Juste ma petite pierre, à une réunion FRNOG il y a 2 ans, il y avait eu une conférence donné par un gendarme sur comment il avait fait un coup de filet assez sympa dans la pédo. A la séance des questions ca a pas mal fusé car il demandait que les opérateurs, les fournisseurs de service leur laisse un accès plus efficace aux logs. Là une personne a posé une question toute bête sur la rétention des logs, que ca coûtait cher en disque dur en redondance ...
Et là il a cité un exemple tout à fait simple mais qui s'est retourné contre lui, les hôtels, ces derniers sont tenus de garder un journal de qui descend dans l'hôtel, obligation tout aussi légale que pour nous. La personne ayant posé la question lui dit que plusieurs cahiers ne coûtent pas aussi cher que des baies de disques si vous devez gardez les logs de pop / imap d'un grand fai par ex. Il a alors précisé que la loi obligeait de garder les logs pas de faire le nécessaire pour qu'il y ait de la redondance, PRA, sauvegarde externalisée ou autre. Il a continué sur l'exemple de l'hôtel qui si il déclare un incident type inondation, incendie, perte, vol, ... de ses journaux il serait couvert en cas de demande. Il a bien précisé que cela s'appliquait aussi en informatique. La personne ayant posé la question a répondu en disant qu'il allait dans ce cas utilisé des disques sata grand public à grande capacité pour stocker ses logs, il a validé totalement le principe si cela n'est pas contraignent en gestion.
Donc ma petite précision sur la fiabilité relative à mettre en place pour les logs. Bon ben entendu ces propos n'engage que lui et je serais d'avis que des spécialistes du droit puisse valider cela. En même temps si on a un document à présenter lors d'une demande attestant qu'une défaillance de disque a eu lieu quelques temps avant ...
Le 08/07/11 15:08, Florian Coulmier a écrit :
Bonjour,
C'est vendredi, mais ceci n'est pas un troll.
Certains d'entre vous ont-ils déjà eu une réflexion sur la conservation des logs (en particulier, des logs mail) dans le respect de la loi française ? D'un côté, il me semble que toute entreprise est tenue de conserver ses logs un certain temps (combien ?) et de pouvoir les présenter en cas de demande ou contrôle. D'un autre côté, la CNIL indique qu'une adresse email (donc contenue dans les logs mail) est une donnée privée et que cela doit être protégé.
Comment faites-vous pour concilier ces deux obligations qui semblent opposée à priori ?
Florian _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/