De Ron Ben Natan, Ph. D., ingénieur émérite IBM,
et chef de la technologie, gestion intégrée de l’information
Cyberattaques, actes malveillants du personnel et exigences réglementaires sont autant de raisons qui poussent des organisations à rechercher de nou- veaux moyens de sécuriser leurs informations d’affaires et les renseigne- ments sur la clientèle stockés dans des bases de données commerciales de type Oracle, Microsoft SQL Server, DB2 IBM et Sybase. Ce livre blanc propose d’examiner les huit meilleures pratiques à la base d’une approche holistique pour protéger les bases de données et se conformer aux exigences des instances de réglementation telles que SOX, PCI-DSS et GLBA, de même qu’aux lois sur la protection de l’information.
Protection de bases de données et respect de la conformité
Les attaques motivées par l’appât du gain, les actes malveillants de personnes à l’interne et les exigences réglementaires obligent des organisations à rechercher de nouveaux moyens de mettre à l’abri leurs informations d’affaires et leurs données sur les clients.
Dans le monde, la majorité des données de nature sensible sont emmagasinées dans des bases de données de marques courantes comme Oracle, Microsoft SQL Server, DB2 IBM et Sybase – ce qui fait de ces dernières des cibles très attrayantes pour les crimi- nels. Cela explique aussi l’augmentation de 134 % du nombre d’attaques par injection SQL en 2008, passant de quelques milliers à plusieurs centaines de milliers par jour en moyenne, selon une étude récemment publiée par IBM1.
Pour assombrir davantage le tableau, Forrester2 a révélé que 60 % des entreprises sont en retard dans l’application des correctifs de sécurité sur les bases de données, tandis que, selon IBM, 74 % des failles d’applications Web détectées en 2008 – qui sont majori- tairement des failles exploitées par une injection SQL – n’avaient même pas été corrigées à la fin de cette année.
« On ne peut pas protéger ce dont on ignore l’existence. Il faut faire l’inventaire de tous les actifs informationnels sensibles — aussi bien les instances de bases de données que les informations confidentielles hébergées dans ces bases.»
Auparavant, toute l’attention était concentrée sur la protection du périmètre des réseaux et des systèmes clients (pare-feu, IDS/IPS, anti-virus, etc.). Actuellement, la priorité en matière de sécurité de l’information actuellement, c’est de s’assurer que les bases de données de l’entreprise sont à l’abri des brèches et des modi- fications non autorisées.
On trouvera dans les pages qui suivent huit pratiques exemplaires à la base d’une approche globale qui permettra de sécuriser les bases de données et de maintenir la conformité aux exigences réglemen- taires citées plus haut.
1. Découverte
On ne peut pas protéger ce dont on ignore l’existence. Il faut faire l’inventaire de tous les actifs informationnels sensibles – aussi bien les instances de bases de données que les informations confidentielles hébergées dans ces bases. Par ailleurs, il y a égale- ment lieu d’automatiser le processus de découverte, étant donné que l’emplacement de stockage des données sensibles a tendance à changer constamment à cause d’applications nouvelles ou modifiées, ou à la suite de fusions et d’acquisitions d’entreprises.
Figure 1 : Outils de découverte pour lancer une implantation. L’inventaire d’instances de bases de données et d’emplacements des données sensibles est nécessaire.
1. IBM Internet Security Systems X-Force 2008 Trend and Risk Report, IBM Global Technology Services, janvier 2009.
2. Market Overview: Database Security, Forrester Research, février 2009.
Fait intéressant, certains outils de découverte sont aussi en mesure de détecter les programmes malveillants insérés dans votre base de données à la suite d’une attaque par injection SQL. Hormis la mise à nu des informations confidentielles, les failles d’injection SQL permettent aux intrus de greffer d’autres attaques à l’intérieur de la base de données, dans l’optique de nuire aux visiteurs du site Web.
2. Évaluation de la vulnérabilité et de la configuration Vous devez examiner la configuration de vos bases de données
pour déceler la présence de failles de sécurité potentielles. L’exa- men porte sur la manière dont la base est installée sur le système d’exploitation (entre autres, la vérification des privilèges attribués aux fichiers de configuration de la base de données et aux fichiers exécutables), les options de configuration au sein de la base elle-même, par exemple, le nombre maximal de tentatives d’ouverture ayant échoué avant de bloquer un compte, ou encore le type de privilèges attribués aux tables les plus importantes).
Vous devez aussi, par ailleurs, vous assurer que les versions des bases de données que vous exploitez sont exemptes de vulnérabilités connues.
Les analyseurs de vulnérabilités de réseau traditionnels ne peuvent fournir ce type de protection parce qu’ils ne sont pas en mesure de comprendre les structures et les comportements attendus des bases de données, ni ne peuvent émettre des interrogations SQL (par l’entremise d’un accès avec justificatif d’identité à la base de données) afin de recueillir des informations de configuration de la base de données.
Figure 2 : Évaluation de la vulnérabilité et surveillance des modifications.
3. Durcissement
Une évaluation de la vulnérabilité aboutit habituellement à la production d’une liste de recommandations précises, pre- mier pas de la démarche de durcissement de la base de données.
Les autres éléments ont trait à la suppression des fonctions et des options non utilisées.
4. Vérification des modifications
Une fois que vous avez réalisé une configuration durcie, vous devez la surveiller en continu pour vous assurer qu’elle demeure toujours au niveau «Or» en matière de sécurité. Des outils de vérification des modifications existent pour vous faciliter la tâche. Ils font la comparaison des images instantanées de la configuration (tant au niveau du système d’exploitation qu’au niveau de la base de données) et signalent instantanément tout changement apporté susceptible de fragiliser la sécurité de la base de données.
Figure 3 : Surveillance de l’activité de la base de données et vérification.
5. Surveillance de l’activité de la base de données (DAM) La surveillance en temps réel de l’activité de la base de données
permet de limiter les pertes potentielles grâce à la détection des intrusions et des usages abusifs sur-le-champ. Ainsi, DAM peut signaler les tendances d’accès inhabituels symptomatiques d’une injection SQL, les modifications non autorisées de données financières, l’accroissement du niveau de privilèges d’un compte ou les modifications à la configuration effectuées via des com- mandes SQL.
La surveillance d’utilisateurs ayant des privilèges élevés fait égale- ment partie des exigences imposées par SOX et par des normes réglementaires telles que PCI DSS. Elle permet de détecter
les intrusions puisque l’un des objectifs des attaques est souvent l’attribution d’accès privilégiés aux malfaiteurs (par exemple, au moyen de justificatifs détenus par vos applications d’affaires).
DAM est aussi un volet essentiel de l’évaluation de la vulnérabi- lité, vous permettant d’effectuer des évaluations dynamiques des «vulnérabilités comportementales» comme le fait de partager des justificatifs d’identité privilégiés ou encore un nombre élevé de tentatives infructueuses de connexion à la base de données.
« Toutes les données et tous les utilisateurs ne sont pas nés égaux. Vous devez authentifier les uti- lisateurs pour vous assurer de leur imputabilité et gérer les privilèges afin de restreindre l’accès aux données.»
Enfin, certaines technologies DAM permettent de surveiller les couches applicatives et d’ainsi détecter la fraude perpétrée via des applications multicouches telles que PeopleSoft, SAP et Oracle e-Business Suite, plutôt que par l’entremise de connexions directes à la base de données.
6. Vérification
Des pistes de vérification sécurisées et non répudiables doivent être générées et tenues à jour pour toutes les opérations de base de données ayant une conséquence sur la sécurité en général, l’intégrité des données et la visualisation des données sensibles.
En plus d’être une condition essentielle pour le maintien de la con- formité réglementaire, le fait d’avoir des pistes de vérification détaillées facilite le travail des enquêteurs en cas de brèches à la sécurité.
La majorité des organisations recourent actuellement à une forme quelconque de vérification manuelle avec des capacités de con- nexion native à la base de données. Toutefois, comme ces appro- ches sont à la fois très complexes et manuelles, leurs coûts opé- rationnels sont élevés, sans oublier la baisse de performance, l’absence de la séparation des responsabilités (comme l’adminis- trateur peut facilement altérer les journaux de la base de données, le principe de non-répudiation devient donc caduc), et l’obligation d’avoir et de gérer de grandes capacités de stockage afin de mani- puler de gros volumes de données transactionnelles non filtrées.
Il existe heureusement de nouvelles solutions DAM offrant une vérification granulaire et indépendante du système de gestion des bases de données (SGBD), avec un impact minimal sur la performance. De plus, ces solutions permettent de réduire les coûts opérationnels grâce à l’automatisation, à des politiques centralisées applicables à l’ensemble des SGBD, et à des fonctions d’enregistrement, de filtrage et de compression des vérifications.
7. Authentification, contrôle d’accès et gestion des droits
Toutes les données et tous les utilisateurs ne sont pas nés égaux.
Vous devez authentifier les utilisateurs pour vous assurer de leur imputabilité et gérer les privilèges afin de restreindre l’accès aux données. Vous devez aussi faire respecter ces privilèges – même aux utilisateurs ayant les privilèges les plus grands.
De plus, vous devez de temps à autre réexaminer les rapports sur les droits d’utilisation (aussi appelés Attestation de l’admis- sibilité de l’utilisateur) dans le cadre du processus officiel de vérification.
8. Chiffrement
Le chiffrement interdit la consultation des informations sensibles et empêche les intrus d’accéder illégalement aux données. Cela comprend le chiffrement des données en transit – qui a pour résultat d’empêcher le pirate d’écouter au niveau de la couche réseau et d’accéder aux données lorsque ces dernières sont en- voyées au client de la base de données – et le chiffrement des données stationnaires pour interdire la récupération des données même si le pirate a accès aux fichiers sur le support de données.
Figure 4 : Gestion du cycle complet de conformité.
Approche holistique en huit étapes pour la sécurité des bases de données
1. Découverte
2. Évaluation de la vulnérabilité et de la configuration 3. Durcissement
4. Vérification des modifications
5. Surveillance de l’activité de la base de données (DAM) 6. Vérification
7. Authentification, contrôle d’accès et gestion des droits 8.Chiffrement
À propos de l’auteur
Ron Ben Natan, Ph. D., possède plus de 20 ans d’expérience en développement d’applications d’entreprise et en technologie de sécurité, acquise auprès des sociétés de renom comme Merrill Lynch, J.P. Morgan, Intel et AT&T Bell Laboratories. Il est consul- tant en sécurité des données et systèmes distribués chez Phillip Morris, Miller Beer, HSBC, HP, Applied Materials et pour les Forces armées suisses.
Conseiller niveau OR d’IBM et titulaire d’un doctorat en informa- tique, M. Natan est expert en environnements applicatifs distribués et en sécurité d’applications et de bases de données. Il est l’auteur de 12 brevets et de 12 ouvrages techniques, y compris Implementing Database Security and Auditing (Elsevier Digital Press), la référence en la matière, et HOWTO Secure and Audit Oracle 10g and 11g (CRC Press), publié en 2009.
À propos d’InfoSphere Guardium IBM
InfoSphere Guardium est la solution la plus utilisée sur le marché pour prévenir les fuites de données des centres de données et main- tenir l’intégrité des informations de l’entreprise. Le produit est installé chez plus de 400 clients à travers le monde, dont les cinq plus grandes banques mondiales; quatre des six plus importants assureurs; deux des trois plus importants détaillants; 20 sociétés de télécommunications parmi les plus grandes de la planète;
deux des compagnies de boissons gazeuses les plus populaires;
le fabricant de PC le plus connu; un des trois plus grands cons- tructeurs automobiles; un des trois plus grands constructeurs aéronautiques et un chef de file des logiciels d’intelligence d’affai- res. InfoSphere Guardium a été la première solution à combler le fossé de sécurité des données en proposant une plateforme évolutive applicable à tous les SGBD, capable à la fois de protéger les bases de données en temps réel et d’automatiser le processus complet de gestion de la conformité.
Guardium fait partie de la gamme InfoSphere IBM, une plateforme intégrée permettant de définir, d’intégrer, de protéger et de gérer les informations dans l’ensemble de vos systèmes. La plateforme InfoSphere offre tous les composants de base d’une structure d’information de confiance, notamment l’intégration et l’entreposage des données, la gestion des données de référence et la gouvernance de l’information, le tout articulé autour d’un noyau de métadonnées et de modèles communs. Le portefeuille de solutions modulaire vous permet de les agencer avec les produits d’autres fournisseurs, ou de déployer plusieurs composants de base en même temps afin de gagner du temps. La plateforme InfoSphere constitue un socle robuste pour les projets à forte consommation d’informations et offre à la fois performance, extensibilité, fiabilité et vitesse pour simplifier les défis ardus et livrer des informations de confiance plus rapidement à l’entreprise.
IMW14277-CAFR-01 Tous les autres noms de produit ou de service peuvent être des mar-
ques de commerce d’IBM ou d’autres entreprises. La liste à jour des marques d’IBM est disponible sur le Web sous «Copyright and trademark information», à ibm.com/legal/copytrade.shtml.
Veuillez recycler.
MD
