Sécurité des bases de données

menu icon

Sécurité des bases de données

Découvrez les complexités de la sécurité des bases de données et certaines des pratiques, des politiques et des technologies qui contribuent à protéger la confidentialité, l'intégrité et la disponibilité de vos données.

Qu'est-ce que la sécurité des bases de données ?

La sécurité des bases de données désigne une gamme d'outils, de contrôles et de mesures conçus pour établir et préserver la confidentialité, l'intégrité et la disponibilité d'une base de données. Cet article s’intéresse en priorité à la confidentialité, car c'est l'aspect qui se retrouve compromis dans la plupart des violations de données.

La sécurité d'une base de données doit gérer et protéger les éléments suivants :

  • Les données de la base de données
  • Le système de gestion de base de données (SGBD)
  • Toutes les applications associées
  • Le serveur de base de données physique et/ou le serveur de base de données virtuel et le matériel sous-jacent
  • L'infrastructure de traitement et/ou de réseau utilisée pour accéder à la base de données

La sécurité des bases de données est une tâche complexe et exigeante qui englobe tous les aspects des technologies et des pratiques de sécurité de l'information. Elle entre aussi naturellement en conflit avec la convivialité d'une base de données. Plus la base de données est accessible et facile à utiliser, plus elle est vulnérable aux menaces de sécurité. Inversement, mieux elle est protégée contre les menaces, plus elle est difficile d'accès et d'utilisation. Ce paradoxe est parfois appelé la règle d'Anderson (lien externe à IBM).

Pourquoi la sécurité est importante

Par définition, une violation des données est une incapacité à préserver la confidentialité des données dans une base de données. Le préjudice infligé à votre entreprise par une violation de données dépend d'un certain nombre de conséquences ou de facteurs :

  • Compromission de la propriété intellectuelle : Votre propriété intellectuelle - secrets commerciaux, inventions, pratiques exclusives - joue souvent un rôle crucial pour vous permettre de conserver un avantage concurrentiel sur votre marché. En cas de vol ou de divulgation de votre propriété intellectuelle, il peut être difficile, voire impossible de conserver ou de récupérer votre compétitivité.
  • Atteintes à la réputation de la marque : Vos clients ou vos partenaires peuvent rechigner à acheter vos produits ou services (ou à commercer avec votre entreprise) s'ils estiment que vous n'êtes pas capable de protéger vos propres données ou les leurs.
  • Continuité des opérations (ou défaut de continuité des opérations) : Certaines entreprises ne peuvent pas continuer à fonctionner tant qu'une violation n'est pas résolue.
  • Amendes ou pénalités en cas de non-conformité : Les répercussions financières en cas de non-respect des règlementations internationales telles que la loi Sarbanes-Oxley Act (SAO) ou la norme Payment Card Industry Data Security Standard (PCI DSS), les règlementations sectorielles relatives à la confidentialité des données (par exemple la loi HIPAA), ou les règlementations régionales en matière de confidentialité des données, telles que le Règlement général sur la protection des données (RGPD) en Europe, peuvent être gravissimes. Dans le pire des cas, les amendes peuvent être supérieures à plusieurs millions de dollars par violation.
  • Coûts de la remédiation des violations et de la notification des clients : En plus du coût de la communication d'une violation aux clients, l'entreprise victime doit supporter de nombreux autres frais : investigation numérique légale et frais d'enquête, gestion de la crise, triage, restauration des systèmes affectés, et ainsi de suite.

Menaces et défis courants

De nombreuses erreurs de configuration de logiciels, des vulnérabilités, des négligences ou des utilisations erronées peuvent entraîner des violations de sécurité. Les types ou les causes les plus courants des attaques contre la sécurité des bases de données sont les suivants :

Menaces internes

Une menace interne, ou délit d'initié, est une menace pour la sécurité émanant de l'une ou l'autre des trois sources suivantes possédant un accès privilégié à la base de données :

  • Une personne en interne ou ayant accès à des informations internes, animée d'intentions malveillantes.
  • Une personne en interne qui commet des erreurs rendant la base de données vulnérable aux attaques.
  • Un infiltrateur, c'est-à-dire un acteur externe qui obtient des données d'identification par hameçonnage, ou en accédant à la base des données d'identification-même.

Les menaces internes figurent parmi les causes les plus courantes de violation de la sécurité des bases de données. Elles sont souvent dues au fait qu'un nombre d'employés trop important détient des droits d'accès utilisateur privilégié.

Erreur humaine

Les accidents, les mots de passe faibles, le partage de mots de passe et d'autres comportements imprudents ou résultant d'une mauvaise information continuent d'être la cause de près de la moitié de toutes les violations de données déclarées (49 %, Lien externe à IBM).

Exploitation des vulnérabilités des logiciels de base de données

La principale occupation des pirates informatiques consiste à repérer et cibler les vulnérabilités dans tous les types de logiciel, et les logiciels de gestion de base de données n'échappent pas à la règle. Tous les principaux fournisseurs de logiciels de bases de données commerciales, ainsi que les plateformes de gestion de base de données open source publient régulièrement des correctifs de sécurité pour remédier à ces vulnérabilités. Il est essentiel d'appliquer ces correctifs dans les délais pour ne pas accentuer votre risque d'exposition.

Attaques par injection SQL/NoSQL

Cette menace spécifique aux bases de données consiste à insérer une chaîne d'attaque arbitraire SQL ou non-SQL dans des requêtes adressées aux bases de données servies par des applications Web ou des en-têtes HTTP. Les entreprises qui ne respectent pas les pratiques de codage des applications Web sécurisées et qui n'effectuent pas régulièrement des tests de vulnérabilité sont exposées à ces attaques.

Exploitations des dépassements de mémoire tampon

Un dépassement de mémoire tampon se produit lorsqu'un processus tente d'écrire dans un bloc de mémoire de longueur fixe une quantité de données supérieure à celle que ce bloc peut contenir. Les agresseurs peuvent utiliser les données excédentaires, qui sont stockées dans des adresses de mémoire adjacentes, comme base à partir de laquelle lancer des attaques.

Attaques par déni de service (DoS/DDoS)

Dans une attaque par déni de service (DoS), l'agresseur bombarde le serveur ciblé - dans ce cas précis, le serveur de base de données - au moyen d'un nombre de requêtes tellement élevé que le serveur ne peut plus répondre aux demandes légitimes des utilisateurs réels. Très souvent, le serveur devient instable ou tombe en panne.

Dans une attaque par déni de service distribué (DDoS), ce bombardement de requêtes provient de plusieurs serveurs, ce qui la rend plus difficile à arrêter. Regardez notre vidéo "What is a DDoS Attack" (3:51) pour en savoir plus :

Logiciels malveillants

Les logiciels malveillants sont créés spécialement pour exploiter les vulnérabilités ou provoquer d'autres types de dommages dans la base de données. Ils peuvent infecter n'importe quel appareil de nœud final se connectant au réseau de la base de données.

Attaques contre les sauvegardes

Les entreprises qui omettent de protéger leurs données de sauvegarde en leur appliquant les mêmes contrôles rigoureux que ceux utilisés pour protéger la base de données elle-même s'exposent aux attaques contre les sauvegardes.

Ces menaces sont exacerbées par les facteurs suivants :

  • Augmentation des volumes de données : La capture, le stockage et le traitement des données continuent de croître de façon exponentielle dans presque toutes les entreprises. L'ensemble des outils ou des pratiques de sécurité des données doit être très évolutif afin de répondre aux besoins futurs, à court et à long terme.
  • Prolifération de l'infrastructure : Les environnements réseau deviennent de plus en plus complexes, en particulier lorsque les entreprises transfèrent des charges de travail vers des architectures multicloud ou de cloud hybride, rendant le choix, le déploiement et la gestion des solutions de sécurité toujours plus difficiles.
  • Exigences règlementaires de plus en plus rigoureuses : La complexité de la conformité aux règlementations dans le monde s'accentue, compliquant le respect de toutes les obligations.
  • Pénurie de compétences en cybersécurité : Les spécialistes tablent sur près de 8 millions de postes de cybersécurité non pourvus d'ici 2022.

Meilleures pratiques

Comme les bases de données sont presque toujours accessibles en réseau, toute menace pesant sur la sécurité d'un composant ou d'une partie de l'infrastructure réseau affecte également la base de données. De même, toute attaque impactant l'appareil ou le poste de travail d'un utilisateur peut se répercuter sur la base de données. En conséquence, la sécurité de base de données doit s'étendre bien au-delà des limites de la seule base de données.

Lors de l'évaluation de la sécurité de la base de données dans votre environnement afin de déterminer les principales priorités de votre équipe, examinez chacun des domaines suivants :

  • Sécurité physique : Que votre serveur de base de données réside sur site ou dans un centre de données cloud, il doit être situé dans un environnement sécurisé et climatisé. S'il réside dans un centre de données cloud, c'est votre fournisseur de cloud qui gère ces aspects à votre place.
  • Contrôles d'administration et d'accès au réseau : Le nombre d'utilisateurs ayant accès à la base de données doit être limité au minimum pratique. Leurs droits doivent être limités au strict minimum nécessaire leur permettant d'effectuer leur mission. De même, l'accès au réseau doit être limité au niveau minimum d'autorisations nécessaires.
  • Sécurité des comptes/des appareils des utilisateurs finaux : Vous devez toujours savoir qui accède à la base de données, et quand et comment les données sont utilisées. Les solutions de surveillance des données peuvent vous avertir si certaines activités sur les données sont inhabituelles ou semblent risquées. Tous les appareils utilisateur qui se connectent au réseau hébergeant la base de données doivent être sécurisés physiquement (c'est-à-dire être détenus uniquement par l'utilisateur autorisé) et pouvoir être soumis à des contrôles de sécurité à tout moment.
  • Chiffrement : TOUTES les données, y compris les données de la base de données et les données d'identification, doivent être protégées par un chiffrement optimal, qu'elles soient au repos ou en transit. Toutes les clés de chiffrement doivent être gérées conformément aux meilleures pratiques.
  • Sécurité du logiciel de base de données : Utilisez toujours la dernière version de votre logiciel de gestion de base de données et appliquez tous les correctifs dès qu'ils sont publiés.
  • Sécurité de l'application/du serveur Web : Toute application ou serveur Web interagissant avec la base de données peut constituer un canal d'attaque et doit être soumis à des tests de sécurité continus et à une gestion des meilleures pratiques.
  • Sécurité des sauvegardes : Toutes les sauvegardes, copies ou images de la base de données doivent être soumises aux mêmes contrôles de sécurité (ou à des contrôles équivalents en terme de rigueur) que la base de données elle-même.
  • Audit : Enregistrez toutes les connexions au serveur de base de données et au système d'exploitation, et journalisez toutes les opérations effectuées sur des données sensibles. Des audits standard de sécurité de la base de données doivent être effectués régulièrement.

Contrôles et règles

En plus de mettre en œuvre plusieurs couches de contrôles de sécurité dans tout votre environnement réseau, la sécurité de la base de données vous oblige à établir des règles et des contrôles appropriés pour l'accès à la base de données elle-même. Sont inclus :

  • Des contrôles administratifs qui gèrent l'installation, la modification et la gestion de la configuration de la base de données.
  • Des contrôles préventifs qui gouvernent l'accès, le chiffrement, le marquage sémantique et le masquage.
  • Des contrôles de détection qui surveillent les outils de surveillance des activités de base de données et les outils de prévention des pertes de données. Ces solutions permettent d'identifier les activités anormales ou suspectes et d'émettre des alertes les concernant.

Les règles de la sécurité de base de données doivent être intégrées à l'ensemble de vos objectifs métier, tels que la protection de la propriété intellectuelle stratégique, à vos politiques de cybersécurité et à vos règles de sécurité cloud, et les renforcer. Veillez à désigner les responsables de la gestion et de l'audit des contrôles de sécurité au sein de votre entreprise, et vérifiez que vos politiques complètent celles de votre fournisseur cloud, en établissant à cet effet des accords de responsabilité partagée. Des contrôles de sécurité, des programmes de formation et d'éducation en matière de sécurité, des test de pénétration et des stratégies d'évaluation des vulnérabilités doivent tous venir en appui de vos politiques officielles de sécurité.

Outils et plateformes de protection des données

De nos jours, un large éventail de fournisseurs proposent des outils et des plateformes de protection des données. Une solution à grande échelle doit inclure toutes les capacités suivantes :

  • Reconnaissance : Recherchez un outil capable d'analyser et de classifier les vulnérabilités dans toutes vos bases de données, qu'elles soient hébergées dans le cloud ou sur site, et d'émettre des recommandations pour corriger les vulnérabilités identifiées. Les fonctionnalités de reconnaissance sont souvent exigées pour la conformité réglementaire.
  • Surveillance de l’activité liée aux données : La solution doit pouvoir surveiller et vérifier toutes les activités des données dans toutes les bases de données, qu'il s'agisse d'un déploiement sur site, dans le cloud ou dans un conteneur. Elle doit vous signaler les activités suspectes en temps réel afin de vous permettre de réagir plus rapidement aux menaces. Recherchez également une solution capable de faire appliquer les règles, les politiques et la séparation des tâches. Elle doit aussi offrir la visibilité de l'état de vos données grâce à une interface utilisateur complète et unifiée. Toutes les solutions que vous choisissez doivent pouvoir générer les rapports dont vous avez besoin pour respecter les exigences de conformité.
  • Fonctionnalités de chiffrement et de marquage sémantique : En cas de violation, le chiffrement offre une ligne de défense ultime contre la compromission. Tous les outils que vous choisissez doivent inclure des fonctions de chiffrement souple, capables de protéger les données dans des environnements sur site, cloud, hybrides ou multicloud. Recherchez un outil dont les fonctionnalités de chiffrement de fichier, de volume et d'application respectent les exigences de conformité de votre secteur d'activité. Vous pouvez notamment avoir besoin de fonctions de marquage sémantique (masquage de données) ou de gestion avancée des clés de sécurité.
  • Optimisation de la sécurité des données et analyse des risques : Un outil pouvant générer des informations contextuelles en combinant des informations de sécurité des données et une analyse avancée permet d'effectuer facilement une optimisation, l'analyse des risques et la génération de rapports. Choisissez une solution capable de conserver et de synthétiser de grandes quantités de données historiques et récentes sur le statut et la sécurité de vos bases de données. Parmi les autres critères à retenir, la solution doit offrir des fonctions d'exploration, d'audit et de reporting, via un tableau de bord en libre-service complet mais néanmoins convivial.

Sécurité des bases de données et IBM Cloud

Les bases de données cloud gérées par IBM comportent des fonctions de sécurité natives alimentées par IBM Cloud Security, notamment des fonctions intégrées de gestion des identités et des accès, de visibilité, de renseignement et de protection des données. Une base de données cloud gérée par IBM est synonyme de tranquillité d'esprit : vous savez que votre base de données est hébergée dans un environnement intrinsèquement sécurisé, et que vos tâches administratives vont être considérablement réduites.

IBM propose également la plateforme intelligente de protection des données IBM Security Guardium, qui intègre la reconnaissance des données, la surveillance, le chiffrement et le marquage sémantique. Elle offre également des fonctions d'optimisation de la sécurité et d'analyse des risques pour l'ensemble de vos bases de données, entrepôts de données, partages de fichiers et plateformes de big data, que ces solutions soient hébergées dans des environnements sur site, dans le cloud ou hybrides.

En outre, IBM propose des services gérés de sécurité des données pour le cloud. Ils incluent la reconnaissance et la classification des données, la surveillance des activités de données, le chiffrement et la gestion des clés. Ils protègent vos données contre les menaces internes et externes grâce à une approche rationalisée d'atténuation des risques.

Pour commencer, créez-vous un compte IBM Cloud dès aujourd'hui.