Le BSI met à jour les normes minimales pour la journalisation des cyberattaques

Normes minimales du BSI pour la journalisation et la détection des cyberattaques
Catégories :

L'interconnexion et la complexité croissantes des systèmes informatiques augmentent la vulnérabilité aux cyber-attaques. Avec la version 2.1 de la norme minimale (MST) pour la journalisation et la détection des cyberattaques, l'Office fédéral de la sécurité des technologies de l'information (BSI) présente une directive centrale pour les exigences de sécurité dans l'administration fédérale. Toutefois, en raison de l'importance croissante de la cyberdéfense et des exigences légales, les entreprises peuvent également tirer des aspects essentiels du MST.

Importance de la norme minimale

La norme se base sur les directives de la loi sur la sécurité informatique 2.0 et du § 8 BSIG et s'adresse aux responsables informatiques, aux chargés de sécurité et au personnel d'exploitation informatique. L'objectif est de garantir un niveau de sécurité uniforme pour la défense contre les cyber-attaques.

La MST définit des exigences minimales pour la journalisation des événements liés à la sécurité (SRE) et leur détection, afin d'identifier à temps les incidents de sécurité et de prendre les contre-mesures appropriées.

L'objectif est de garantir la confidentialité, l'intégrité et la disponibilité des systèmes informatiques. Pour ce faire, les exigences légales telles que le règlement général sur la protection des données (RGPD) sont prises en compte.

Consignation : planifier, collecter, documenter

La journalisation constitue la base de la détection des cyber-attaques. Le processus comprend l'identification des sources de données, la collecte des données d'événements pertinentes et leur documentation structurée. Les exigences centrales sont

  • -les sources de données : Tous les systèmes informatiques susceptibles de fournir des informations relatives à la sécurité, tels que les pare-feu, les systèmes d'exploitation ou les applications, doivent être inclus.
  • Les événements à consigner : Il s'agit notamment des connexions, des modifications des données d'accès, des installations ainsi que des processus critiques pour le système.
  • Documentation : les données collectées doivent être stockées dans une infrastructure de journalisation centrale, protégée à la fois physiquement et logiquement.

Conseil de lecture : Rapport de situation 2024 du BSI - Voici l'état actuel des menaces

Détection : calibrer, détecter, évaluer

La détection s'appuie sur la journalisation et comprend l'analyse automatisée et manuelle des événements liés à la sécurité. L'objectif est d'identifier de manière précoce les activités suspectes.

  • Calibrage : les systèmes sont réglés sur des conditions normales afin de minimiser les fausses alertes.
  • Détection automatisée : des systèmes tels que les systèmes de détection d'intrusion (IDS) ou la gestion des informations et des événements de sécurité (SIEM) aident à analyser les événements en temps réel.
  • Évaluation manuelle : les incidents de sécurité qualifiés sont examinés par des experts afin de mettre en place des mesures de réaction appropriées.


En outre, les mécanismes de sécurité et les systèmes de détection devraient être adaptés aux nouvelles menaces.

Domaines d'activité et cadre organisationnel

Le MST PD répartit les responsabilités entre plusieurs domaines :

  • Sécurité informatique opérationnelle : planification et exploitation de l'infrastructure de journalisation et de détection.
  • Exploitation informatique : assurer le bon fonctionnement de l'infrastructure informatique.
  • Révision : contrôle régulier du respect des consignes ainsi que des mesures de protection.


Chaque établissement doit également s'assurer que les collaborateurs sont formés et que des ressources appropriées sont mises à disposition pour la mise en œuvre.

Défis juridiques et techniques

Le respect de la norme minimale nécessite la prise en compte du cadre juridique. Il s'agit notamment de déterminer les délais de conservation autorisés pour les données de protocole, qui peuvent varier en fonction des besoins de protection. En outre, en cas d'intégration de fournisseurs tiers ou de prestataires de services informatiques, les prescriptions du MST doivent être réglées par contrat.

La norme minimale pour la journalisation et la détection des cyberattaques constitue une ligne directrice centrale pour la sécurité de l'information dans l'administration fédérale. Ses prescriptions strictes offrent non seulement un cadre juridique, mais contribuent également à améliorer la résilience face aux cybermenaces. Une mise en œuvre réussie nécessite toutefois une étroite collaboration entre tous les acteurs concernés et une adaptation continue aux nouveaux scénarios de menaces.

Source : Standard minimal du BSI pour la journalisation et la détection des cyberattaques, version 2.1 du 11.11.2024

Les tags :
Partager ce post :
fr_FRFrench