Bonjour,
Actuellement en stage dans une grande entreprise, je suis chargé de la mise en place de la centralisation des logs sur un serveur syslog à des fins plus juridiques que pour des questions de sécurités. Je dois donc selon la loi dites de Sarkozy (c'est d'actualité ;)) de 2006 récupérer tous les logs de connexion sur le réseau (jusque là rien de sorcier). Cependant j'aimerai sensibiliser ma direction sur les avantages de l'analyse des journeaux d'événements de l'intégralité du réseau (je ne prends cependant pas en compte les machines clientes = les ordis des employés).
N'étant qu'en seconde année de ma formation de développeur et n'aillant aucunes connaissances (et compétences) dans l'administration et la sécurité des réseaux, je manque de connaissances sur l'intérêt de l'analyse des logs pour une machine précise (routeur, switch, firewall ...). Je connais cependant les avantages généraux de l'analyse des logs: cela permet de renforcer la sécurité en surlignant les brèches dans la sécurité (quels types de brèches?) et donc de les corriger, de détecter les attaques en cours et passé sur le réseau et voir comment elles se produisent/aient, et cela peut même servir d'outil de statistiques. Il y a donc un gain de temps (et donc d'argent) à la mise en place de solutions d'analyses de logs.
Il y a pléthore de documentation sur les bénéfices de ces analyses sur le web, mais très peu sur le comment (comment et pourquoi c'est bénéfique).
Je chercherai donc à savoir pour quelles machines il est impératif d'analyser les journeaux d'événements et le pourquoi il est impératif de le faire sur cette machine. De même, est-il important de récupérer et d'analyser les logs des machines clientes?
Pour être sincère je cherche un moyen de faire peur aux décisionnaires de ma société, afin de les pousser à sortir les sous pour protéger leur réseau. ^^'
Merci d'avance pour vos réponnses.
Partager