Pourquoi la “bonne” durée de rétention n’est jamais une valeur unique

La rétention des journaux (logs) sert plusieurs objectifs qui entrent parfois en tension :

• Détection et réaction : identifier rapidement des comportements anormaux, corréler des événements, enclencher un traitement d’incident.
• Investigation : reconstruire une chronologie, qualifier l’étendue d’une compromission, produire des éléments exploitables.
• Conformité : répondre à certaines obligations sectorielles ou légales, ou à des exigences contractuelles.
• Protection des données : limiter la conservation au strict nécessaire (principe de “limitation de la conservation”).

La CNIL rappelle qu’une conservation trop longue augmente aussi le risque (saturation, indisponibilité, extraction d’informations sensibles sur le SI, détournement de finalité). Il faut donc piloter la rétention comme un arbitrage et non comme un réglage par défaut.

Repères de conformité : ce que disent CNIL, RGPD et textes français

1) Repère CNIL pour la journalisation “standard”

Pour la traçabilité des accès et actions d’utilisateurs habilités, la CNIL recommande généralement une conservation entre 6 mois et 1 an. Elle admet qu’une durée supérieure à 1 an puisse être justifiée dans certains cas (contrôle interne, risques élevés pour les personnes, contexte de menace…), avec jusqu’à 3 ans “dans les cas les plus courants” si la justification est documentée et proportionnée.

2) Principe RGPD : limitation de la conservation

En présence de données à caractère personnel dans les logs, la durée doit rester n’excédant pas celle nécessaire au regard des finalités. En pratique, cela impose de définir une politique de rétention, de la réviser, et d’éviter que les journaux ne deviennent une “archive parallèle” contenant des données qui auraient dû être supprimées ailleurs.

3) Cas particuliers : obligations de conservation de données de connexion

Certains acteurs (opérateurs / fournisseurs de services, acteurs visés par la LCEN, etc.) peuvent être soumis à des obligations spécifiques de conservation de données permettant l’identification et/ou de données de connexion. Par exemple, le décret du 20 octobre 2021 précise des catégories de données et des durées d’un an dans certains cadres ; et une injonction de conservation sur un an peut intervenir dans des conditions prévues par les textes. Ces obligations ne s’appliquent pas automatiquement à toutes les organisations : elles se vérifient au cas par cas (activité, rôle, périmètre, sous-traitance, services fournis).

Alignement ISO 27001 et ANSSI : ce que la politique doit couvrir

ISO/IEC 27001:2022 demande que les journaux pertinents soient générés, conservés, protégés et analysés, et que l’organisation maîtrise la durée de conservation et la suppression des informations documentées. Concrètement, une politique de rétention des logs doit préciser :

• Périmètre : quels systèmes, applications, équipements réseau, services cloud.
• Finalités : sécurité (détection), investigation, conformité, contentieux.
• Catégories d’événements : authentification, élévation de privilèges, administration, accès à des données sensibles, erreurs, alertes EDR, flux, etc.
• Niveaux de stockage : “chaud / tiède / froid” (recherche rapide vs archivage), avec contraintes d’accès.
• Mesures d’intégrité : journalisation protégée, accès strictement limité, mécanismes empêchant l’altération ; la CNIL recommande notamment d’horodater et de signer les journaux dès leur création et de les conserver de façon ségrégée.

Côté architecture, l’ANSSI met en avant des principes structurants (collecte, centralisation, archivage hors ligne, zone de confiance), utiles pour concilier exploitation court terme et archivage maîtrisé.

Grille pratique : “journalier / mensuel / annuel” en 3 horizons

Le modèle ci-dessous n’est pas “une loi”. Il fournit une base de travail alignée sur les repères CNIL (6–12 mois) et sur une approche par les risques. À ajuster selon : criticité des actifs, exposition, exigences métier, menace, obligations sectorielles et capacité SOC.

Comment décider sans se tromper : une méthode simple “obligations + risques”

1. Inventorier les logs : sources, types d’événements, présence de données personnelles, sensibilité.
2. Qualifier les finalités : détection, investigation, conformité, contentieux. Une finalité = des besoins = une durée.
3. Appliquer un socle CNIL : viser 6–12 mois pour la journalisation standard, puis traiter les exceptions (plus court ou plus long).
4. Traiter les exceptions par le risque : si vous prolongez, documentez (menace, scénarios d’attaque, risques pour les personnes, contrôle interne) et fixez des garde-fous (accès, intégrité, surveillance du stockage).
5. Concevoir l’architecture : stockage “chaud/tiède/froid”, ségrégation, limitation des droits, protection contre l’altération, capacités de recherche.
6. Automatiser la purge : rotation, suppression, preuve de purge, et revue périodique (changements de menace, périmètre, outillage).

Points de vigilance (souvent oubliés)

• Ne pas dupliquer inutilement : éviter de recopier des données métier dans les logs ; journaliser plutôt des références, identifiants et métadonnées utiles.
• Limiter la surveillance RH : les logs peuvent révéler des informations sur l’activité d’agents ; cadrer l’accès, la finalité et l’information des utilisateurs.
• Dimensionnement : une rétention ambitieuse sans capacité de stockage ni stratégie “froid” crée un risque opérationnel.
• Accès “break-glass” : prévoir une procédure d’accès exceptionnel (incident) avec traçabilité et validation.
• Traçabilité de la traçabilité : l’accès aux journaux eux-mêmes doit être journalisé et contrôlé.

Conclusion : une politique de rétention robuste n’est pas “conserver le plus possible”. C’est un dispositif gouverné : des durées cibles (6–12 mois en standard), un stockage multi-horizons (journalier/mensuel/annuel), des exceptions justifiées, et une exécution technique (rotation, purge, intégrité) réellement opérée.