BSI v2.0 « Protocole et détection » : impacts sur vos logs et votre SIEM
Le BSI a publié en avril 2026 la v2.0 de son minimum standard « Protokollierung und Detektion ». Voici comment aligner journalisation, détection et investigation avec NIS 2 et DORA, et les attentes ILR/CSSF.
Résumé — Le BSI a publié en avril 2026 la version 2.0 de son minimum standard « Protokollierung und Detektion ». Cette v2.0 précise les exigences techniques de journalisation, l’enchaînement des processus de détection jusqu’à l’escalade, et l’intégrité/traçabilité des journaux pour l’investigation et la preuve. Source : BSI — Mindeststandard Protokollierung und Detektion v2.0 (avril 2026). ENISA rappelle par ailleurs, dans son panorama NIS360 du 28 mai 2026, la persistance de fragilités en détection et investigation. Source : ENISA — NIS360, 28 mai 2026 (rubrique Featured).
Le cadre légal qui s’applique
- NIS 2 — Article 21(2)(d), (h), (j) : politiques et procédures de gestion des risques, gestion/notification des incidents, contrôle d’accès, couvrant en pratique la journalisation exhaustive, la corrélation et la détection continue. Au Luxembourg, l’ILR est l’autorité compétente et centralise les ressources NIS 2 (SERIMA, FAQ). Sources : ILR — Cybersécurité (NISS), ILR — Incident notification.
- Finance (DORA) — La CSSF supervise l’application de DORA depuis le 17 janvier 2025 et attend des dispositifs de détection, de surveillance et d’investigation permettant de notifier et documenter les incidents majeurs TIC. Source : CSSF — ICT and cyber risk for DORA entities.
- Gouvernance/forensics — Les circulaires CSSF (12/552, 17/655) requièrent des contrôles effectifs et une traçabilité reconstituable par les fonctions de contrôle/audit. Sources : CSSF 17/655, CSSF 12/552.
La combinaison « obligations NIS 2/DORA + attentes CSSF/ILR » impose une journalisation exploitable et intègre, une détection continue et une capacité d’enquête rapide et documentée. Le guide BSI v2.0 fournit un mode d’emploi technique reconnu pour démontrer des contrôles « appropriés » et « à l’état de l’art ». Pour aller plus loin côté Luxembourg, voir les attentes NIS 2/ILR.
La solution technique à déployer
Objectif : opérer une chaîne « journaliser → détecter → enquêter → prouver » alignée sur BSI v2.0, NIS 2 et DORA.
- Collecte et normalisation des logs clés : authentification (AD/Entra, SSO), endpoints/EDR, pare‑feu/VPN, proxys, SaaS critiques, bases de données, IAM/PAM, cloud (CSPM/CloudTrail/Activity Logs), applications métiers. BSI v2.0 renvoie aux briques IT‑Grundschutz OPS.1.1.5 (Protokollierung) et DER.1 (Detektion). Source : BSI — Mindeststandard v2.0.
- Intégrité et rétention : horodatage fiable, immutabilité (WORM/objets S3 verrouillés), chaîne de conservation, séparation des rôles — conditions de la valeur probante (RGPD, NIS 2).
- Corrélation et détection : cas d’usage codifiés (Detection‑as‑Code), mappés MITRE ATT&CK, avec seuils et allow/deny basés risque. ENISA NIS360 pointe souvent un périmètre de logs incomplet et un tuning insuffisant : corriger par une ingénierie de détection continue. Source : ENISA — NIS360 (28 mai 2026).
- Investigation forensique : conservation des artefacts volatils, reconstruction chronologique, pivots identités/terminaux/réseau, export signé des preuves, playbooks d’escalade.
- Référentiels de conformité : ISO/IEC 27001:2022 Annexe A (A.8.15, A.5.10, A.8.16), NIST CSF 2.0 (DE.CM, DE.AE, RS.AN), CIS Controls v8 (8, 6, 17).
Outils typiques
- SIEM moderne (cloud/hybride) pour ingestion, corrélation, détection et recherche — voir un SIEM/SOC managé pour accélérer le déploiement.
- EDR/XDR pour la télémétrie hôte et les investigations rapides.
- Stockage de preuves immuables et signé (WORM, clé de scellement).
- Playbooks SOAR pour l’orchestration et la collecte automatique de preuves.
Comment Luxgap déploie cela
- SOC managé : chaîne BSI v2.0 industrialisée avec « socle de logs minimal » par actif, règles corrélées MITRE, tableaux de bord de couverture, astreinte 24/7, alertes priorisées, et revues hebdo de tuning.
- Gouvernance ISO 27001 : politique de journalisation (périmètre, rétention, intégrité, rôles) alignée ISO/IEC 27001 Annexe A et BSI v2.0, avec matrice « exigences → contrôles → preuves » réutilisable en audit ILR/CSSF.
- Logging et forensics prêt‑à‑auditer : playbooks, procédures de scellage de preuves, kits de rapports pour notification (NIS 2/DORA) et post‑mortems.
Méthode : 1) cadrage risques et obligations (NIS 2/DORA/sectoriel), 2) gap‑analysis vs BSI v2.0 et ISO 27001, 3) déploiement socle SIEM/EDR et intégration sources, 4) tuning et cas d’usage prioritaires, 5) exercices d’investigation et rapportabilité, 6) preuves et indicateurs trimestriels.
Cas concret (Luxembourg/UE)
Une société de gestion (DORA) a aligné journalisation et détection en 8 semaines : 32 sources de logs intégrées (IAM, pare‑feu, EDR, cloud, applicatif fonds), 22 cas d’usage MITRE critiques, immutabilité sur stockage objet verrouillé, procédures de scellage. Résultats : première alerte qualifiée en 6 minutes lors d’un test (exfiltration simulée via compte SaaS), timeline reconstituée en 90 minutes, rapport prêt au format ILR/CSSF.
Premiers pas concrets
- Cartographier en 5 jours vos « systèmes sources de vérité » (identités, endpoints, réseau, SaaS critiques, bases) et vérifier l’exhaustivité/horodatage des journaux.
- Établir une politique de journalisation et d’intégrité (qui collecte quoi, combien de temps, où — stockage immuable, qui y accède), alignée ISO 27001 A.8.15 et BSI v2.0.
- Définir 10 cas d’usage MITRE prioritaires (AitM sur SSO, création d’admin dormant, exfiltration SaaS volumétrique, authentification hors périmètre, tunnel chiffré non autorisé).
- Mettre en place un « kit d’investigation » : collecte d’artefacts, modèle de timeline, export signé des preuves, checklist « rapport NIS 2/DORA ».
- Planifier un exercice table‑top dans le mois : scénario réaliste, collecte des preuves, faux rapport, leçons tirées et corrections dans le SIEM.
Sources officielles
- BSI — Mindeststandard « Protokollierung und Detektion » v2.0 (avril 2026) : bsi.bund.de
- ENISA — NIS360 (28 mai 2026) : enisa.europa.eu/publications
- ILR — Cybersécurité (NISS) et notification d’incident NIS 2 : ilr.lu/secteurs-activites/niss, ilr.lu/en/sectors/niss/incident-notification
- CSSF — DORA (entités financières) et gouvernance interne : cssf.lu/en/ict-and-cyber-risk-for-dora-entities, cssf.lu — circulaire 12/552 (consolidée), cssf.lu — 17/655
Ce qui vient de se passer (BSI v2.0) vous donne un référentiel précis pour les logs, la détection et l’investigation. La mise en œuvre d’un SIEM/SOC managé, calé sur BSI v2.0 et ISO 27001, vous aide à répondre aux attentes NIS 2/ILR et au cadre DORA/CSSF.
Une question sur ce sujet ?
Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.
Configurer mon devis →