Journaux d'accès et audit de sécurité cloud : savoir qui a touché à quoi
Quand une fuite de données se produit, la première question n’est pas « comment ça a pu arriver » mais « quand est-ce que ça a commencé et qui a fait quoi ». Et la réponse dépend entièrement de la qualité des journaux d’accès de votre fournisseur cloud. Un cloud sans logs d’audit, c’est une caméra de surveillance sans enregistrement – elle vous donne l’illusion de la sécurité, mais le jour où vous en avez besoin, il n’y a rien à revoir. La section sécurité et chiffrement cloud couvre l’architecture de protection complète ; cet article se concentre sur la couche de traçabilité, celle que le RGPD impose dans son article 30 mais que peu d’entreprises vérifient chez leur fournisseur avant de signer.
En deux phrases : les journaux d’accès enregistrent qui a accédé à quel fichier, quand, depuis quelle adresse IP, et quelle action a été effectuée (lecture, modification, suppression, partage). Un bon système d’audit permet de reconstituer la chronologie d’un incident, d’identifier les comptes compromis, et de prouver la conformité réglementaire lors d’un contrôle.
Ce qu’un journal d’accès devrait enregistrer (et ce qu’il enregistre vraiment)
Le journal d’accès idéal contient : l’identifiant de l’utilisateur, l’horodatage précis (au moins à la seconde), l’adresse IP source, le type d’action (création, lecture, modification, suppression, téléchargement, partage, changement de permissions), l’objet concerné (fichier, dossier, paramètre), et le résultat de l’action (succès, échec, raison de l’échec). C’est ce que recommandent les référentiels comme ISO 27001 et SOC 2.
En pratique, chaque fournisseur a sa propre définition de « logging suffisant » :
Google Workspace offre les logs les plus détaillés du marché : chaque action sur Google Drive est tracée, avec l’IP, l’appareil, et le type de client. Les administrateurs peuvent consulter les rapports d’audit via la console Admin et les exporter vers BigQuery pour des analyses avancées. La rétention est de six mois pour les rapports standard, illimitée via Vault (mais Vault est un add-on payant).
Microsoft 365 propose le journal d’audit unifié dans le portail de conformité. Les logs couvrent SharePoint, OneDrive, Exchange, Teams. La rétention par défaut est de 90 jours (180 jours avec E5), extensible à un an ou plus avec les licences de conformité avancée. C’est complet, mais la navigation est un cauchemar bureaucratique typiquement microsoftien.
Dropbox Business enregistre les connexions, les partages, les modifications de fichiers et les changements de paramètres d’équipe. Les logs sont accessibles aux administrateurs via le tableau de bord et exportables en CSV. Rétention : un an pour les plans Business et Enterprise.
kDrive / Infomaniak propose un historique des activités par espace kDrive : modifications, suppressions, partages, restaurations. L’administration Infomaniak offre un journal des connexions avec IP et appareil. La granularité est moindre que Google Workspace ou Microsoft 365, mais couvre les besoins essentiels d’une PME. L’avantage décisif : les logs sont stockés en Suisse, dans la même juridiction que les données elles-mêmes.
Le lien avec les politiques de mots de passe
Les logs d’audit révèlent les failles que les politiques de mots de passe n’ont pas empêchées. Dix tentatives de connexion échouées en une minute depuis trois pays différents ? Du credential stuffing. Une connexion réussie suivie immédiatement d’un téléchargement massif de fichiers ? Un compte compromis. Une modification de permissions qui donne un accès admin à un compte externe ? Soit une erreur, soit une attaque interne. Sans journaux, ces événements passent inaperçus jusqu’au jour où les dégâts sont visibles – et à ce moment-là, il est trop tard.
Détecter un ransomware avant qu’il ne soit trop tard
Les journaux d’accès sont aussi votre première ligne de détection contre les ransomwares dans le cloud. Un ransomware qui chiffre vos fichiers synchronisés produit un pattern reconnaissable dans les logs : des milliers de modifications de fichiers en quelques minutes, avec un changement d’extension systématique (.encrypted, .locked, .cryptolocker). Un système d’alerte configuré sur ce type de pattern peut déclencher une suspension automatique de la synchronisation avant que l’ensemble du cloud ne soit touché.
La rétention des logs est un sujet souvent négligé. Le RGPD n’impose pas de durée spécifique de conservation des journaux d’accès, mais il impose de pouvoir démontrer la conformité (article 5.2, principe de responsabilité). En pratique, une rétention de six mois à un an couvre la majorité des besoins de conformité et d’investigation. Au-delà, les logs deviennent des données personnelles (ils contiennent des identifiants et des IP) qui posent eux-mêmes des questions de conservation au regard du RGPD.
L’exportation des logs est aussi un critère à vérifier. Si vos logs sont enfermés dans l’interface web du fournisseur sans possibilité d’exportation en CSV, JSON ou vers un SIEM (Security Information and Event Management), leur utilité en cas d’investigation forensic est limitée. Les fournisseurs enterprise (Google Workspace, Microsoft 365) offrent des API d’exportation robustes. Les fournisseurs PME (kDrive, Dropbox Business) offrent des exports manuels, généralement suffisants pour des équipes de moins de 50 personnes.
En résumé : avant de choisir un cloud pour votre équipe, vérifiez quatre choses dans les logs d’audit : quelles actions sont tracées (le minimum vital : connexions, accès fichiers, partages, changements de permissions), la durée de rétention (six mois minimum), la possibilité d’exportation, et la juridiction de stockage des logs eux-mêmes. Un cloud qui chiffre vos données mais stocke vos logs d’accès sur un serveur américain vous expose à un paradoxe que personne ne veut découvrir lors d’un contrôle RGPD.