La sécurité des bases de données fait référence aux outils, contrôles et mesures destinés à établir et protéger la confidentialité, l'intégrité et la disponibilité des bases de données. Cet article porte principalement sur la confidentialité, car il s'agit de l'élément qui est compromis dans la plupart des violations de données.
La sécurité des bases de données doit traiter et protéger les éléments suivants :
La sécurité des bases de données est une activité complexe et difficile qui fait intervenir tous les aspects des technologies et des pratiques de sécurité de l'information. Elle est aussi naturellement en contradiction avec la convivialité d'une base de données. Plus une base de données est accessible et utilisable, plus elle est vulnérable aux menaces de sécurité. Inversement, plus une base de données est invulnérable aux menaces, plus elle est difficile d'accès et d'utilisation. Ce paradoxe est parfois appelé la règle d'Anderson. (lien externe à IBM)
Par définition, une atteinte à la protection des données est un manquement à la confidentialité des données d'une base de données. Le préjudice qu'une atteinte à la protection des données inflige à votre entreprise dépend d'un certain nombre de conséquences ou de facteurs :
De nombreuses erreurs de configuration, des vulnérabilités ou des schémas de négligence ou d'utilisation abusive des logiciels peuvent entraîner des violations. Voici quelques-uns des types ou causes les plus courants d'attaque qui visent la sécurité des bases de données.
Une menace interne est une menace à la sécurité provenant de l'une des trois sources disposant d'un accès privilégié à la base de données :
Les menaces internes sont parmi les causes les plus courantes des violations de la sécurité des bases de données et sont la conséquence de l'octroi de données d'identification d'accès utilisateur privilégié à un trop grand nombre d'employés.
Les accidents, les mots de passe faibles, le partage de mots de passe et d'autres comportements imprudents ou mal informés continuent d'être la cause de près de la moitié (49 %) de toutes les violations de données signalées.
Les pirates gagnent leur vie en recherchant et en ciblant les vulnérabilités dans toutes sortes de logiciels, notamment les logiciels de gestion de bases de données. Tous les principaux fournisseurs de logiciels de bases de données commerciales et plateformes de gestion de bases de données open source publient régulièrement des correctifs de sécurité pour remédier à ces vulnérabilités. Ne pas appliquer ces correctifs en temps opportun peut accroître votre exposition.
Ces menaces qui affectent les bases de données insèrent des chaînes d'attaque SQL ou non SQL arbitraires dans les requêtes de base de données traitées par les applications Web ou les en-têtes HTTP. Les organisations qui ne suivent pas les pratiques de codification des applications Web sécurisées et n'effectuent pas de tests de vulnérabilité régulièrement s'exposent à ces attaques.
Un dépassement de mémoire tampon se produit lorsqu'un processus tente d'écrire plus de données dans un bloc de mémoire de longueur fixe qu'il n'est autorisé à en contenir. Les pirates peuvent utiliser les données excédentaires, stockées dans des adresses mémoire contiguës, pour lancer leurs attaques.
Les logiciels malveillants sont des logiciels écrits spécifiquement pour exploiter les vulnérabilités ou endommager une base de données de quelque manière que ce soit. Les logiciels malveillants peuvent pénétrer par n'importe quel appareil de point de terminaison qui se connecte au réseau de la base de données.
Les organisations qui ne protègent pas les données de sauvegarde avec les mêmes contrôles rigoureux que ceux utilisés pour protéger la base de données elle-même peuvent être vulnérables aux attaques sur les sauvegardes.
Ces menaces sont exacerbées par les éléments suivants :
Dans une attaque par déni de service (DoS), l'attaquant submerge le serveur cible (le serveur de base de données, en l'occurrence) de tant de demandes que celui-ci ne peut plus répondre aux demandes légitimes des utilisateurs réels et, dans de nombreux cas, devient instable ou tombe en panne.
Dans une attaque par déni de service distribué (DDoS), le déluge provient de plusieurs serveurs, ce qui complique le blocage de l'attaque. Regardez notre vidéo « Qu'est-ce qu'une attaque DDoS » (3:51) pour plus d'informations :
Les bases de données étant presque toujours accessibles par le réseau, toute menace sur la sécurité d'un composant de l'infrastructure du réseau ou d'une partie de celle-ci constitue également une menace pour la base de données. Ainsi, toute attaque ayant un impact sur le dispositif ou le poste de travail d'un utilisateur peut menacer la base de données. La sécurité de la base de données doit donc s'étendre bien au-delà des limites de la seule base de données.
Lorsque vous évaluez la sécurité des bases de données dans votre environnement pour décider des priorités de votre équipe, tenez compte de chacun des points suivants :
Outre la mise en œuvre de contrôles de sécurité à plusieurs niveaux dans l'ensemble de votre environnement réseau, la sécurité des bases de données exige que vous établissiez les contrôles et les politiques appropriés pour l'accès à la base de données elle-même. Cela inclut :
Les politiques de sécurité des bases de données doivent être intégrées aux objectifs généraux de votre entreprise et les soutenir, comme la protection des données critiques de propriété intellectuelle et vos politiques de cybersécurité et de sécurité du cloud. Veillez à désigner les responsables de la gestion et de l'audit des contrôles de sécurité au sein de votre entreprise, et vérifiez que vos politiques complètent celles de votre fournisseur cloud en établissant à cet effet des accords de responsabilité partagée. Les contrôles de sécurité, les programmes de formation et de sensibilisation à la sécurité, ainsi que les stratégies de test d'intrusion et d'évaluation de la vulnérabilité doivent tous être établis à l'appui de vos politiques de sécurité formelles.
Aujourd'hui, un large éventail de fournisseurs proposent des outils et des plateformes de protection des données. Une solution complète doit inclure toutes les fonctionnalités suivantes :
Protection continue, de la périphérie du réseau au cloud, pour vos données et vos applications, avec conformité aux réglementations.
Visibilité, conformité et protection étendues tout au long du cycle de vie de la sécurité des données.
Protection complète des données d'entreprise les plus critiques.
En savoir plus sur l'organisation des données dans le cloud.
Le rapport 2022 sur le coût d'une violation de données, qui en est à sa 17e édition, présente les dernières informations sur l'évolution du paysage des menaces et donne des recommandations pour gagner du temps et limiter les pertes.
Cette introduction aux réseaux explique comment les réseaux informatiques fonctionnent, l'architecture utilisée pour concevoir les réseaux et comment les sécuriser.