des engagements de résidence des données.

L'agrégation et la normalisation doivent donc respecter ces mêmes limites. Lorsque vous regroupez des journaux pour corrélation, effectuez-vous une agrégation pour tous les clients ou uniquement au sein de groupes définis ? Une requête peut-elle porter sur plusieurs clients sans autorisation explicite ? Si votre SOC utilise un système de détection global, comment vous assurez-vous que les résultats affichés aux analystes correspondent à leurs autorisations ?

Quelques questions peuvent structurer votre conception :

  • Quels services partagent des collecteurs, et où sont situés ces collecteurs ?
  • Comment validez-vous les identifiants des locataires lors de l'ingestion ?
  • Dans quelles conditions les requêtes ou les alertes peuvent-elles concerner plusieurs clients ?

Des réponses claires et documentées à ces questions sont essentielles pour satisfaire à la fois à l'article A.8.15 et à vos obligations de confidentialité, et elles vous donnent une explication défendable si un organisme de réglementation ou un client enquête sur le fonctionnement de votre journalisation multi-locataires.

Stockage, contrôle d'accès et confidentialité

Du côté du stockage, les décisions de conception multi-tenant incluent le choix entre des index partagés avec une séparation logique stricte et des bases de données distinctes par client. Le stockage partagé peut être plus efficace, mais exige des garde-fous rigoureux pour l'indexation, les requêtes et l'exportation. Le stockage séparé est plus simple à appréhender, au prix d'une infrastructure supplémentaire. Dans tous les cas, vous devez être en mesure de démontrer comment empêcher la récupération des données d'un client dans le contexte d'un autre.

Le contrôle d'accès doit refléter votre modèle de service. Les analystes SOC peuvent avoir besoin d'un accès en lecture à plusieurs locataires, mais seul un groupe très restreint devrait disposer des droits d'administrateur pour modifier les configurations de journalisation ou la durée de conservation des données. Le personnel client ne devrait voir que ses propres journaux, les rôles étant encadrés par le principe du moindre privilège. Tout accès à la plateforme de journalisation doit être consigné et examiné, notamment pour les actions sensibles telles que la modification des paramètres de conservation ou la suppression de données.

La protection de la vie privée ajoute une dimension supplémentaire. Les journaux contiennent souvent des données personnelles telles que les noms d'utilisateur, les adresses IP, les identifiants d'appareil et, dans certains cas, le contenu des interactions. Il vous faut déterminer quels champs sont nécessaires à des fins de sécurité et d'exploitation, et identifier les cas où l'anonymisation, la pseudonymisation ou l'agrégation sont appropriées. Vous devez également veiller à ce que les durées de conservation et les emplacements des données soient conformes aux lois et accords relatifs à la protection de la vie privée. Ces choix doivent être documentés afin que votre conception A.8.15 reste compatible avec vos contrôles de protection de la vie privée et que vous puissiez justifier votre approche en cas de contestation.



Que consigner : sources de journaux MSP indispensables et souhaitables

Aucun fournisseur de services gérés (MSP) ne peut ni ne devrait tout consigner. L'astuce consiste à sélectionner un ensemble minimal et justifié de sources de journaux permettant de détecter et d'analyser les incidents significatifs, puis à ajouter d'autres sources lorsque les risques et le budget le justifient. La norme ISO 27001 exige que ce choix soit fondé sur une analyse des risques et documenté, et les auditeurs demandent souvent pourquoi certaines sources ont été privilégiées par rapport à d'autres.

Sources de journaux indispensables pour les fournisseurs de services gérés

Certaines sources de journaux sont extrêmement difficiles à justifier dans le cadre de votre implémentation A.8.15. Un test simple consiste à imaginer un incident grave et à se demander si vous pourriez reconstituer de manière crédible les événements sans ces journaux. Si la réponse est non, cette source a probablement sa place dans votre architecture de référence. Les guides pratiques d'implémentation A.8.15 des cabinets de conseil ISO 27001 insistent souvent sur le fait que les systèmes d'identité, les contrôles de périmètre, les outils de sécurité essentiels et les serveurs de rebond administratifs doivent figurer dans cette architecture de référence pour une certification crédible.

Les principales catégories comprennent généralement :

  • Systèmes d'identité et d'accès : – les annuaires, les fournisseurs d’authentification unique et d’authentification multifactorielle.
  • Contrôles du réseau et des limites : – pare-feu, passerelles VPN et outils de détection d'intrusion.
  • Outils de sécurité : – Plateformes de protection des terminaux, des e-mails et du Web.
  • Outils d'administration et serveurs de rebond : – RMM, outils d'accès privilégié, bastions et consoles cloud.
  • Plateformes de services principales : – suites cloud gérées, applications clés et systèmes de billetterie ou PSA.

Les systèmes d'identité et de contrôle d'accès figurent en tête de liste. Sans journalisation des services d'annuaire, des fournisseurs d'authentification unique et des plateformes d'authentification multifacteurs, il est impossible de savoir avec certitude qui s'est connecté, d'où et avec quel niveau de privilège.

Les contrôles de réseau et de périmètre constituent une autre catégorie essentielle : pare-feu, passerelles VPN, passerelles web sécurisées et systèmes de détection ou de prévention des intrusions. Ces journaux indiquent quel trafic a été autorisé ou bloqué, quelles connexions provenaient de sources inhabituelles et à quel moment les règles ou les politiques ont été modifiées. Les outils de sécurité tels que la protection des terminaux, la sécurité de la messagerie et les filtres web fournissent des informations précieuses sur les menaces et les réponses apportées.

Les outils d'administration et les serveurs de rebond utilisés par vos ingénieurs méritent une attention particulière. Les actions effectuées via les plateformes RMM, les outils de gestion des accès privilégiés, les serveurs bastion et les consoles de gestion cloud doivent être consignées avec suffisamment de détails pour indiquer quelles actions ont été réalisées, sur quels systèmes et sous quelle identité. Enfin, les plateformes de services essentielles, telles que Microsoft 365 hébergé, les applications principales que vous gérez et votre système de gestion des tickets ou PSA, fournissent un contexte important sur les modifications et les interactions avec les clients.

Si l'une de ces catégories est absente, il vous sera difficile de répondre aux questions de base lors d'incidents et d'audits. Les analyses sectorielles relatives à la réponse aux incidents et aux enquêtes sur les violations de données soulignent régulièrement que l'absence de journaux d'identité, de réseau ou d'outils de sécurité complique considérablement la reconstitution des événements et la capacité à répondre aux questions détaillées des enquêteurs ou des auditeurs. Rendre ces catégories obligatoires dans votre conception A.8.15 vous offre une base solide et facilite la justification des améliorations ultérieures.

Sources utiles et quand les ajouter

Au-delà des éléments essentiels, de nombreuses sources de journaux peuvent apporter une valeur ajoutée, mais ne sont pas toujours justifiées. Les journaux d'application génériques des logiciels de bureau, les journaux de débogage détaillés des environnements de développement et les métriques verbeuses des systèmes à faible risque peuvent rapidement consommer de l'espace de stockage et mobiliser le temps des analystes sans pour autant améliorer significativement la capacité à détecter ou à analyser les incidents.

Cela ne signifie pas pour autant qu'elles sont systématiquement exclues du champ d'application. Pour les clients à haut risque, les applications sur mesure ou les charges de travail réglementées, vous pouvez juger nécessaire d'effectuer une journalisation supplémentaire. L'essentiel est de consigner cette justification dans votre évaluation des risques et votre déclaration d'applicabilité, et de configurer la collecte et la conservation des données de manière systématique plutôt que ponctuelle.

Une technique utile consiste à définir des niveaux de sources de journaux dans votre catalogue de services. Un niveau de base peut inclure toutes les sources indispensables et convenir aux clients standards. Les niveaux supérieurs peuvent ajouter des journaux spécifiques à l'application, des pistes d'audit plus détaillées ou une durée de conservation plus longue. Chaque niveau doit décrire non seulement le volume de données, mais aussi la couverture de détection et la profondeur d'investigation qu'il permet. Ainsi, les équipes commerciales et opérationnelles, ainsi que les clients, peuvent comprendre les avantages liés au passage à un niveau supérieur.

Un petit tableau comparatif peut aider votre équipe à envisager les sources de manière pragmatique :

Niveau Sources typiques Objectif principal
Éléments essentiels (indispensables) Identité, pare-feu, VPN, EDR, RMM, outils d'administration Détection et criminalistique de base
Renforcer la compréhension Journaux d'applications clés, journaux de charge de travail cloud Analyse approfondie des causes profondes
Connaissances Journaux de débogage, journaux système de niche cas rares, complexes ou réglementés

Ceci n'est donné qu'à titre indicatif ; vos niveaux et sources réels doivent correspondre à votre profil de risque et à vos services. L'important est que le point A.8.15 devienne un ensemble structuré de choix plutôt qu'un effet secondaire implicite des systèmes dont la journalisation est activée. Lorsque vous pouvez expliquer ces choix, ils sont beaucoup plus faciles à justifier auprès des auditeurs, des clients et des organismes de réglementation.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Durée de conservation : un modèle de rétention basé sur les risques pour les MSP

Le choix des durées de conservation est l'un des aspects les plus délicats de l'article A.8.15 pour un fournisseur de services gérés (MSP). Il s'agit de trouver un équilibre entre les exigences réglementaires, les besoins en matière d'enquêtes sur les incidents, les règles de confidentialité et les coûts de stockage. Vos choix seront évalués en fonction de leur pertinence en matière de gestion des risques et de leur justification. Clients et auditeurs examineront attentivement ces décisions lors des contrôles.

Concevoir un modèle de fidélisation à plusieurs niveaux

Une méthode pratique pour gérer la conservation des journaux consiste à les regrouper par catégories et à leur attribuer des niveaux de priorité. Par exemple, vous pouvez classer les journaux de sécurité et d'administration, ceux du service client et de la gestion des tickets, et les journaux techniques à faible valeur ajoutée. Pour chaque catégorie, vous définissez la durée de consultation rapide des données, leur durée de disponibilité sous une forme archivée ou à accès plus lent, ainsi que le moment où elles doivent être supprimées ou anonymisées.

Pour prendre ces décisions, partez de vos risques et de vos obligations. Tenez compte de la durée pendant laquelle les attaques restent généralement indétectées chez vos clients, de la durée des enquêtes et des procédures juridiques, et des exigences des organismes de réglementation ou des contrats. Si vos clients opèrent dans des secteurs où les incidents sont parfois découverts plusieurs mois après la compromission initiale, des périodes de conservation très courtes seront difficiles à justifier. Les recommandations des fournisseurs de services cloud en matière de conservation des journaux préconisent généralement une approche similaire : les journaux à forte valeur ajoutée sont conservés en accès actif et consultables pendant un certain temps, puis déplacés vers un stockage d’archivage moins coûteux, permettant néanmoins leur récupération pour les enquêtes ou les demandes de conformité.

Il est courant de conserver les journaux à forte valeur ajoutée (identité, sécurité, actions d'administration) accessibles et consultables pendant plusieurs mois, puis de les transférer vers un stockage moins coûteux tout en les maintenant accessibles pendant un à plusieurs années. Les journaux à faible valeur ajoutée peuvent avoir une durée de conservation beaucoup plus courte. Quel que soit le nombre de jours choisis, documentez leur calcul, les risques qu'ils permettent de couvrir et les personnes qui les ont approuvés. Cela facilitera grandement les échanges avec les auditeurs, les clients et les responsables de la protection des données.

Étape 1 – Classification des types de journaux

Les journaux de groupe sont classés en catégories claires telles que la sécurité et l'administration, le service client et la billetterie, ainsi que les données techniques ou de diagnostic de faible valeur.

Étape 2 – Choisir entre la conservation à chaud et la conservation archivée

Pour chaque classe, déterminez combien de temps les données doivent rester rapidement consultables et combien de temps elles doivent rester dans un stockage plus lent ou archivé.

Étape 3 – Justification et approbations des documents

Consignez les raisons pour lesquelles vous avez choisi chaque période de conservation, les risques ou obligations qu'elle couvre et qui l'a autorisée, afin de pouvoir l'expliquer lors des audits.

Concilier réglementation, enquêtes et coûts

La durée de conservation des données n'est pas seulement une décision technique ou de conformité ; c'est aussi une décision commerciale. Une conservation plus longue implique davantage de stockage, de sauvegardes et d'indexation, ce qui peut impacter vos marges si le prix n'est pas adapté. Une conservation plus courte peut permettre de réaliser des économies immédiates, mais augmente le risque de ne pas pouvoir étayer une enquête ou démontrer votre diligence raisonnable ultérieurement.

Une forte majorité d'organisations interrogées dans le rapport 2025 sur l'état de la sécurité de l'information ont déclaré que la rapidité et le volume des changements réglementaires rendent la conformité plus difficile à maintenir.

Votre catalogue de services doit donc clairement indiquer les modalités de conservation des journaux. Pour chaque niveau de journalisation ou forfait, précisez quelles catégories de journaux sont conservées, pendant combien de temps et sous quel format. Cela permet aux clients de choisir en fonction de leur tolérance au risque et de leur profil réglementaire. Vos équipes financières et opérationnelles bénéficient ainsi d'une vision plus claire des implications financières de chaque option.

Les règles de protection de la vie privée ajoutent une dimension supplémentaire. De nombreuses juridictions exigent que les données personnelles ne soient conservées que le temps nécessaire aux fins pour lesquelles elles ont été collectées. Ceci reflète des principes tels que la limitation de la conservation, inscrits dans des lois sur la protection des données comme le RGPD, qui stipulent explicitement que les données personnelles ne doivent pas être conservées indéfiniment et doivent être effacées ou anonymisées dès lors qu'elles ne sont plus nécessaires aux fins initialement définies.

Cela peut s'avérer difficile à concilier avec le souhait de conserver les journaux de sécurité pendant de nombreuses années. Des techniques telles que la pseudonymisation de certains champs après une période donnée, le regroupement des événements en statistiques ou la suppression des champs à faible valeur ajoutée peuvent vous aider à concilier ces contraintes.

Le critère essentiel est de savoir si votre modèle de conservation des données serait raisonnable et justifiable si un organisme de réglementation, un client ou un tribunal vous demandait de le justifier. Si vous pouvez expliquer l'équilibre que vous avez trouvé entre la réglementation, les besoins d'enquête, la protection de la vie privée et les coûts, et démontrer que vous l'appliquez de manière cohérente, votre position est bien plus solide que si la conservation se résume à « ce que l'outil paramétrait lors de son installation ».



Réservez une démo avec ISMS.online dès aujourd'hui

ISMS.online vous aide à transformer la configuration A.8.15, actuellement dispersée, en un système de contrôle centralisé et conforme aux exigences d'audit pour l'ensemble de vos services MSP. Vous pouvez ainsi faire face aux incidents et aux audits grâce à un historique de journalisation clair et justifiable. Une architecture de journalisation et un modèle de conservation bien conçus ne seront pleinement efficaces que s'ils sont intégrés à votre système de gestion global et restent alignés sur l'évolution de vos services.

Pourquoi la structure compte plus qu'un outil supplémentaire

ISMS.online vous offre un espace structuré pour consigner votre conception de journalisation pour l'ensemble de vos services MSP, au lieu de vous appuyer sur un mélange de feuilles de calcul, de présentations et de connaissances individuelles. Vous pouvez définir votre objectif de contrôle A.8.15, lister les sources de journaux concernées, décrire votre architecture à quatre niveaux et consigner la gestion de la collecte, du stockage et de l'accès multi-locataires pour chaque offre.

Vous pouvez également modéliser explicitement votre stratégie de conservation. Pour chaque classe de journal et niveau de service, vous documentez les durées de conservation convenues, les niveaux de stockage utilisés et leur justification. Lorsque les auditeurs vous demandent pourquoi un ensemble de journaux est conservé pendant une durée spécifique, vous pouvez vous référer à un document unique et contrôlé qui relie les décisions aux risques, aux contrats et aux obligations de confidentialité. Cela réduit le temps et le stress liés à la préparation des audits et contribue à éviter les mauvaises surprises.

Surtout, ISMS.online est conçu pour s'intégrer à vos outils opérationnels existants, et non pour les remplacer. Vos solutions SIEM, RMM, de gestion des incidents et vos services cloud restent les plateformes de journalisation et de surveillance. L'ISMS fournit le cadre nécessaire : qui est responsable, quelles procédures s'appliquent, comment les analyses sont consignées et comment les améliorations sont suivies. Cette séparation facilite l'évolution de vos outils sans que vous perdiez la maîtrise de votre journalisation.

Quels sont les avantages de centraliser la conception de votre système de gestion des forêts ?

En centralisant votre approche A.8.15 dans ISMS.online, vous offrez à tous une vision unique et partagée du fonctionnement de la journalisation et de la conservation des données au sein de votre MSP. Cette clarté facilite grandement l'identification des responsabilités, des lacunes potentielles et des priorités de conception, et simplifie la démonstration aux auditeurs et aux clients de la mise en œuvre concrète de votre approche.

Les responsables de la sécurité peuvent identifier d'un coup d'œil les services entièrement couverts par l'architecture à quatre niveaux et repérer les lacunes. Les directeurs généraux peuvent vérifier l'adéquation des choix de journalisation et de conservation des données avec l'appétit pour le risque et les priorités commerciales de l'entreprise. Les responsables des opérations peuvent associer les contrôles et les revues quotidiennes aux procédures de contrôle et organiser les preuves, ce qui permet de répartir la charge de travail liée à la préparation des audits sur l'année plutôt que de la concentrer sur quelques semaines stressantes.

Vous pouvez commencer modestement. Choisissez un service phare, comme la gestion de Microsoft 365 ou des pare-feu gérés, et documentez son architecture de journalisation, ses sources de journaux et ses paramètres de conservation sur la plateforme. Utilisez-le comme projet pilote pour identifier les incohérences, les responsabilités manquantes ou les hypothèses non documentées. Une fois à l'aise avec cette démarche, appliquez le même modèle aux autres services. Progressivement, vous obtiendrez une vision complète et auditable de la journalisation au sein de votre fournisseur de services gérés.

Choisissez ISMS.online si vous souhaitez que la journalisation et la conservation des données fassent partie intégrante d'un système de gestion de la sécurité de l'information cohérent et conforme aux exigences d'audit, plutôt que d'un ensemble disparate de paramètres. Si vous privilégiez des audits plus rapides et plus sereins, des définitions de service plus claires et la possibilité de démontrer précisément à vos clients et aux autorités de réglementation votre conformité à la norme A.8.15, une courte démonstration est une excellente option. Elle vous permettra de constater comment les concepts présentés dans ce guide se traduisent concrètement en flux de travail, enregistrements et tableaux de bord adaptés aux fournisseurs de services gérés (MSP) comme le vôtre.

Demander demo


Foire aux questions

Qu’est-ce que la norme ISO 27001 A.8.15 change concrètement dans la manière dont votre fournisseur de services gérés (MSP) aborde la journalisation ?

La norme ISO 27001 A.8.15 exige que votre fournisseur de services gérés (MSP) considère la journalisation comme un contrôle intégré garantissant la sécurité et la traçabilité, et non comme un effet secondaire des outils utilisés. Concrètement, cela implique de définir les informations à consigner, leur emplacement, leur durée de conservation, leur mode de protection et la manière dont votre équipe exploite ces enregistrements pour détecter et analyser les problèmes chez tous les clients concernés.

Comment traduire la norme A.8.15 en une norme de journalisation simple et utilisable ?

Une approche réalisable consiste à transformer la norme A.8.15 en un référentiel court et normatif que les ingénieurs, les analystes et les responsables de services peuvent réellement suivre :

  • Définir la portée – quels clients, environnements et services se trouvent dans votre périmètre ISO 27001.
  • Installez catégories d'événements qui nécessitent toujours un enregistrement, comme les modifications administratives, les tentatives d'authentification et d'accès, les modifications de politiques et de configuration, et les alertes de sécurité.
  • Lister les sources de log minimales par type de service (par exemple identité, pare-feu/VPN, EDR, M365, RMM, PSA).
  • Mettre au clair attentes en matière d'intégrité des journaux – synchronisation horaire, accès restreint, immuabilité ou stockage à écriture unique lorsque cela est possible, et attentes en matière de sauvegarde.
  • Décrire utilisation opérationnelle – qui examine quels journaux, à quelle fréquence, comment les exceptions sont signalées et où les résultats sont consignés.

Cette norme devient alors le point de référence pour tous les services gérés. Lorsqu'un auditeur vous demande comment vos offres « Microsoft 365 géré » ou « Pare-feu géré » sont conformes à la norme A.8.15, vous pouvez démontrer :

  • La norme de journalisation dans votre SMSI.
  • Le plan de service qui associe chaque offre à la norme.
  • Preuves de véritables examens et enquêtes liés à ces services.

La capture des normes, des mappages de services et des enregistrements opérationnels dans ISMS.online permet de tout tracer et démontre clairement que la journalisation est intégrée à votre système de gestion de la sécurité de l'information, et non dispersée dans les paramètres des outils et les carnets individuels.

Comment pouvez-vous rapidement vérifier si votre journalisation répond aux exigences de la norme A.8.15 ?

Un test interne utile consiste à choisir un changement récent ou un événement important pour la sécurité et à demander à votre équipe de le reconstituer en utilisant uniquement les journaux :

  • Qui a commis l'acte ?
  • Quand et où cela s'est-il produit ?
  • Quels comptes, systèmes ou locataires ont été affectés ?
  • Quel a été le résultat et quelle a été la réaction de votre équipe ?

Si vous pouvez répondre à ces questions avec assurance, en vous appuyant sur des sources de journaux et des processus de revue définis, vous êtes sur la bonne voie. Si les réponses sont lentes, incomplètes ou incohérentes d'un client à l'autre, c'est un signal clair qu'il faut renforcer vos normes, votre couverture ou votre rigueur de revue et consigner ces améliorations comme risques et actions dans ISMS.online afin de pouvoir suivre votre progression.

Comment un fournisseur de services gérés (MSP) doit-il concevoir un système de journalisation multi-locataires pour qu'il soit sécurisé, évolutif et conforme aux exigences d'audit ?

Une conception pratique de journalisation MSP se divise généralement en quatre couches : collection, traitement et normalisation, stockage et protectionbauen accès et utilisation. Penser en termes de couches vous aide à bien séparer les clients, à respecter les exigences régionales en matière de données et à fournir aux auditeurs une vision claire de la situation.

Quelles décisions de conception sont les plus importantes à chaque niveau pour la journalisation multi-locataire ISO 27001 ?

À la couche de collection, concentrez-vous sur la manière dont les événements de chaque locataire atteignent votre plateforme de journalisation :

  • Choisissez pour chaque outil si vous souhaitez utiliser des agents, des API ou syslog.
  • Fournissez des points de terminaison de collecte spécifiques à la région afin que les journaux de l'UE, du Royaume-Uni et des États-Unis puissent rester dans la région si nécessaire.
  • Veillez à synchroniser les échéanciers afin que les chronologies coïncident au cours d'une enquête.

À la couche de traitement et de normalisation, rendre les journaux utilisables et sûrs sur une plateforme partagée :

  • Assurez-vous que chaque document comporte une documentation fiable identifiant du locataire et, le cas échéant, les étiquettes d'environnement ou de service.
  • Normaliser les champs principaux (utilisateur, source, cible, action, résultat) afin que les analystes puissent effectuer des recherches cohérentes entre les sources.
  • Traitez les requêtes inter-locataires et les recherches globales comme opérations privilégiées, avec leurs propres règles d'accès et leur propre système de journalisation.

À la couche de stockage et de protection, conception pour la séparation et l'intégrité :

  • Partitionnez le stockage par locataire, région ou les deux, en utilisant des index, des compartiments ou des bases de données alignés sur votre architecture.
  • Appliquez des mesures d'intégrité telles que le stockage en ajout uniquement, les indicateurs d'immuabilité ou le chaînage de hachage lorsque les outils les prennent en charge.
  • Associez la conservation des journaux chauds et des archives aux classes de journaux, aux contrats et aux normes sectorielles afin de pouvoir justifier vos choix.

À la couche d'accès et d'utilisation, veillez à ce que le travail quotidien ne brouille jamais les limites avec les clients :

  • Définissez quels rôles peuvent voir quels locataires ; veillez à ce que les rôles inter-locataires ou globaux soient rares, justifiés et surveillés.
  • Structurez les files d'attente d'alertes, les revues et les enquêtes afin que les ingénieurs puissent travailler en profondeur au sein d'un locataire sans exposer les données d'un autre client.
  • Déterminez la fréquence à laquelle vous partagez des résumés, des tendances ou des chronologies d'incidents avec vos clients et comment cela s'aligne sur vos niveaux de service.

En documentant ces décisions dans le cadre de votre contrôle A.8.15, puis en les liant à des configurations concrètes, des manuels et des enregistrements d'examen dans ISMS.online, la journalisation multi-locataires passe d'une chose que vous espérez sûre à quelque chose que vous pouvez décrire et défendre.

Comment prouver la séparation des locataires aux auditeurs et aux clients importants ?

La séparation des locataires est beaucoup plus convaincante lorsqu'on peut montrer une ligne de démarcation nette. politique à architecture à contrôle d'accès à véritables enquêtes:

  • Les politiques et les normes stipulent que les journaux clients sont séparés logiquement ou physiquement et que l'accès inter-locataires est étroitement contrôlé et surveillé.
  • Les schémas d'architecture illustrent le fonctionnement de cela sur la plateforme choisie, y compris le stockage régional pour les clients soumis à des réglementations.
  • Les enregistrements d'accès indiquent quels analystes ont quels périmètres d'accès aux locataires, qui approuve les rôles inter-locataires et comment ces rôles sont examinés.
  • Les journaux d'incidents et d'enquêtes démontrent que votre équipe peut effectuer une analyse approfondie des données d'un locataire sans toucher aux autres.

La gestion de ces documents, enregistrements et liens dans ISMS.online sous A.8.15 vous offre un endroit unique pour présenter aux auditeurs et aux clients votre histoire sans exposer les données brutes des journaux ou chaque détail de votre outillage.

Quelles sources de journaux un MSP doit-il considérer comme non négociables selon la norme ISO 27001 A.8.15 ?

Le point A.8.15 se veut volontairement flexible et vous invite à consigner les « activités, exceptions et événements liés à la sécurité de l’information » en fonction du niveau de risque. Pour les fournisseurs de services gérés, un ensemble de sources essentielles doit presque toujours être inclus dans le périmètre d’analyse pour garantir la fiabilité des investigations et la réussite de l’audit ISO 27001.

Qu’inclut généralement une base de journalisation raisonnable pour un fournisseur de services gérés (MSP) ?

La plupart des environnements MSP bénéficient d'une base de référence couvrant au moins cinq catégories :

  • Identité et accès : plateformes d'annuaire, SSO, MFA, gestion des accès privilégiés et tout outil d'administration juste-à-temps.
  • Contrôles du réseau et des limites : Pare-feu, VPN, passerelles web sécurisées, routeurs clés et proxys inverses qui protègent les accès externes et internes.
  • Sécurité des points de terminaison et des charges de travail : Protection des terminaux (EDR), sécurité du courrier électronique et du Web, et outils de protection des charges de travail dans le cloud.
  • Outils d'administration et d'orchestration : Plateformes RMM, hyperviseurs, consoles de gestion cloud, serveurs de rebond, bastions et pipelines d'automatisation capables de modifier les environnements clients.
  • Plateformes clients principales et vos propres outils de service : Les principaux systèmes SaaS tels que Microsoft 365 ou Google Workspace, ainsi que les systèmes PSA et de service d'assistance qui enregistrent les modifications apportées et leurs raisons.

Grâce à ces outils, votre équipe peut généralement répondre aux questions suivantes : « Comment l’attaquant a-t-il pénétré dans le système, qu’a-t-il fait et quels clients ou systèmes ont été affectés ? » Sans eux, la gestion des incidents et les audits basculent rapidement dans la spéculation, ce qui mine la confiance dans vos services gérés ainsi que votre conformité.

Comment contrôler les sources de journaux de moindre valeur sans compromettre votre dispositif de sécurité ?

Toutes les sources potentielles de bois ne justifient pas leur collecte pour chaque client. Une solution pratique pour éviter le gaspillage tout en restant justifiable consiste à regrouper les sources optionnelles en niveaux basés sur la valeur:

  • Bois de grande valeur : qui améliorent sensiblement la détection précoce ou la contextualisation lors de la plupart des incidents.
  • Journaux médico-légaux spécialisés : qui sont principalement utiles pour les cas complexes et à fort impact.
  • Bûches de faible valeur ou bruyantes : qui augmentent le volume et les coûts pour un bénéfice limité en matière d'enquête.

Vous pouvez ensuite aligner ces niveaux sur votre catalogue de services :

  • Les services de base comprennent les sources non négociables.
  • Les services Premium ou « sécurité renforcée » ajoutent des niveaux spécifiques à haute valeur ajoutée et d'analyse forensique.

Documenter ces niveaux, ainsi que la justification fondée sur les risques pour chacun, dans ISMS.online sous votre norme de journalisation vous offre un moyen clair d'expliquer aux auditeurs et aux clients pourquoi un service inclut une journalisation plus riche qu'un autre et aide votre équipe commerciale à traiter la journalisation comme une partie explicite de chaque service géré plutôt que comme un coût invisible.

Comment un MSP doit-il définir et gérer la conservation des journaux pour satisfaire à l'article A.8.15 et à la loi sur la protection des données ?

L’ISO 27001 ne prescrivant pas de durée de conservation, la section A.8.15 vous impose de définir et de justifier la durée de conservation des différents types de données de journalisation. En tant que fournisseur de services gérés (MSP), vous devez concilier les besoins d’enquête, les attentes des clients et du secteur, les contrats et les règles de confidentialité pour plusieurs locataires et régions.

Comment construire un modèle de fidélisation qui paraisse raisonnable et justifiable ?

Au lieu de définir une période de rétention par source individuelle, la plupart des fournisseurs de services gérés (MSP) trouvent plus facile de travailler avec un petit nombre de sources. classes de journalisation, Tels que:

  • Activité d'identité et d'accès.
  • Événements et alertes de sécurité.
  • Activité administrative et de changement.
  • Registres de service et de billetterie.
  • Journaux techniques de faible valeur.

Pour chaque classe, vous pouvez ensuite décider :

  • Combien de temps les journaux restent-ils consultables dans vos principaux outils de détection et d'enquêtes quotidiennes ?
  • Combien de temps restent-ils en archives pour les cas rares et complexes, les obligations légales ou les raisons contractuelles ?

Ces périodes devraient être liées à :

  • Délais typiques de détection et d'enquête pour les attaques graves.
  • Attentes sectorielles et orientations réglementaires dans les industries que vous servez.
  • Engagements dans les contrats clients et, le cas échéant, dans les polices d'assurance cyber.

Les journaux techniques de moindre valeur peuvent généralement être conservés pendant des périodes plus courtes afin de gérer le stockage et de réduire l'exposition inutile des données personnelles, tandis que les journaux de sécurité et d'accès de grande valeur justifient généralement une conservation plus longue.

Comment concilier la conservation des données avec les exigences de confidentialité tout en permettant des enquêtes approfondies ?

La conservation des données devient problématique en matière de protection de la vie privée lorsqu'elle est prolongée uniquement pour des raisons de faible coût. Pour respecter à la fois la norme ISO 27001 et les réglementations en matière de protection des données telles que le RGPD ou le CCPA, vous pouvez :

  • Identifiez les classes de journaux contenant des données personnelles et assurez-vous de pouvoir expliquer, en termes de risques et de légalité, pourquoi ces périodes de conservation ne dépassent pas ce qui est nécessaire.
  • Appliquez des techniques telles que la pseudonymisation ou la tokenisation pour les archives à long terme afin que les enquêteurs puissent toujours participer à des événements lorsque cela est nécessaire sans exposer d'identifiants clairs à chaque utilisateur ou outil.
  • Remplacez les anciens enregistrements détaillés par des statistiques agrégées ou des résumés dès lors qu'ils ne sont plus nécessaires pour la gestion des incidents ou comme preuves légales.
  • Testez régulièrement la récupération et l'analyse des journaux archivés pour des scénarios d'incidents représentatifs afin de vous assurer que votre stratégie de conservation fonctionne en pratique, et pas seulement sur le papier.

La documentation de vos classes de journaux, de vos périodes de conservation, de votre raisonnement sur les risques et de vos approbations dans ISMS.online, conformément à la section A.8.15 et aux contrôles de confidentialité pertinents, vous fournit une piste d'audit que vous pouvez présenter aux auditeurs, aux organismes de réglementation et aux clients qui souhaitent comprendre pourquoi un type particulier de journal est conservé pendant une période donnée.

Comment un MSP peut-il prouver de manière convaincante sa conformité à la norme A.8.15 lors d'un audit ISO 27001 ?

Les auditeurs ont tendance à examiner le point A.8.15 sous trois angles : unique, la vente au détail XNUMXh/XNUMX ou améliorationVous n'êtes pas jugé sur la possession d'un SIEM particulier, mais sur votre capacité à démontrer que la journalisation est intentionnellement conçue, qu'elle fonctionne comme prévu et qu'elle est examinée.

Que devez-vous préparer avant un audit axé sur la norme A.8.15 ?

Un dossier de preuves concis, aligné sur la norme A.8.15, facilite grandement les échanges lors de l'audit. Il comprend généralement :

  • Une politique ou une norme de journalisation qui fait explicitement référence à A.8.15 et aux contrôles de surveillance et de gestion des incidents associés.
  • Plans de journalisation au niveau du service qui expliquent, pour chaque service géré majeur, quelles sources de journalisation sont utilisées, comment fonctionne la séparation multi-locataires et comment la rétention est appliquée.
  • Une matrice de classification et de conservation des journaux qui indique la durée de conservation de chaque classe de journaux et les raisons de cette conservation.
  • Votre déclaration d’applicabilité présentant clairement tous les contrôles liés à la journalisation et vos décisions de mise en œuvre ou d’exclusion.

Pour le fonctionnement, vous pouvez préparer :

  • Captures d'écran ou exportations de configuration prouvant que les sources clés, les identifiants de locataire, les options d'intégrité et les paramètres de conservation sont activés.
  • Exemples d'examens de journaux planifiés, de files d'attente d'alertes et de tableaux de bord de sécurité, indiquant notamment qui les a examinés et ce qu'ils ont fait des résultats.
  • Un petit nombre de dossiers d'enquête où les journaux de bord ont joué un rôle central dans la compréhension ou la résolution d'un problème.
  • Comptes rendus des revues de direction ou rapports d'amélioration où les performances, la couverture ou les incidents liés à l'enregistrement des données ont été abordés.

Si ces éléments se trouvent dans ISMS.online et sont liés à A.8.15 et aux services pertinents, vous pouvez guider les auditeurs de la politique aux exemples de travail de manière logique plutôt que de les faire chercher dans les e-mails ou les dossiers locaux.

Comment peut-on présenter la journalisation comme un contrôle évolutif plutôt que comme une exigence statique ?

Les auditeurs sont généralement plus détendus lorsqu'ils constatent que la consignation fait partie d'un cycle d'amélioration continue. Vous pouvez le démontrer en :

  • Consignez les risques, les problèmes et les changements liés aux journaux de bord dans le cadre de vos processus de gestion des risques et d'amélioration, en indiquant les responsables et les dates d'échéance.
  • Afficher un calendrier de révision pour votre norme de journalisation, votre modèle de conservation et vos mappages de services, ainsi que la preuve que les révisions entraînent des mises à jour.
  • Tirer les enseignements des enquêtes où la journalisation a soit bien fonctionné, soit révélé une lacune, puis relier ces enseignements aux changements de configuration, de couverture ou de processus.

Le fait de pouvoir parcourir ces éléments dans ISMS.online sous A.8.15 permet de changer le ton de l'audit, passant de « avez-vous coché cette case ? » à « comment utilisez-vous la journalisation pour renforcer vos services gérés au fil du temps ? », ce qui soutient la réputation que vous souhaitez en tant que MSP sérieux.

Comment ISMS.online aide-t-il votre fournisseur de services gérés à transformer la journalisation et la conservation des données en un service fiable et reproductible ?

Pour de nombreux fournisseurs de services gérés (MSP), le défi posé par la norme A.8.15 n'est pas de savoir si un outil peut collecter les journaux, mais plutôt si la journalisation et la conservation de ces journaux sont correctement gérées. cohérent, explicable et commercialement durable Pour l'ensemble de vos clients, ISMS.online vous aide en considérant votre approche de journalisation comme une partie intégrante et encadrée de votre système de gestion, et non comme un ensemble de pratiques dispersées.

Comment ISMS.online peut-il vous aider à concevoir votre système de journalisation, à définir vos responsabilités et à constituer des preuves ?

Sur ISMS.online, vous pouvez soumettre le point A.8.15 au même contrôle que le reste de votre travail relatif à la norme ISO 27001 :

  • Consignez une seule fois votre politique et votre norme de journalisation, liez-les directement à A.8.15 et aux contrôles associés, et rendez-les visibles aux ingénieurs, aux analystes et aux responsables de service.
  • Associez chaque service géré à cette norme afin de toujours savoir quelles sources de journaux, architectures et règles de conservation s'appliquent à « Managed M365 », « Managed Firewall », « Managed Endpoint » et aux offres similaires.
  • Conserver une matrice unique de classification et de conservation des journaux, liée aux risques, aux contrats et aux réglementations, avec les dates d'approbation et de révision clairement enregistrées.
  • Attribuez les responsabilités relatives aux revues de journaux, à la gestion des exceptions et aux tâches d'amélioration, et suivez leur réalisation grâce à des flux de travail et des rappels intégrés.
  • Joignez les schémas d'architecture, les rapports d'examen, les résumés d'enquête et les notes de réunion de direction directement à A.8.15 et aux services individuels afin que les preuves soient faciles à rassembler pour les auditeurs, les assureurs ou les clients importants.

Comme tout se trouve dans un environnement unique et gouverné, les mises à jour que vous apportez à la conception et à la conservation des journaux s'alignent automatiquement sur votre système de gestion de la sécurité de l'information (SGSI) global, au lieu d'être perdues dans des feuilles de calcul ou des dossiers personnels.

Quels avantages concrets votre équipe et vos clients constateront-ils au quotidien ?

Lorsque la journalisation et la conservation des données sont gérées via ISMS.online, les responsables de la sécurité travaillent à partir d'un plan unique et réutilisable Pour A.8.15, dans tous les locataires et toutes les régions, les ingénieurs suivent des normes et des calendriers clairs au lieu d'habitudes ad hoc, et les équipes commerciales peuvent expliquer comment la journalisation soutient chaque niveau de service au lieu de s'appuyer sur des promesses vagues.

Avec le temps, cette combinaison influence souvent la perception de votre fournisseur de services gérés (MSP) par vos clients et auditeurs. Au lieu de compter sur le bon fonctionnement des outils de journalisation par défaut, vous devenez le fournisseur capable d'expliquer précisément la conception, le fonctionnement et l'amélioration de la journalisation, et de présenter clairement ces informations dans votre système de gestion de la sécurité de l'information (SGSI). Consacrer le temps à la description de votre approche actuelle en matière de journalisation et des améliorations à venir sur ISMS.online est une démarche simple si vous souhaitez que la norme A.8.15 contribue à votre réputation plutôt que d'être perçue comme une contrainte supplémentaire.

Marc Sharron

Mark Sharron dirige la stratégie de recherche et d'IA générative chez ISMS.online. Il se concentre sur la communication sur le fonctionnement pratique des normes ISO 27001, ISO 42001 et SOC 2, en reliant les risques aux contrôles, aux politiques et aux preuves grâce à une traçabilité adaptée aux audits. Mark collabore avec les équipes produit et client pour intégrer cette logique aux flux de travail et au contenu web, aidant ainsi les organisations à comprendre et à prouver en toute confiance la sécurité, la confidentialité et la gouvernance de l'IA.

Twitter

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Hiver 2026
Responsable régional - Hiver 2026 Royaume-Uni
Responsable régional - Hiver 2026 UE
Responsable régional - Hiver 2026 Marché intermédiaire UE
Responsable régional - Hiver 2026 EMEA
Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.