Qu'est-ce que Journal d'audit ?
Un journal d'audit est un enregistrement chronologique et inviolable des événements et activités d'un système — y compris les actions des utilisateurs, les tentatives d'accès, les changements de configuration et les événements de sécurité — tenu à des fins de responsabilité, de conformité réglementaire et d'analyse forensique.
Aussi connu sous le nom de : audit trail, security log, activity log
Les journaux d'audit répondent aux questions fondamentales d'une enquête de sécurité : qui a fait quoi, sur quelle ressource, quand et depuis où ? Ils consignent des événements tels que les connexions des utilisateurs, les accès aux données, les changements de permissions, les appels d'API, les actions administratives et les tentatives d'authentification échouées. Lors d'un incident de sécurité, les journaux d'audit sont souvent la principale source de preuves pour comprendre l'ampleur d'une atteinte et les actions de l'attaquant.
Un journal d'audit efficace exige plusieurs propriétés : l'exhaustivité (tous les événements pertinents pour la sécurité sont capturés), l'immuabilité (les entrées ne peuvent pas être modifiées ni supprimées par les acteurs audités), des horodatages issus d'une source de confiance, un niveau de détail suffisant (identité, action, ressource cible et résultat) et un stockage sécurisé séparé des systèmes surveillés. De nombreux cadres de conformité — SOC 2, HIPAA, PCI-DSS, RGPD — imposent des exigences précises sur les journaux d'audit.
Le défi des journaux d'audit est l'équilibre entre exhaustivité, respect de la vie privée et coût de stockage. Trop peu journaliser laisse des lacunes dans la capacité forensique. Trop journaliser peut poser des problèmes de vie privée (en particulier au regard du principe de minimisation des données du RGPD), engendrer d'énormes coûts de stockage et, paradoxalement, rendre plus difficile de retrouver les événements pertinents dans le bruit. Les organisations doivent définir ce qui constitue un événement pertinent pour la sécurité et veiller à le capturer sans collecter de données excessivement sensibles.
Comment Vaulted utilise Journal d'audit
L'architecture zero-knowledge de Vaulted fixe des limites délibérées à ce qui peut être audité. Le serveur consigne des métadonnées opérationnelles — comme les horodatages de création des secrets, les comptes de consultations et les événements d'expiration — mais ne journalise jamais le contenu chiffré ni les clés de chiffrement, puisqu'il ne les détient jamais. Cette approche est conforme aux principes de minimisation des données : le journal d'audit capture assez pour surveiller l'état du système et détecter des schémas d'abus, sans constituer une chronique susceptible d'exposer des données sensibles si les journaux eux-mêmes étaient compromis.