Traçabilité / Comptabilisation (AAA)
Qu'est-ce que Traçabilité / Comptabilisation (AAA) ?
Traçabilité / Comptabilisation (AAA)Troisième pilier du modèle AAA : enregistrer ce qu'une identité authentifiée a fait, quand, depuis où et sur quelles ressources, à des fins d'audit et de facturation.
La comptabilisation (accounting) du modèle AAA (authentification, autorisation, comptabilisation) collecte et conserve des enregistrements d'activité qui relient chaque action à une identité vérifiée, fournissant les preuves utiles à la supervision, à l'investigation forensique, à la conformité et à la refacturation. Les données typiques incluent connexions et déconnexions, sessions, commandes exécutées, octets transférés et ressources consultées. Des protocoles comme RADIUS, TACACS+ et Diameter définissent l'envoi de ces données à des serveurs centralisés, tandis que SIEM et plateformes de journalisation les agrègent. Une comptabilisation robuste exige un stockage inaltérable, une synchronisation horaire précise et une rétention conforme à la réglementation.
La comptabilisation normalisée est antérieure à l'observabilité moderne. La comptabilisation RADIUS (RFC 2866) définit des paquets Accounting-Request dont l'Acct-Status-Type vaut Start, Interim-Update ou Stop, et qui transportent la durée de la session ainsi que les Acct-Input/Output-Octets ; TACACS+ (RFC 8907) sépare la comptabilisation de l'authentification et de l'autorisation, de sorte que l'audit au niveau des commandes sur les routeurs peut être journalisé indépendamment ; et Diameter (RFC 6733) modernise le modèle pour les réseaux mobiles et IMS. Dans le cloud, des services comme AWS CloudTrail, Azure Activity Log et Google Cloud Audit Logs jouent le même rôle, en enregistrant chaque appel d'API du plan de contrôle avec l'identité de l'appelant, l'IP source et l'horodatage.
La comptabilisation fonde la non-répudiation : parce que chaque enregistrement est lié à une identité authentifiée, un utilisateur ne peut pas nier de manière crédible une action. La réglementation la rend obligatoire — l'exigence 10 de PCI DSS impose la journalisation de tout accès aux données de titulaires de carte, et le NIST SP 800-92 (Guide to Computer Security Log Management) fournit les recommandations de mise en œuvre de référence. Comme les attaquants effacent couramment les journaux pour brouiller les pistes (MITRE ATT&CK T1070, Indicator Removal), une comptabilisation robuste expédie les enregistrements hors de l'hôte en quasi temps réel vers un stockage WORM ou en ajout seul, les signe ou les chaîne par hachage pour en garantir l'intégrité, et synchronise les horloges via NTP afin de pouvoir corréler les événements entre systèmes lors de la réponse aux incidents.
flowchart LR U[Utilisateur / appareil] -->|action| N[Équipement réseau ou application] N -->|Accounting-Request RADIUS / TACACS+| S[Serveur AAA] S --> L[(Stockage de journaux inaltérable)] L --> M[Corrélation SIEM] M --> R[Audit / facturation / forensique]
● Exemples
- 01
Enregistrements RADIUS de début, fin et octets consommés d'une session VPN.
- 02
Journaux d'audit cloud capturant chaque appel d'API avec identité et IP source.
● Questions fréquentes
Qu'est-ce que Traçabilité / Comptabilisation (AAA) ?
Troisième pilier du modèle AAA : enregistrer ce qu'une identité authentifiée a fait, quand, depuis où et sur quelles ressources, à des fins d'audit et de facturation. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Traçabilité / Comptabilisation (AAA) ?
Troisième pilier du modèle AAA : enregistrer ce qu'une identité authentifiée a fait, quand, depuis où et sur quelles ressources, à des fins d'audit et de facturation.
Comment se défendre contre Traçabilité / Comptabilisation (AAA) ?
Les défenses contre Traçabilité / Comptabilisation (AAA) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Traçabilité / Comptabilisation (AAA) ?
Noms alternatifs courants : Audit, Journalisation d'audit.