La sécurité des bases de données fait référence à la gamme d'outils, de contrôles et de mesures conçus pour établir et préserver la confidentialité, l'intégrité et la disponibilité des bases de données. Cet article se concentrera principalement sur la confidentialité, car il s'agit de l'élément compromis dans la plupart des atteintes à la protection des données.

La sécurité des bases de données doit traiter et protéger les éléments suivants:

• Les données dans la base de données
• Le système de gestion de base de données (SGBD)
• Toutes les applications connexes
• Le serveur de base de données physique et/ou le serveur de base de données virtuel et le matériel sous-jacent
• L'infrastructure informatique et/ou le réseau utilisé pour accéder à la base de données

La sécurité des bases de données est une tâche complexe et stimulante qui implique tous les aspects des technologies et des pratiques de sécurité des informations. Elle s'oppose aussi de fait à la facilité d'utilisation de la base de données. Plus la base de données est accessible et utilisable, plus elle est vulnérable aux menaces à la sécurité ; plus la base de données est invulnérable aux menaces, plus elle est difficile d'accès et d'utilisation. (Ce paradoxe est parfois appelé la règle d'Anderson. (le lien réside en dehors d'IBM)

Par définition, une atteinte à la protection des données est un manquement à la confidentialité des données d'une base de données. Le préjudice qu'une atteinte à la protection des données inflige à votre entreprise dépend d'un certain nombre de conséquences ou de facteurs:

• Propriété intellectuelle compromise: votre propriété intellectuelle (secrets commerciaux, inventions, pratiques exclusives) peut être essentielle à votre capacité à conserver un avantage concurrentiel sur votre marché. Si cette propriété intellectuelle est volée ou exposée, votre avantage concurrentiel peut être difficile ou impossible à maintenir ou à récupérer.
• Dommages à la réputation de la marque: les clients ou partenaires peuvent ne pas vouloir acheter vos produits ou services (ou faire affaire avec votre entreprise) s'ils ne pensent pas pouvoir vous faire confiance pour protéger vos données ou les leurs.
• Continuité des opérations(ou absence de celle-ci): certaines entreprises ne peuvent pas continuer à fonctionner tant qu'une violation n'est pas résolue.
• Amendes ou pénalités en cas de non-conformité: l'impact financier en cas de non-respect des réglementations mondiales telles que la loi Sarbannes-Oxley (SAO) ou de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi Health Insurance Portability and Accountability Act, ou des réglementations régionales en matière de confidentialité des données, telles que le règlement général européen sur la protection des données (RGPD) peuvent être dévastateurs, avec des amendes dans le pire des cas dépassant plusieurs millions de dollars par violation.
• Coûts de réparation des violations et de notification aux clients: en plus du coût de communication d'une violation au client, une organisation victime d'une violation doit payer pour les activités d'investigation et d'enquête, la gestion de crise, le triage, la réparation des systèmes affectés, etc.

De nombreuses erreurs de configuration, vulnérabilités ou schémas de négligence ou d'utilisation abusive des logiciels peuvent entraîner des violations. Ci-dessous les types les plus courants d'attaques de sécurité des base de données et leurs causes.

Menaces internes

Une menace interne est une menace à la sécurité provenant de l'une des trois sources disposant d'un accès privilégié à la base de données:

• Une personne malveillante en interne qui a l'intention de faire du mal
• Une personne négligente en interne qui commet des erreurs qui rendent la base de données vulnérable aux attaques
• Un infiltré - un étranger qui obtient d'une manière ou d'une autre des informations d'identification via un stratagème tel que le phishing ou en accédant à la base de données d'informations d'identification elle-même

Les menaces internes sont parmi les causes les plus courantes d'atteintes à la sécurité des bases de données et résultent souvent du fait qu'un trop grand nombre d'employés peuvent détenir des identifiants d'accès utilisateur privilégiés.

Erreur humaine

Les accidents, les mots de passe faibles, le partage de mots de passe et d'autres comportements d'utilisateurs imprudents ou non informés continuent d'être la cause de près de la moitié (49%) de toutes les violations de données signalées.

Exploitation des vulnérabilités des logiciels de bases de données

Les pirates gagnent leur vie en trouvant et en ciblant les vulnérabilités dans toutes sortes de logiciels, y compris les logiciels de gestion de bases de données. Tous les principaux fournisseurs de logiciels de bases de données commerciales et plateformes de gestion de bases de données open source publient régulièrement des correctifs de sécurité pour remédier à ces vulnérabilités, mais le fait de ne pas appliquer ces correctifs en temps opportun peut accroître votre exposition.

Attaques par injection SQL/NoSQL

Ces menaces spécifiques à la base de données impliquent l'insertion de chaînes d'attaque SQL ou non SQL arbitraires dans les requêtes de base de données servies par des applications Web ou des en-têtes HTTP. Les organisations qui ne suivent pas les pratiques de codification d'applications Web sécurisées et effectuent des tests de vulnérabilité réguliers s'exposent à ces attaques

Exploitations du dépassement de mémoire tampon

Le dépassement de mémoire tampon se produit lorsqu'un processus tente d'écrire plus de données dans un bloc de mémoire de longueur fixe qu'il n'est autorisé à en contenir. Les pirates peuvent utiliser les données excédentaires, stockées dans des adresses mémoire adjacentes, comme base à partir de laquelle lancer des attaques.

Logiciels malveillants

Les logiciels malveillants sont des logiciels écrits spécifiquement pour exploiter les vulnérabilités ou endommager la base de données de quelque manière que ce soit. Les logiciels malveillants peuvent arriver via n'importe quelle unité de nœud final se connectant au réseau de la base de données.

Attaques sur les sauvegardes

Les organisations qui ne parviennent pas à protéger les données de sauvegarde avec les mêmes contrôles stricts que ceux utilisés pour protéger la base de données elle-même peuvent être vulnérables aux attaques sur les sauvegardes.

Ces menaces sont exacerbées par les éléments suivants:

• Des volumes de données croissants : la capture, le stockage et le traitement des données continuent de croître de manière exponentielle dans presque toutes les organisations. Tous les outils ou pratiques de sécurité des données doivent être hautement évolutifs pour répondre aux besoins dans un futur proche et lointain.
• L'étalement de l'infrastructure: les environnements réseau deviennent de plus en plus complexes, en particulier à mesure que les entreprises déplacent les charges de travail vers des architectures multicloud ou cloud hybride, ce qui rend le choix, le déploiement et la gestion des solutions de sécurité de plus en plus difficiles.
• Des exigences réglementaires de plus en plus strictes: le paysage mondial de la conformité aux réglementations continue de se complexifier, ce qui rend plus difficile le respect de tous les mandats.
• La pénurie de compétences en cybersécurité: les experts prévoient qu'il pourrait y avoir jusqu'à 8 millions de postes vacants dans le domaine de la cybersécurité d'ici 2022.

Attaques par déni de service distribué (DoS/DDoS)

Dans une attaque par déni de service distribué (DoS), le pirate inonde le serveur cible, dans ce cas le serveur de base de données, de tant de demandes que le serveur ne peut plus répondre aux demandes légitimes des utilisateurs réels et, dans de nombreux cas, le serveur devient instable ou se bloque.

Dans une attaque par déni de service distribué (DDoS), le déluge provient de plusieurs serveurs, ce qui rend plus difficile d'arrêter l'attaque. Regardez notre vidéo «Qu'est-ce qu'une attaque DDoS» (3:51) pour plus d'informations:

Étant donné que les bases de données sont presque toujours accessibles par le réseau, toute menace à la sécurité pour tout composant au sein ou une partie de l'infrastructure réseau est également une menace pour la base de données, et toute attaque affectant l'appareil ou le poste de travail d'un utilisateur peut menacer la base de données. Ainsi, la sécurité de la base de données doit s'étendre bien au-delà des limites de la seule base de données.

Lors de l'évaluation de la sécurité des bases de données dans votre environnement, tenez compte de chacun des éléments suivants afin de décider des priorités principales de votre équipe:

• Sécurité physique: que votre serveur de base de données soit sur site ou dans un centre de données cloud, il doit être situé dans un environnement sécurisé et climatisé. (Si votre serveur de base de données se trouve dans un centre de données cloud, votre fournisseur de cloud s'en chargera pour vous.)
• Contrôles d'accès administratif et réseau: en pratique, un nombre minimal d'utilisateurs doit avoir accès à la base de données, et leurs autorisations doivent être limitées aux niveaux minimum nécessaires pour qu'ils puissent faire leur travail. De même, l'accès au réseau doit être limité au niveau minimal pour ce qui est du nombre des autorisations nécessaires.
• Compte d'utilisateur final/sécurité de l'appareil: vous devez toujours savoir qui accède à la base de données et quand et comment les données sont utilisées. Les solutions de surveillance des données peuvent vous alerter si les activités liées aux données sont inhabituelles ou semblent risquées. Tous les appareils utilisateur connectés au réseau hébergeant la base de données doivent être physiquement sécurisés (entre les mains du bon utilisateur uniquement) et soumis à des contrôles de sécurité à tout moment.
• Chiffrement: TOUTES les données, y compris les données de la base de données et les données d'identification, doivent être protégées par le meilleur chiffrement de leur catégorie au repos et en transit. Toutes les clés de chiffrement doivent être traitées conformément aux directives de meilleures pratiques.
• Sécurité du logiciel de base de données: utilisez toujours la dernière version de votre logiciel de gestion de base de données et appliquez tous les correctifs dès qu'ils sont publiés.
• Sécurité des applications/serveurs Web: toute application ou serveur Web qui interagit avec la base de données peut être un canal d'attaque et doit être soumis à des tests de sécurité continus et à une gestion des meilleures pratiques.
• Sécurité des sauvegardes : toutes les sauvegardes, copies ou images de la base de données doivent être soumises aux mêmes contrôles de sécurité (ou tout aussi stricts) que la base de données elle-même.
• Contrôle: enregistrez toutes les connexions au serveur de base de données et au système d'exploitation, et enregistrez également toutes les opérations effectuées sur les données sensibles. Des contrôles des normes de sécurité des bases de données doivent être effectués régulièrement.

En plus de mettre en œuvre des contrôles de sécurité en couches sur l'ensemble de votre environnement réseau, la sécurité de la base de données nécessite que vous établissiez les contrôles et les politiques appropriés pour l'accès à la base de données elle-même. Notamment:

• Des contrôles administratifs pour régir l'installation, les modifications et la gestion de la configuration de la base de données.
• Des contrôles préventifs pour régir l'accès, le chiffrement, la segmentation en unités et le masquage.
• Des contrôles de détection pour surveiller l'activité de la base de données et les outils de prévention de pertes de données. Ces solutions permettent d'identifier et d'alerter sur les activités anormales ou suspectes.

Les politiques de sécurité des bases de données doivent être intégrées et soutenir vos objectifs commerciaux globaux, tels que la protection de la propriété intellectuelle critique et vos politiques de cybersécurité et de sécurité du cloud. Assurez-vous que vous avez la responsabilité désignée du maintien et des audits de contrôles de sécurité au sein de votre organisation et que vos politiques complètent celles de votre fournisseur de cloud dans les accords de responsabilité partagée. Les contrôles de sécurité, les programmes de formation et d'éducation à la sensibilisation à la sécurité, ainsi que les stratégies de test d'intrusion et d'évaluation de la vulnérabilité doivent tous être établis à l'appui de vos politiques de sécurité formelles.

Aujourd'hui, un large éventail de fournisseurs proposent des outils et des plateformes de protection des données. Une solution complète doit inclure toutes les fonctionnalités suivantes:

• Détection: recherchez un outil capable de parcourir et de classer les vulnérabilités dans toutes vos bases de données, qu'elles soient hébergées dans le cloud ou sur site, et proposez des recommandations pour corriger les vulnérabilités identifiées. Les capacités de détection sont souvent requises pour se conformer aux mandats de conformité aux réglementations.
• Surveillance de l'activité des données: la solution doit être capable de surveiller et d'effectuer un audit de toutes les activités des données dans toutes les bases de données, que votre déploiement soit sur site, dans le cloud ou dans un conteneur. Elle devrait vous alerter des activités suspectes en temps réel afin que vous puissiez réagir plus rapidement aux menaces. Vous aurez également besoin d'une solution capable d'appliquer des règles, des politiques et la répartition des tâches et qui offre une visibilité sur le statut de vos données via une interface utilisateur complète et unifiée. Assurez-vous que la solution que vous choisissez peut générer les rapports dont vous aurez besoin pour répondre aux exigences de conformité.
• Capacités de chiffrement et de segmentation en unités: en cas de violation, le chiffrement offre une dernière ligne de défense contre les compromissions. Tout outil que vous choisissez doit inclure des capacités de chiffrement flexibles qui peuvent protéger les données dans des environnements sur site, cloud, hybrides ou multicloud. Recherchez un outil doté de capacités de chiffrement de fichiers, de volumes et d'applications conformes aux exigences de conformité de votre secteur, ce qui peut nécessiter une segmentation en unités (masquage des données) ou des capacités avancées de gestion des clés de sécurité.
• Optimisation de la sécurité des données et analyse des risques: un outil qui peut générer des informations contextuelles en combinant des informations sur la sécurité des données avec des analyses avancées vous permettra d'effectuer facilement l'optimisation, l'analyse des risques et la production de rapports. Choisissez une solution capable de conserver et de synthétiser de grandes quantités de données historiques et récentes sur le statut et la sécurité de vos bases de données, et recherchez-en une qui offre des fonctionnalités d'exploration, de contrôle et de production de rapports des données via un tableau de bord en libre-service complet, mais convivial.

Les bases de données cloud gérées par IBM disposent de fonctionnalités de sécurité natives optimisées par IBM Cloud Security, notamment des fonctionnalités intégrées de gestion des identités et des accès, de visibilité, d'intelligence et de protection des données. Avec une base de données cloud gérée par IBM, vous pouvez être tranquille en sachant que votre base de données est hébergée dans un environnement intrinsèquement sécurisé et que votre charge administrative sera beaucoup plus réduite.

IBM propose également la plate-forme de protection des données plus intelligente IBM Security Guardium, qui intègre des fonctionnalités de détection, de surveillance, de chiffrement et de segmentation en unités des données, ainsi que d'optimisation de la sécurité et d'analyse des risques pour toutes vos bases de données, entrepôts de données, partages de fichiers et plateformes de mégadonnées, qu'ils soient hébergés sur site, dans le cloud ou dans des environnements hybrides.

En outre, IBM propose des services gérés de sécurité Cloud, qui incluent la détection et la classification des données, la surveillance de l'activité des données, ainsi que des capacités de chiffrement et de gestion des clés pour protéger vos données contre les menaces internes et externes grâce à une approche rationalisée d'atténuation des risques.

Vous pouvez commencer par créer un compte IBM Cloud dès aujourd'hui.