Directives de Sécurité pour les Systèmes de Gestion de Bases de Données
Les bases de données propriétaires et d’entreprise contiennent toujours des informations sensibles qui doivent être protégées contre les vulnérabilités et les exploits. Toutes les entreprises doivent régulièrement travailler pour identifier les vulnérabilités de sécurité existantes et potentielles des bases de données et faire tout ce qui est en leur pouvoir pour les remédier.
Selon les experts, presque 100% des données violées sont volées à partir des serveurs de bases de données. Dans plus de 50% des cas, cela est fait par l’intermédiaire de justificatifs par défaut ou faciles à deviner, et dans moins de la moitié des cas, des informations de connexion volées sont utilisées. Une autre menace majeure est le fait que les administrateurs de bases de données sont généralement trop lents à installer des correctifs de sécurité critiques pour les bases de données. Voici les 10 principales menaces liées aux bases de données :
- Mot de passe par défaut ou faibles
- Injection SQL
- Privilèges excessifs des utilisateurs et des groupes
- Fonctionnalités inutiles du SGBD activées
- Gestion de la configuration défectueuse
- Dépassement de la capacité du tampon
- Escalade de privilèges
- Déni de service
- SGBD relationnel non corrigé
- Données non cryptées
Voici les étapes les plus importantes pour assurer la sécurité des bases de données :
- Isoler les bases de données sensibles — un inventaire précis de toutes les bases de données déployées à travers l’entreprise doit être tenu. De plus, toutes les données sensibles stockées dans ces bases de données doivent être identifiées.
- Éliminer les vulnérabilités — toutes les vulnérabilités des bases de données affectant leur sécurité doivent être évaluées, identifiées et corrigées régulièrement.
- Appliquer le principe du moindre privilège — les employés doivent avoir accès au minimum d’informations nécessaire pour accomplir leurs tâches, et c’est tout.
- Surveiller les écarts — des politiques appropriées de bases de données doivent être mises en œuvre et toutes les activités qui s’écartent du comportement habituel doivent être surveillées.
- Répondre aux comportements suspects — en cas de comportement suspect ou anormal de la base de données, l’équipe de sécurité doit être alertée immédiatement pour minimiser les risques d’attaque.
Toute entreprise ou organisation moderne devrait élaborer et mettre en œuvre une politique générale de sécurité des bases de données au sein de l’entreprise. Cette politique et ses directives doivent être obligatoires pour tous les employés de l’entreprise. Elle doit tenir compte de toutes les réglementations modernes de protection des données sensibles telles que le RGPD, par exemple. Cette politique doit également prendre en compte les composants de sécurité suivants pour tout système de gestion de bases de données :
- Pare-feu — un composant de sécurité de base de données qui peut être placé entre une base de données et des applications clientes, et qui servira de point où tout le trafic de base de données est inspecté et filtré. Si une requête semble suspecte, elle peut être bloquée et l’utilisateur déconnecté de la base de données.
- Masquage des données — un outil de sécurité de base de données qui peut prévenir efficacement l’exposition des données sensibles. Le masquage des données peut être statique ou dynamique, chacun servant un objectif spécifique dans la sécurité des systèmes de gestion de bases de données.
- Surveillance des activités des bases de données — aide à réduire les vulnérabilités en offrant une visibilité en temps réel sur toutes les activités de la base de données. Ces outils collectent les données, les agrègent et les analysent pour rechercher des activités en violation de la politique de sécurité ou qui indiquent que des anomalies se sont produites.
- Découverte des données sensibles — dans le cadre d’une politique de sécurité des bases de données, une entreprise doit comprendre quelles bases de données nécessitent une protection, ce qui peut être fait plus efficacement en trouvant toutes les données sensibles.