Approche holistique en huit étapes pour la sécurité des bases de données



Documents pareils
IBM Tivoli Compliance Insight Manager

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

Sécurité. Tendance technologique

Tufin Orchestration Suite

10 bonnes pratiques de sécurité dans Microsoft SharePoint

Découvrir les vulnérabilités au sein des applications Web

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

Découverte et investigation des menaces avancées PRÉSENTATION

Management de la sécurité des technologies de l information

Solutions de gestion de la sécurité Livre blanc

La consolidation des centres informatiques permet de restructurer vos coûts informatiques en vue d une productivité soutenue.

Sécurité de bout en bout Une solution complète pour protéger les données et prévenir les risques

Garantir la sécurité de vos solutions de BI mobile

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

Stella-Jones pilier du secteur grâce à IBM Business Analytics

Les 10 grands principes de l utilisation du data mining pour une gestion de la relation client réussie

IBM Cognos Disclosure Management


Le stockage de données qui voit les affaires à votre manière. En hausse. nuage

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

IBM Maximo Asset Management for IT

La gestion des risques en entreprise de nouvelles dimensions

Solutions SAP Crystal

Appliances et logiciels Security

Le nouvel espace de travail : Prise en charge du modèle BYOD («Bring your own device»)

Cycle de conférences sur Cloud Computinget Virtualisation. Le Cloud et la sécurité Stéphane Duproz Directeur Général, TelecityGroup

PUISSANCE ET SIMPLICITE. Business Suite

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

La sécurité informatique

Fiche Technique. Cisco Security Agent

Catalogue Audit «Test Intrusion»

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Meilleures pratiques de l authentification:

Améliorez la sécurité en matière de soins de santé et de soins aux patients grâce à la VDI avancée d Imprivata

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

IBM Tivoli Monitoring, version 6.1

Mail-SeCure sur une plateforme VMware

Symantec Endpoint Protection Fiche technique

LA PROTECTION DES DONNÉES

Solutions McAfee pour la sécurité des serveurs

Travailler avec les télécommunications

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

Distribuez une information fiable. IBM InfoSphere Master Data Management Server 9.0. Des données fiables pour de meilleurs résultats

IBM Software Big Data. Plateforme IBM Big Data

ORACLE DATA INTEGRATOR ENTERPRISE EDITION - ODI EE

Trend Micro Deep Security

SÉCURITÉ DES MOYENS D ACCÈS ET DE PAIEMENT

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

Politique de sécurité de l information

Pourquoi choisir ESET Business Solutions?

Le top 10 des menaces de sécurité des bases de données. Comment limiter les principales vulnérabilités des bases de données?

Vers un nouveau modèle de sécurité

Qu est-ce que ArcGIS?

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Tirez plus vite profit du cloud computing avec IBM

Réussir la mise en œuvre d une solution de portail d entreprise.

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

Tableau Online Sécurité dans le cloud

IBM* DB2 Universal Database* Tutoriel Business Intelligence : Introduction à Data Warehouse Center

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

IBM Systems & Technology Recentrer l informatique sur l innovation plutôt que sur la maintenance

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Foire aux questions (FAQ)

Famille IBM WebSphere Application Server

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

IBM Business Process Manager


Solutions de sécurité des données Websense. Sécurité des données

Appliances et logiciels Security

L essentiel. Coopérative, flexible, très performante : la plateforme Engineering Base. web aucotec.com

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

Gestion des identités et des accès pour garantir la conformité et réduire les risques

1. Étape: Activer le contrôle du compte utilisateur

Suite NCR APTRA. La première plateforme logicielle libre-service financière au monde.

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.

MDM : Mobile Device Management

Protéger les données critiques de nos clients

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Lettre d annonce ZP d IBM Europe, Moyen-Orient et Afrique,, datée du 20 octobre 2009

Norme PCI Septembre La norme PCI : transformer une contrainte en opportunité

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

Comment la gestion de l identité numérique peutelle résoudre les cinq failles de sécurité d Hadoop?

Risques liés aux systèmes informatiques et de télécommunications

Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement

ORACLE PRIMAVERA PORTFOLIO MANAGEMENT

Transcription:

Gestion de l information Livre blanc Approche holistique en huit étapes pour la sécurité des bases de données De Ron Ben Natan, Ph. D., ingénieur émérite IBM, et chef de la technologie, gestion intégrée de l information

2 Approche holistique en huit étapes pour la sécurité des bases de données Cyberattaques, actes malveillants du personnel et exigences réglementaires sont autant de raisons qui poussent des organisations à rechercher de nouveaux moyens de sécuriser leurs informations d affaires et les renseignements sur la clientèle stockés dans des bases de données commerciales de type Oracle, Microsoft SQL Server, DB2 IBM et Sybase. Ce livre blanc propose d examiner les huit meilleures pratiques à la base d une approche holistique pour protéger les bases de données et se conformer aux exigences des instances de réglementation telles que SOX, PCI-DSS et GLBA, de même qu aux lois sur la protection de l information. Protection de bases de données et respect de la conformité Les attaques motivées par l appât du gain, les actes malveillants de personnes à l interne et les exigences réglementaires obligent des organisations à rechercher de nouveaux moyens de mettre à l abri leurs informations d affaires et leurs données sur les clients. Dans le monde, la majorité des données de nature sensible sont emmagasinées dans des bases de données de marques courantes comme Oracle, Microsoft SQL Server, DB2 IBM et Sybase ce qui fait de ces dernières des cibles très attrayantes pour les criminels. Cela explique aussi l augmentation de 134 % du nombre d attaques par injection SQL en 2008, passant de quelques milliers à plusieurs centaines de milliers par jour en moyenne, selon une étude récemment publiée par IBM 1. Auparavant, toute l attention était concentrée sur la protection du périmètre des réseaux et des systèmes clients (pare-feu, IDS/IPS, anti-virus, etc.). Actuellement, la priorité en matière de sécurité de l information actuellement, c est de s assurer que les bases de données de l entreprise sont à l abri des brèches et des modifications non autorisées. On trouvera dans les pages qui suivent huit pratiques exemplaires à la base d une approche globale qui permettra de sécuriser les bases de données et de maintenir la conformité aux exigences réglementaires citées plus haut. 1. Découverte On ne peut pas protéger ce dont on ignore l existence. Il faut faire l inventaire de tous les actifs informationnels sensibles aussi bien les instances de bases de données que les informations confidentielles hébergées dans ces bases. Par ailleurs, il y a également lieu d automatiser le processus de découverte, étant donné que l emplacement de stockage des données sensibles a tendance à changer constamment à cause d applications nouvelles ou modifiées, ou à la suite de fusions et d acquisitions d entreprises. Pour assombrir davantage le tableau, Forrester 2 a révélé que 60 % des entreprises sont en retard dans l application des correctifs de sécurité sur les bases de données, tandis que, selon IBM, 74 % des failles d applications Web détectées en 2008 qui sont majoritairement des failles exploitées par une injection SQL n avaient même pas été corrigées à la fin de cette année. «On ne peut pas protéger ce dont on ignore l existence. Il faut faire l inventaire de tous les actifs informationnels sensibles aussi bien les instances de bases de données que les informations confidentielles hébergées dans ces bases.» Figure 1 : Outils de découverte pour lancer une implantation. L inventaire d instances de bases de données et d emplacements des données sensibles est nécessaire. 1. IBM Internet Security Systems X-Force 2008 Trend and Risk Report, IBM Global Technology Services, janvier 2009. 2. Market Overview: Database Security, Forrester Research, février 2009.

Gestion de l information 3 Fait intéressant, certains outils de découverte sont aussi en mesure de détecter les programmes malveillants insérés dans votre base de données à la suite d une attaque par injection SQL. Hormis la mise à nu des informations confidentielles, les failles d injection SQL permettent aux intrus de greffer d autres attaques à l intérieur de la base de données, dans l optique de nuire aux visiteurs du site Web. 2. Évaluation de la vulnérabilité et de la configuration Vous devez examiner la configuration de vos bases de données pour déceler la présence de failles de sécurité potentielles. L examen porte sur la manière dont la base est installée sur le système d exploitation (entre autres, la vérification des privilèges attribués aux fichiers de configuration de la base de données et aux fichiers exécutables), les options de configuration au sein de la base elle-même, par exemple, le nombre maximal de tentatives d ouverture ayant échoué avant de bloquer un compte, ou encore le type de privilèges attribués aux tables les plus importantes). Vous devez aussi, par ailleurs, vous assurer que les versions des bases de données que vous exploitez sont exemptes de vulnérabilités connues. 3. Durcissement Une évaluation de la vulnérabilité aboutit habituellement à la production d une liste de recommandations précises, premier pas de la démarche de durcissement de la base de données. Les autres éléments ont trait à la suppression des fonctions et des options non utilisées. 4. Vérification des modifications Une fois que vous avez réalisé une configuration durcie, vous devez la surveiller en continu pour vous assurer qu elle demeure toujours au niveau «Or» en matière de sécurité. Des outils de vérification des modifications existent pour vous faciliter la tâche. Ils font la comparaison des images instantanées de la configuration (tant au niveau du système d exploitation qu au niveau de la base de données) et signalent instantanément tout changement apporté susceptible de fragiliser la sécurité de la base de données. Les analyseurs de vulnérabilités de réseau traditionnels ne peuvent fournir ce type de protection parce qu ils ne sont pas en mesure de comprendre les structures et les comportements attendus des bases de données, ni ne peuvent émettre des interrogations SQL (par l entremise d un accès avec justificatif d identité à la base de données) afin de recueillir des informations de configuration de la base de données. Figure 3 : Surveillance de l activité de la base de données et vérification. 5. Surveillance de l activité de la base de données (DAM) La surveillance en temps réel de l activité de la base de données permet de limiter les pertes potentielles grâce à la détection des intrusions et des usages abusifs sur-le-champ. Ainsi, DAM peut signaler les tendances d accès inhabituels symptomatiques d une injection SQL, les modifications non autorisées de données financières, l accroissement du niveau de privilèges d un compte ou les modifications à la configuration effectuées via des commandes SQL. Figure 2 : Évaluation de la vulnérabilité et surveillance des modifications. La surveillance d utilisateurs ayant des privilèges élevés fait également partie des exigences imposées par SOX et par des normes réglementaires telles que PCI DSS. Elle permet de détecter

4 Approche holistique en huit étapes pour la sécurité des bases de données les intrusions puisque l un des objectifs des attaques est souvent l attribution d accès privilégiés aux malfaiteurs (par exemple, au moyen de justificatifs détenus par vos applications d affaires). DAM est aussi un volet essentiel de l évaluation de la vulnérabilité, vous permettant d effectuer des évaluations dynamiques des «vulnérabilités comportementales» comme le fait de partager des justificatifs d identité privilégiés ou encore un nombre élevé de tentatives infructueuses de connexion à la base de données. «Toutes les données et tous les utilisateurs ne sont pas nés égaux. Vous devez authentifier les utilisateurs pour vous assurer de leur imputabilité et gérer les privilèges afin de restreindre l accès aux données.» Enfin, certaines technologies DAM permettent de surveiller les couches applicatives et d ainsi détecter la fraude perpétrée via des applications multicouches telles que PeopleSoft, SAP et Oracle e-business Suite, plutôt que par l entremise de connexions directes à la base de données. 6. Vérification Des pistes de vérification sécurisées et non répudiables doivent être générées et tenues à jour pour toutes les opérations de base de données ayant une conséquence sur la sécurité en général, l intégrité des données et la visualisation des données sensibles. En plus d être une condition essentielle pour le maintien de la conformité réglementaire, le fait d avoir des pistes de vérification détaillées facilite le travail des enquêteurs en cas de brèches à la sécurité. La majorité des organisations recourent actuellement à une forme quelconque de vérification manuelle avec des capacités de connexion native à la base de données. Toutefois, comme ces approches sont à la fois très complexes et manuelles, leurs coûts opérationnels sont élevés, sans oublier la baisse de performance, l absence de la séparation des responsabilités (comme l administrateur peut facilement altérer les journaux de la base de données, le principe de non-répudiation devient donc caduc), et l obligation d avoir et de gérer de grandes capacités de stockage afin de manipuler de gros volumes de données transactionnelles non filtrées. Il existe heureusement de nouvelles solutions DAM offrant une vérification granulaire et indépendante du système de gestion des bases de données (SGBD), avec un impact minimal sur la performance. De plus, ces solutions permettent de réduire les coûts opérationnels grâce à l automatisation, à des politiques centralisées applicables à l ensemble des SGBD, et à des fonctions d enregistrement, de filtrage et de compression des vérifications. 7. Authentification, contrôle d accès et gestion des droits Toutes les données et tous les utilisateurs ne sont pas nés égaux. Vous devez authentifier les utilisateurs pour vous assurer de leur imputabilité et gérer les privilèges afin de restreindre l accès aux données. Vous devez aussi faire respecter ces privilèges même aux utilisateurs ayant les privilèges les plus grands. De plus, vous devez de temps à autre réexaminer les rapports sur les droits d utilisation (aussi appelés Attestation de l admissibilité de l utilisateur) dans le cadre du processus officiel de vérification. 8. Chiffrement Le chiffrement interdit la consultation des informations sensibles et empêche les intrus d accéder illégalement aux données. Cela comprend le chiffrement des données en transit qui a pour résultat d empêcher le pirate d écouter au niveau de la couche réseau et d accéder aux données lorsque ces dernières sont envoyées au client de la base de données et le chiffrement des données stationnaires pour interdire la récupération des données même si le pirate a accès aux fichiers sur le support de données. Figure 4 : Gestion du cycle complet de conformité.

Gestion de l information 5 Approche holistique en huit étapes pour la sécurité des bases de données 1. Découverte 2. Évaluation de la vulnérabilité et de la configuration 3. Durcissement 4. Vérification des modifications 5. Surveillance de l activité de la base de données (DAM) 6. Vérification 7. Authentification, contrôle d accès et gestion des droits 8. Chiffrement À propos de l auteur Ron Ben Natan, Ph. D., possède plus de 20 ans d expérience en développement d applications d entreprise et en technologie de sécurité, acquise auprès des sociétés de renom comme Merrill Lynch, J.P. Morgan, Intel et AT&T Bell Laboratories. Il est consultant en sécurité des données et systèmes distribués chez Phillip Morris, Miller Beer, HSBC, HP, Applied Materials et pour les Forces armées suisses. Conseiller niveau OR d IBM et titulaire d un doctorat en informatique, M. Natan est expert en environnements applicatifs distribués et en sécurité d applications et de bases de données. Il est l auteur de 12 brevets et de 12 ouvrages techniques, y compris Implementing Database Security and Auditing (Elsevier Digital Press), la référence en la matière, et HOWTO Secure and Audit Oracle 10g and 11g (CRC Press), publié en 2009. À propos d InfoSphere Guardium IBM InfoSphere Guardium est la solution la plus utilisée sur le marché pour prévenir les fuites de données des centres de données et maintenir l intégrité des informations de l entreprise. Le produit est installé chez plus de 400 clients à travers le monde, dont les cinq plus grandes banques mondiales; quatre des six plus importants assureurs; deux des trois plus importants détaillants; 20 sociétés de télécommunications parmi les plus grandes de la planète; deux des compagnies de boissons gazeuses les plus populaires; le fabricant de PC le plus connu; un des trois plus grands constructeurs automobiles; un des trois plus grands constructeurs aéronautiques et un chef de file des logiciels d intelligence d affaires. InfoSphere Guardium a été la première solution à combler le fossé de sécurité des données en proposant une plateforme évolutive applicable à tous les SGBD, capable à la fois de protéger les bases de données en temps réel et d automatiser le processus complet de gestion de la conformité. Guardium fait partie de la gamme InfoSphere IBM, une plateforme intégrée permettant de définir, d intégrer, de protéger et de gérer les informations dans l ensemble de vos systèmes. La plateforme InfoSphere offre tous les composants de base d une structure d information de confiance, notamment l intégration et l entreposage des données, la gestion des données de référence et la gouvernance de l information, le tout articulé autour d un noyau de métadonnées et de modèles communs. Le portefeuille de solutions modulaire vous permet de les agencer avec les produits d autres fournisseurs, ou de déployer plusieurs composants de base en même temps afin de gagner du temps. La plateforme InfoSphere constitue un socle robuste pour les projets à forte consommation d informations et offre à la fois performance, extensibilité, fiabilité et vitesse pour simplifier les défis ardus et livrer des informations de confiance plus rapidement à l entreprise.

Copyright IBM Corporation, 2010 Copyright IBM Canada Ltée, 2011 IBM Corporation Route 100 Somers, NY 10589 Produit au Canada 11-05 Tous droits réservés IBM, le logo IBM, ibm.com, Guardium et InfoSphere sont des marques déposées d International Business Machines Corporation, enregistrées dans un grand nombre de juridictions dans le monde. Tous les autres noms de produit ou de service peuvent être des marques de commerce d IBM ou d autres entreprises. La liste à jour des marques d IBM est disponible sur le Web sous «Copyright and trademark information», à ibm.com/legal/copytrade.shtml. Veuillez recycler. MD IMW14277-CAFR-01

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back