Catalogue des événements d'audit
Le catalogue complet des actions d'audit émises par la plateforme — espaces de noms, types de ressources, forme des charges utiles et les contrôles de conformité que chacun satisfait.
La plateforme émet un ensemble fixe et énuméré d'actions d'audit. Les chaînes d'action libres ne sont pas autorisées — chaque action que votre SIEM reçoit provient de ce catalogue. Cela garantit que les événements sont analysables par machine et que la même action signifie la même chose pour tous les clients.
Pour le modèle de stockage, la rétention et le transfert du journal d'audit, consultez Journal d'audit. Pour le format de transfert SIEM, consultez Transfert SIEM.
Actions par espace de noms
Secrets
| Action | Description |
|---|---|
SECRET_CREATE | Un secret a été créé. |
SECRET_UPDATE | Un secret a été mis à jour. |
SECRET_DELETE | Un secret a été supprimé. |
SECRET_ACCESS | La valeur d'un secret a été lue (déchiffrée). |
Fournisseurs de secrets
| Action | Description |
|---|---|
PROVIDER_CREATE | Une configuration de fournisseur de secrets a été créée. |
PROVIDER_UPDATE | Une configuration de fournisseur de secrets a été mise à jour. |
PROVIDER_DELETE | Une configuration de fournisseur de secrets a été supprimée. |
PROVIDER_TEST | Un fournisseur de secrets a été testé par connexion. |
Ressources génériques
Pour les ressources sans espace de noms dédié (workflows, documents de base de connaissances, tables gérées, etc.) :
| Action | Description |
|---|---|
RESOURCE_CREATE | Une ressource a été créée. |
RESOURCE_UPDATE | Une ressource a été mise à jour. |
RESOURCE_DELETE | Une ressource a été supprimée. |
RESOURCE_ACCESS | Une ressource a été lue. |
Décisions d'autorisation
Ces événements enregistrent les décisions d'autorisation refusées et accordées pour les opérations sensibles :
| Action | Description |
|---|---|
AUTH_READ_DENIED | Accès en lecture refusé. |
AUTH_WRITE_DENIED | Accès en écriture refusé. |
AUTH_DELETE_DENIED | Accès en suppression refusé. |
AUTH_EXECUTE_DENIED | Accès en exécution refusé (par ex. exécution de workflow). |
AUTH_ADMIN_DENIED | Accès administrateur refusé. |
AUTH_DELETE_GRANTED | Suppression destructive accordée. |
AUTH_EXECUTE_GRANTED | Accès en exécution accordé. |
AUTH_ADMIN_GRANTED | Accès administrateur accordé. |
Seules les décisions refusées et les décisions accordées pour des opérations destructives / privilégiées sont journalisées. Les décisions courantes du type « cet utilisateur peut lire ses propres workflows » ne le sont pas — cela noierait le journal.
Autorisations d'exécution
Autorisations d'exécution de workflow — les tokens à courte durée de vie émis par le serveur qui autorisent une exécution de workflow. Voir Autorisation.
| Action | Description |
|---|---|
EXECUTION_GRANT_CREATE | Une autorisation d'exécution de workflow a été émise. |
EXECUTION_GRANT_BIND | Une autorisation a été liée à une instance de workflow. |
EXECUTION_GRANT_REJECT | Une autorisation a été présentée mais rejetée (expirée / révoquée / non-correspondance d'instance). |
EXECUTION_GRANT_EXPIRE | Une autorisation a expiré sans être utilisée. |
EXECUTION_GRANT_REVOKE | Une autorisation a été explicitement révoquée (par ex. annulation de workflow). |
Provisionnement SCIM
| Action | Description |
|---|---|
scim.token.created | Un token API SCIM a été généré. |
scim.token.revoked | Un token API SCIM a été révoqué. |
scim.user.provisioned | Un utilisateur a été créé ou lié via SCIM. |
scim.user.updated | Un utilisateur a été mis à jour via SCIM. |
scim.user.deactivated | Un utilisateur a été désactivé via SCIM. |
scim.user.reactivated | Un utilisateur précédemment désactivé a été réactivé via SCIM. |
scim.group.created | Un groupe SCIM a été associé à une équipe. |
scim.group.updated | Un groupe SCIM a été mis à jour. |
scim.group.deleted | Un groupe SCIM a été dissocié (l'équipe est conservée). |
scim.group.member.added | Un utilisateur a été ajouté à une équipe associée à SCIM. |
scim.group.member.removed | Un utilisateur a été retiré d'une équipe associée à SCIM. |
scim.error.invalid_token | Un appel SCIM a été rejeté pour un token invalide. |
scim.error.scale_cap_hit | Un appel SCIM a atteint un plafond organisationnel. |
scim.error.email_conflict | Un appel SCIM a été rejeté en raison d'un conflit d'e-mail. |
Droits d'intégration
Pour les intégrations installées et la configuration de cloisonnement :
| Action | Description |
|---|---|
INTEGRATION_ENTITLEMENT_GRANT | Un droit d'intégration a été accordé à un workspace. |
INTEGRATION_ENTITLEMENT_REVOKE | Un droit d'intégration a été révoqué. |
INTEGRATION_ENTITLEMENT_SYNC | Une synchronisation de cloisonnement s'est exécutée (la plateforme a poussé le delta vers le fournisseur d'identité). |
INTEGRATION_ENTITLEMENT_DISABLED | Le cloisonnement a été désactivé pour un identifiant. |
INTEGRATION_INSTALL | Une intégration fournisseur a été installée. |
INTEGRATION_UNINSTALL | Une intégration fournisseur a été désinstallée. |
Événements propres au SIEM / journal d'audit
| Action | Description |
|---|---|
SUBSCRIPTION_CREATE | Un abonnement webhook au journal d'audit a été créé. |
audit.test | Un événement de test synthétique (émis depuis l'interface d'administration du journal d'audit). |
audit.export | Une exportation du journal d'audit a été demandée. |
audit.retention.updated | La politique de rétention du journal d'audit a été modifiée. |
AUDIT_FORWARDING_DEGRADED | Le tampon du forwarder est presque plein / en contre-pression (événement opérationnel). |
Licence
| Action | Description |
|---|---|
LICENSE_APPLIED | Un nouveau JWT de licence a été appliqué au cluster. |
LICENSE_VALIDATED | Le heartbeat quotidien vers license.scrydon.com a réussi. |
LICENSE_VALIDATION_FAILED | Le heartbeat quotidien a échoué (réseau ou licence invalide). |
LICENSE_EXPIRED | L'horodatage exp de la licence est dépassé. |
Types de ressources
Le champ resourceType de chaque événement identifie l'objet sur lequel l'action a été effectuée :
| Type | Description |
|---|---|
secret | Une entrée du coffre-fort de secrets. |
secretProvider | Une configuration de fournisseur de secrets. |
user | Un compte utilisateur. |
organization | Une organisation. |
workspace | Un workspace. |
file | Un fichier en stockage. |
workflow | Une définition ou exécution de workflow. |
knowledgeBase | Une base de connaissances. |
document | Un document de base de connaissances. |
folder | Un dossier en stockage. |
template | Un modèle de workflow. |
processTemplate | Un flux de processus. |
schedule | Un déclencheur planifié. |
memory | Un magasin de mémoire d'agent. |
chat | Une session de discussion. |
webhook | Un abonnement webhook. |
copilotTool | Un outil Copilot. |
auditLogSubscription | Un abonnement de forwarder du journal d'audit. |
auditLog | Une auto-référence (par ex. pour les changements de rétention). |
auditLogRetentionConfig | La configuration de rétention du journal d'audit. |
executionGrant | Une autorisation d'exécution de workflow. |
integration | Une intégration fournisseur installée. |
integrationEntitlement | Le droit d'un workspace à utiliser une intégration. |
scimToken | Un token API SCIM. |
license | Le JWT de licence. |
Charge utile des événements
Chaque événement porte :
| Champ | Description |
|---|---|
id | ID d'événement stable. |
action | L'une des actions ci-dessus. |
resourceType | L'un des types ci-dessus. |
resourceId | L'ID de la ressource spécifique. |
actorId | L'utilisateur ou le service qui a effectué l'action. |
organizationId | Le périmètre de l'organisation. |
metadata | Une charge utile structurée, spécifique à l'action. Ne contient jamais de valeurs de secrets ni de contenu de documents. |
ipAddress | IP de l'appelant (configurable, capturée par défaut). |
userAgent | User-agent de l'appelant (configurable, capturé par défaut). |
createdAt | Horodatage ISO 8601. |
Exemples de charges utiles
SECRET_ACCESS
{
"id": "aud_abc123",
"action": "SECRET_ACCESS",
"resourceType": "secret",
"resourceId": "sec_xyz789",
"actorId": "usr_456",
"organizationId": "org_001",
"metadata": { "secretName": "OPENAI_API_KEY", "strategy": "LOCAL" },
"ipAddress": "10.0.1.42",
"userAgent": "Mozilla/5.0...",
"createdAt": "2026-03-16T10:30:00Z"
}AUTH_EXECUTE_DENIED
{
"id": "aud_def456",
"action": "AUTH_EXECUTE_DENIED",
"resourceType": "workflow",
"resourceId": "wf_q3report",
"actorId": "usr_789",
"organizationId": "org_001",
"metadata": {
"policy": "workflow.execute",
"reason": "actor not a workspace member"
},
"ipAddress": "10.0.1.99",
"userAgent": "PostmanRuntime/7.32.0",
"createdAt": "2026-03-16T10:31:15Z"
}INTEGRATION_ENTITLEMENT_SYNC
{
"id": "aud_ghi789",
"action": "INTEGRATION_ENTITLEMENT_SYNC",
"resourceType": "integrationEntitlement",
"resourceId": "ent_m365_alpha",
"actorId": "system",
"organizationId": "org_001",
"metadata": {
"provider": "microsoft",
"scopeId": "<entra-security-group-object-id>",
"added": 3,
"removed": 1,
"unchanged": 12,
"unmappable": 0
},
"ipAddress": null,
"userAgent": null,
"createdAt": "2026-03-16T11:00:00Z"
}Ce qui est délibérément absent du journal
Le catalogue enregistre qu'il s'est passé quelque chose, pas les données sur lesquelles l'action a porté :
- Les valeurs de secrets ne sont jamais journalisées. Les noms et IDs de secrets le sont.
- Le contenu des documents de la base de connaissances n'est jamais journalisé. Les IDs et classifications de documents le sont.
- Les charges utiles d'entrée et de sortie des workflows ne sont jamais journalisées. Les IDs de workflow, durées et résultats le sont.
- Le contenu des prompts LLM n'est jamais journalisé. Les comptages de tokens, IDs de modèles, coûts et la source d'intégration le sont.
- Les mots de passe des utilisateurs ne sont jamais journalisés. Les événements de connexion le sont.
Cette séparation est ce qui permet d'exposer le journal d'audit aux auditeurs sans exposer les données sous-jacentes.
Correspondance de conformité
| Contrôle | Actions qui le satisfont |
|---|---|
| ISO 27001 A.5.16 (Gestion des identités) | scim.*, INTEGRATION_ENTITLEMENT_* |
| ISO 27001 A.5.17 (Informations d'authentification) | SECRET_*, PROVIDER_* |
| ISO 27001 A.8.5 (Authentification sécurisée) | scim.*, événements de connexion (lorsqu'étendus — voir feuille de route) |
| ISO 27001 A.8.15 (Journalisation) | Chaque événement |
| ISO 27001 A.8.16 (Activités de surveillance) | Tous AUTH_*, INTEGRATION_*, SCIM_* |
| SOC 2 CC6.1 / CC6.6 (Accès logique) | Tous AUTH_*, RESOURCE_ACCESS |
| SOC 2 CC7 (Opérations système) | LICENSE_*, AUDIT_FORWARDING_DEGRADED |
| SOC 2 CC8 (Gestion des changements) | RESOURCE_CREATE / _UPDATE / _DELETE sur workflow, template, processTemplate |
| GDPR Article 32 (Sécurité du traitement) | AUTH_*, SECRET_* |
| Acte IA UE Article 12 (Tenue de registres) | Événements d'exécution de workflow via RESOURCE_* |
Automatisation Vanta
De nombreux référentiels de conformité posent les mêmes questions (« montrez-moi les connexions échouées », « montrez-moi les revues d'accès »). Le catalogue d'événements d'audit est connecté à la collecte de preuves de Vanta — consultez Conformité pour savoir quels créneaux Vanta chaque famille d'événements remplit.
Connexe
- Journal d'audit — stockage, rétention, requête.
- Transfert SIEM — poussez les événements vers votre SIEM en quasi temps réel.
- Conformité — correspondances avec les référentiels.
- Modèle de permissions — ce qui génère les événements
AUTH_*.