Immutable Audit Logs : définition
Les Immutable Audit Logs, autrement dit les journaux d’audit immuables, constituent un enregistrement des événements système et opérationnels conçu de manière à ce qu’une fois une entrée créée, elle ne puisse plus être supprimée ni modifiée sans laisser de trace. En pratique, cela implique la mise en œuvre de mécanismes techniques et organisationnels garantissant l’intégrité, la traçabilité et la vérifiabilité de l’historique des opérations. Dans les environnements qui traitent des photos et des vidéos, ces journaux documentent non pas le contenu même de l’image, mais les actions effectuées sur les fichiers, les tâches et la configuration du système.
Dans le contexte de l’anonymisation des photos et des contenus vidéo, les journaux d’audit immuables servent à démontrer qui a lancé le processus de floutage des visages ou des plaques d’immatriculation, à quel moment et sur quelle base, quel fichier a été traité, quelle version du modèle de détection a été utilisée, quel a été le résultat de l’opération et si l’opérateur a effectué des corrections manuelles. Cela est essentiel au regard du principe de responsabilité prévu à l’article 5, paragraphe 2 du RGPD, qui exige que le responsable du traitement soit en mesure de démontrer la conformité du traitement à la réglementation. Le RGPD n’impose pas en lui-même une technologie précise d’immutabilité, mais il exige des mesures de sécurité appropriées, notamment pour garantir l’intégrité et la confidentialité du traitement ainsi que la résilience des systèmes et des services - article 5, paragraphe 1, point f, et article 32 du RGPD, Règlement (UE) 2016/679.
Un journal d’audit immuable ne se confond pas avec un simple journal applicatif. Les journaux classiques peuvent être écrasés, tronqués par rotation ou supprimés par un administrateur. Un journal immuable doit résister à ce type d’actions, par exemple grâce à l’utilisation d’un stockage WORM, de chaînes de hachage cryptographiques, de signatures numériques, d’horodatages qualifiés ou d’autres horodatages fiables, ou encore de contrôles de rétention au niveau du système de fichiers ou de l’objet.
Rôle des journaux d’audit immuables dans l’anonymisation des photos et des vidéos
Dans les processus d’anonymisation d’images, l’audit est important non seulement pour la sécurité informatique, mais aussi pour la conformité juridique et la qualité opérationnelle. Le délégué à la protection des données ou l’auditeur doit pouvoir reconstituer le déroulement des opérations sans accéder aux données personnelles elles-mêmes, sauf si cela s’avère nécessaire.
En pratique, les journaux d’audit immuables soutiennent simultanément plusieurs domaines :
- la responsabilité - démontrer qu’un contenu a été anonymisé avant sa mise à disposition ou sa publication,
- l’intégrité du processus - confirmer que le résultat n’a pas été remplacé après l’anonymisation,
- le contrôle d’accès - enregistrer quel utilisateur a ouvert une tâche, validé un résultat ou effectué une modification manuelle,
- la forensic analysis - analyser les incidents, les erreurs de détection et les actions non autorisées,
- la gestion des modèles d’IA - relier le résultat à une version précise du modèle de détection des visages ou des plaques.
Dans un système tel que Gallio PRO, le journal d’audit doit porter sur les opérations liées aux tâches d’anonymisation ainsi qu’à l’administration du système. Conformément aux exigences produit, la solution ne devrait pas enregistrer de journaux contenant les détections elles-mêmes des visages et des plaques d’immatriculation ni d’autres données personnelles, sauf si cela est indispensable à la finalité d’audit. Cela signifie que la conception de la journalisation doit séparer les données probantes du contenu susceptible d’élargir le périmètre du traitement des données personnelles.
Quels événements doivent figurer dans le journal d’audit ?
Le périmètre de journalisation doit être limité aux informations nécessaires à l’audit, à la sécurité et à la démonstration de conformité. Dans un environnement de traitement de photos et d’enregistrements vidéo, il est recommandé d’enregistrer des métadonnées opérationnelles plutôt que le contenu visuel lui-même.
Événement | Exemples de champs | Objectif d’audit
|
|---|---|---|
Création d’une tâche | ID de la tâche, identifiant du fichier, utilisateur, heure UTC | déterminer le début du processus |
Lancement de l’anonymisation | type d’opération, version du modèle, configuration du floutage | relier le résultat aux paramètres de traitement |
Correction manuelle | utilisateur, étendue de la correction, heure, motif | documenter l’intervention de l’opérateur |
Export du résultat | format de sortie, somme de contrôle du fichier, destinataire | assurer la traçabilité de la diffusion du contenu |
Modification des autorisations | administrateur, rôle avant et après modification | contrôle de sécurité et séparation des responsabilités |
Technologies utilisées pour garantir l’immutabilité
L’immutabilité ne résulte pas du simple fait d’enregistrer un journal. Elle doit être imposée par l’architecture du système. Dans la plupart des cas, plusieurs couches de protection sont utilisées simultanément afin de rendre plus difficile aussi bien une modification accidentelle qu’une falsification intentionnelle des enregistrements.
- WORM - Write Once Read Many. Une fois écrites, les données ne peuvent plus être modifiées pendant la période de rétention. Ce mécanisme est utilisé dans les mémoires optiques, les baies de stockage et les stockages objet.
- Chaînage de hachage - chaque entrée contient le hachage de l’entrée précédente. La modification d’un seul enregistrement rompt la chaîne d’intégrité.
- Signature numérique - l’entrée ou le lot de journaux est signé avec une clé privée, ce qui permet de détecter toute manipulation.
- Horodatage qualifié ou autre horodatage fiable - il atteste l’existence d’une entrée à un moment précis.
- Stockage d’audit séparé - les journaux sont envoyés vers un référentiel doté de droits d’administration distincts.
En pratique, la vérification de l’intégrité peut s’appuyer sur les fonctions de hachage de la famille SHA-2. La norme FIPS 180-4 du NIST définit notamment SHA-256 et SHA-512 comme algorithmes de hachage standard. Pour les signatures et les horodatages, les documents ETSI relevant des services de confiance s’appliquent, y compris ETSI EN 319 421 et ETSI EN 319 422 pour les politiques et exigences relatives aux autorités d’horodatage. Si les journaux sont conservés dans des systèmes cloud ou des stockages objet, les politiques de rétention et les verrous de suppression au niveau du support sont également essentiels.
Paramètres et métriques clés des journaux d’audit immuables
L’évaluation de la qualité des journaux d’audit ne devrait pas se limiter à constater leur existence. Des paramètres mesurables sont nécessaires afin de pouvoir les vérifier lors d’un audit ou d’un test de sécurité.
Paramètre | Signification | Exemple d’interprétation
|
|---|---|---|
Rétention | durée minimale de conservation des entrées | par ex. 12, 24 ou 36 mois conformément à la politique de l’organisation |
RPO des journaux | perte admissible d’entrées après incident | 0 ou proche de 0 pour les événements critiques |
Latence d’écriture | délai entre l’événement et l’enregistrement définitif du journal | quelques secondes ou moins dans les systèmes à haut niveau de confiance |
Taux de vérification de l’intégrité | part des enregistrements vérifiés correctement par des moyens cryptographiques | 100 % pour un contrôle complet de la cohérence |
Couverture des événements | pourcentage des opérations critiques couvertes par l’audit | doit couvrir l’ensemble du cycle d’anonymisation |
Dans les environnements réglementés, on utilise également les notions de complete, consistent, enduring and available ainsi que attributable, legible, contemporaneous, original and accurate, connues sous le nom d’ALCOA+. Bien que ce terme provienne de secteurs réglementés, il structure aussi très bien les exigences applicables aux journaux d’audit au-delà de ces seuls secteurs.
Importance pour l’IA utilisée dans le floutage des visages et des plaques d’immatriculation
Le floutage automatique des visages et des plaques d’immatriculation repose sur des modèles de détection d’image, généralement entraînés à l’aide du deep learning. Le modèle d’IA, à lui seul, ne garantit ni la conformité ni l’auditabilité. Il est nécessaire de relier le résultat à une version précise du modèle, à la configuration du seuil de détection et aux décisions de l’opérateur.
Il est utile d’enregistrer dans les journaux, entre autres :
- l’identifiant et la version du modèle,
- la date de déploiement du modèle dans l’environnement de production,
- les paramètres d’exécution, par exemple le seuil de confiance (confidence threshold) s’il est configurable,
- l’information indiquant si le résultat a été corrigé manuellement,
- la somme de contrôle du fichier d’entrée et du fichier de sortie.
Ces données ne devraient pas inclure les coordonnées de détection elles-mêmes si la politique de minimisation des données exclut l’enregistrement d’informations permettant de reconstituer la présence de personnes ou de véhicules déterminés. Cette distinction est essentielle : l’audit du processus n’exige pas de conserver des données qui accroissent le risque pour la vie privée.
Défis et limites
Un journal d’audit immuable ne résout pas tous les problèmes. Si le système enregistre un événement erroné, le journal conservera fidèlement cette erreur. Si l’étendue appropriée des événements n’a pas été correctement définie, l’analyse ultérieure sera incomplète. En outre, une journalisation trop large peut conduire à un traitement excessif de données personnelles.
Les problèmes les plus fréquents sont les suivants :
- absence de synchronisation horaire entre les nœuds du système,
- rotation des journaux sans préservation de la chaîne d’intégrité,
- comptes administrateur partagés, qui affaiblissent la responsabilité,
- journalisation de données qu’il n’est pas nécessaire de conserver du point de vue de l’audit,
- absence de procédure de vérification régulière des signatures et des hachages.
Références normatives et standards
Pour concevoir et évaluer des journaux d’audit immuables, il est recommandé de s’appuyer sur les documents de référence. Tous n’emploient pas explicitement le terme immutable audit logs, mais ils définissent les exigences relatives à l’intégrité, à la responsabilité, à l’enregistrement des événements et à la protection des journaux.
- RGPD - Règlement (UE) 2016/679, article 5, paragraphe 1, point f, article 5, paragraphe 2, article 24, article 32.
- ISO/IEC 27001:2022 - exigences applicables au système de management de la sécurité de l’information.
- ISO/IEC 27002:2022 - mesures de sécurité, y compris la journalisation, la surveillance et la protection de l’information.
- NIST SP 800-92, Guide to Computer Security Log Management, 2006 - gestion des journaux de sécurité.
- NIST SP 800-53 Rev. 5, 2020 - contrôles AU relatifs à l’audit et à la responsabilité.
- FIPS PUB 180-4, NIST, 2015 - Secure Hash Standard.
- ETSI EN 319 421 et ETSI EN 319 422 - exigences applicables aux services d’horodatage.