Bonjour,
 
pour une entreprise, quelle la durée légale pour la conservation des log de connexion (proxy) des différents utilisateurs ?
 
D'après la page suivante : http://www.certa.ssi.gouv.fr/site/ [...] index.html paragraphe 7.1
 
Il est dit que c'est fixé à un an mais après ça parle également de 3 mois, je ne comprends donc pas.
 
Est-ce que quelqu'un de compétant peut-il m'éclairer svp ?
 
Merci

Bonjour,
 
A la lecture du document de l'ANSSI :
 
Les trois catégories de données concernées sont les données utiles :
– dans le cadre de la facturation et du paiement des prestations de communications électroniques ;
– dans le cadre de la recherche ou de la poursuite d’une infraction ;
– dans le cadre de la protection des systèmes d’information de l’opérateur de communications électroniques.
 
Les types de données concernés par ces catégories sont précisés par la réglementation 14, mais ne
sont pas exhaustifs :
– les informations permettant d’identifier l’utilisateur ;
– les données relatives aux équipements terminaux de communication utilisés ;
– les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
– les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
– les données permettant d’identifier le ou les destinataires de la communication.
 
La durée minimale de conservation est d’un an pour les deux premières catégories de
données et de trois mois pour les données conservées pour la sécurité des réseaux et des
installations.
 
DONC : 1 an pour les infos permettant une facturation des prestations, et pour les infos permettant la recherche d'infraction. Sinon, 3 mois pour les infos relatifs à la sécurité des réseaux et installations
 
PS : Je réponds à ce post parce que les mots clé "log proxy durée" ont affiché cette page en premier, il fallait un épilogue à ce topic.

Mais il avait posé la question il y a 7 ans.

Mieux vaut tard que jamais

ca fait toujours une réponse de plus.
Mais bon y a quasiment personne qui garde 1 an de log.
ca coute cher, c'est du travail, et les entreprises ont d'autres priorités.

Qu'est-ce qui se passe si jamais y'a des demandes des logs avant les 1ans ? (ex: justice)

Il y en aura pas.
On est le pays champion pour créer des lois en pagaille mais on ne s'interesse pas la faisabilité.
Le majorité des boites n'ont aucun proxy et ne conserve pas des centaines de Go de log.
Car souvent il leur faudrait plus de stockage qu'ils n'en ont sur leur serveur.
Il faut acheter un nouveau serveur pour le proxy, faire la maintenance, faire la sauvegarde.
Et sortir bien entendu l'argent, car on sait bien que les tous les patrons sont pleins aux as.

Pas certain que ça soit très très cher d'archiver du texte hautement compressible sur du stockage long terme genre Glacier.

Mais il s'agit bien là d'une obligation légale. Ce ne sont pas de simples recommandations. L'entreprise ou l'entité doit tout mettre en oeuvre pour garder les registres de connexions d'au moins 1 an. > Autrement, bah c'est pas bien
 

Mais ces lois, c'est du n'importe quoi.
Pour une grosse boite, c'est simple à mettre en oeuvre.
Mais pour une TPE, on peut pas leur demander de faire leur boulot la journée, puis ensuite de faire l'administratif, puis faire la partie commercial et pendant le reste de temps qu'ils ont de lire les textes de loi pour savoir ce qu'ils doivent faire dans les différents domaines.