La sécurité des bases de données fait référence aux outils, contrôles et mesures destinés à établir et protéger la confidentialité, l'intégrité et la disponibilité des bases de données. Cet article porte principalement sur la confidentialité, car il s'agit de l'élément qui est compromis dans la plupart des violations de données.

La sécurité des bases de données doit traiter et protéger les éléments suivants :

• données de la base de données ;
  
  
• système de gestion de la base de données (SGBD) ;
  
  
• toutes les applications associées ;
  
  
• serveur de base de données physique et/ou serveur de base de données virtuel et matériel sous-jacent ;
  
  
• infrastructure informatique et/ou réseau utilisée pour accéder à la base de données.

La sécurité des bases de données est une activité complexe et difficile qui fait intervenir tous les aspects des technologies et des pratiques de sécurité de l'information. Elle est aussi naturellement en contradiction avec la convivialité d'une base de données. Plus une base de données est accessible et utilisable, plus elle est vulnérable aux menaces de sécurité. Inversement, plus une base de données est invulnérable aux menaces, plus elle est difficile d'accès et d'utilisation. Ce paradoxe est parfois appelé la règle d'Anderson. (lien externe à IBM)

Par définition, une atteinte à la protection des données est un manquement à la confidentialité des données d'une base de données. Le préjudice qu'une atteinte à la protection des données inflige à votre entreprise dépend d'un certain nombre de conséquences ou de facteurs :

• Propriété intellectuelle compromise : vos informations de propriété intellectuelle (secrets commerciaux, inventions, pratiques exclusives) peuvent être essentielles à votre capacité à conserver un avantage concurrentiel sur votre marché. En cas de vol ou de divulgation de vos informations de propriété intellectuelle, il peut être difficile, voire impossible de conserver ou de récupérer votre compétitivité.
  
  
• Atteinte à la réputation de la marque : les clients ou les partenaires peuvent ne pas vouloir acheter vos produits ou services (ou faire des affaires avec votre entreprise) s'ils ont le sentiment qu'ils ne peuvent pas vous faire confiance pour protéger vos données ou les leurs.
  
  
• Continuité des opérations (ou absence de continuité) : certaines entreprises ne peuvent pas continuer à fonctionner tant qu'une violation n'est pas résolue.
  
  
• Amendes ou pénalités en cas de non-conformité : l'impact financier en cas de non-respect des réglementations mondiales, telles que le Sarbannes-Oxley (SAO) Act ou la norme de sécurité des données du secteur des cartes de paiement (PCI DSS), du Health Insurance Portability and Accountability Act (HIPAA) ou des réglementations régionales sur la confidentialité des données, telles que le règlement général européen sur la protection des données (RGPD), peut être dévastateur ; les amendes pouvant dépasser, dans le pire des cas, plusieurs millions de dollars par violation.
  
  
• Coûts de réparation des violations et de notification aux clients : outre le coût de la communication aux clients, une organisation victime d'une violation doit payer les activités d'investigation et d'enquête, la gestion de crise, le triage, la réparation des systèmes affectés, etc.

De nombreuses erreurs de configuration, des vulnérabilités ou des schémas de négligence ou d'utilisation abusive des logiciels peuvent entraîner des violations. Voici quelques-uns des types ou causes les plus courants d'attaque qui visent la sécurité des bases de données.

Menaces internes

Une menace interne est une menace à la sécurité provenant de l'une des trois sources disposant d'un accès privilégié à la base de données :

• employé interne malveillant qui veut nuire ;
  
  
• employé interne négligent qui commet des erreurs qui rendent la base de données vulnérable aux attaques ;
  
  
• infiltré : personne extérieure à l'entreprise qui obtient d'une manière ou d'une autre des informations d'identification en utilisant un stratagème tel que l'hameçonnage ou en accédant à la base de données des informations d'identification elle-même.

Les menaces internes sont parmi les causes les plus courantes des violations de la sécurité des bases de données et sont la conséquence de l'octroi de données d'identification d'accès utilisateur privilégié à un trop grand nombre d'employés.

Erreur humaine

Les accidents, les mots de passe faibles, le partage de mots de passe et d'autres comportements imprudents ou mal informés continuent d'être la cause de près de la moitié (49 %) de toutes les violations de données signalées.

Exploitation des vulnérabilités des logiciels de base de données

Les pirates gagnent leur vie en recherchant et en ciblant les vulnérabilités dans toutes sortes de logiciels, notamment les logiciels de gestion de bases de données. Tous les principaux fournisseurs de logiciels de bases de données commerciales et plateformes de gestion de bases de données open source publient régulièrement des correctifs de sécurité pour remédier à ces vulnérabilités. Ne pas appliquer ces correctifs en temps opportun peut accroître votre exposition.

Attaques par injection SQL/NoSQL

Ces menaces qui affectent les bases de données insèrent des chaînes d'attaque SQL ou non SQL arbitraires dans les requêtes de base de données traitées par les applications Web ou les en-têtes HTTP. Les organisations qui ne suivent pas les pratiques de codification des applications Web sécurisées et n'effectuent pas de tests de vulnérabilité régulièrement s'exposent à ces attaques.

Exploitation des dépassements de mémoire tampon

Un dépassement de mémoire tampon se produit lorsqu'un processus tente d'écrire plus de données dans un bloc de mémoire de longueur fixe qu'il n'est autorisé à en contenir. Les pirates peuvent utiliser les données excédentaires, stockées dans des adresses mémoire contiguës, pour lancer leurs attaques.

Logiciels malveillants

Les logiciels malveillants sont des logiciels écrits spécifiquement pour exploiter les vulnérabilités ou endommager une base de données de quelque manière que ce soit. Les logiciels malveillants peuvent pénétrer par n'importe quel appareil de point de terminaison qui se connecte au réseau de la base de données.

Attaques des sauvegardes

Les organisations qui ne protègent pas les données de sauvegarde avec les mêmes contrôles rigoureux que ceux utilisés pour protéger la base de données elle-même peuvent être vulnérables aux attaques sur les sauvegardes.

Ces menaces sont exacerbées par les éléments suivants :

• Des volumes de données croissants : la capture, le stockage et le traitement des données continuent de croître de manière exponentielle dans presque toutes les organisations. Les outils ou les pratiques de sécurité des données doivent être très évolutifs afin de répondre aux besoins futurs à court terme et à long terme.
  
  
• La prolifération des infrastructures : les environnements réseau deviennent toujours plus complexes, en particulier à mesure que les entreprises transfèrent des charges de travail vers des architectures multicloud ou de cloud hybride, ce qui rend le choix, le déploiement et la gestion des solutions de sécurité toujours plus difficiles.
  
  
• Des exigences réglementaires toujours plus strictes : le paysage mondial de la conformité aux réglementations continue de se complexifier, rendant plus difficile le respect de toutes les obligations.
  
  
• La pénurie de compétences en cybersécurité : les experts prévoient jusqu'à 8 millions de postes vacants dans le domaine de la cybersécurité d'ici 2022.

Attaques par déni de service (DoS/DDoS)

Dans une attaque par déni de service (DoS), l'attaquant submerge le serveur cible (le serveur de base de données, en l'occurrence) de tant de demandes que celui-ci ne peut plus répondre aux demandes légitimes des utilisateurs réels et, dans de nombreux cas, devient instable ou tombe en panne.

Dans une attaque par déni de service distribué (DDoS), le déluge provient de plusieurs serveurs, ce qui complique le blocage de l'attaque. Regardez notre vidéo « Qu'est-ce qu'une attaque DDoS » (3:51) pour plus d'informations :

Les bases de données étant presque toujours accessibles par le réseau, toute menace sur la sécurité d'un composant de l'infrastructure du réseau ou d'une partie de celle-ci constitue également une menace pour la base de données. Ainsi, toute attaque ayant un impact sur le dispositif ou le poste de travail d'un utilisateur peut menacer la base de données. La sécurité de la base de données doit donc s'étendre bien au-delà des limites de la seule base de données.

Lorsque vous évaluez la sécurité des bases de données dans votre environnement pour décider des priorités de votre équipe, tenez compte de chacun des points suivants :

• Sécurité physique : que votre serveur de base de données soit sur site ou dans un centre de données cloud, il doit être situé dans un environnement sécurisé et climatisé. (Si votre serveur de base de données se trouve dans un centre de données cloud, votre fournisseur de cloud s'en charge pour vous.)
  
  
• Contrôles des accès administratifs et au réseau : en pratique, un nombre minimal d'utilisateurs doit avoir accès à la base de données, et leurs autorisations doivent être limitées aux niveaux minimum nécessaires pour qu'ils puissent effectuer leur travail. De même, l'accès au réseau doit être limité au niveau minimum d'autorisations nécessaires.
  
  
• Compte utilisateur final/sécurité des appareils : vous devez toujours savoir qui accède à la base de données et quand et comment les données sont utilisées. Les solutions de surveillance des données peuvent vous avertir de l'existence d'activités inhabituelles ou risquées sur les données. Tous les appareils utilisateur qui se connectent au réseau qui héberge la base de données doivent être sécurisés physiquement (c'est-à-dire être accessibles uniquement par l'utilisateur autorisé) et pouvoir être soumis à des contrôles de sécurité à tout moment.
  
  
• Chiffrement : TOUTES les données, y compris les données de la base de données et les données d'identification, doivent être protégées au repos et en transit par le chiffrement le plus efficace. Toutes les clés de chiffrement doivent être gérées conformément aux meilleures pratiques.
  
  
• Sécurité du logiciel de base de données : utilisez toujours la dernière version de votre logiciel de gestion de base de données et appliquez tous les correctifs dès qu'ils sont publiés.
  
  
• Sécurité des applications/serveurs Web : toute application ou tout serveur Web qui interagit avec la base de données peut être un canal d'attaque et doit être soumis à des tests de sécurité continus et à la gestion des meilleures pratiques.
  
  
• Sécurité des sauvegardes : toutes les sauvegardes, copies ou images de la base de données doivent être soumises aux mêmes contrôles de sécurité (ou tout aussi stricts) que la base de données elle-même.
  
  
• Audit : enregistrez toutes les connexions au serveur de base de données et au système d'exploitation, et consignez toutes les opérations effectuées sur les données sensibles. Les normes de sécurité des bases de données doivent être contrôlées régulièrement.

Outre la mise en œuvre de contrôles de sécurité à plusieurs niveaux dans l'ensemble de votre environnement réseau, la sécurité des bases de données exige que vous établissiez les contrôles et les politiques appropriés pour l'accès à la base de données elle-même. Cela inclut :

• des contrôles administratifs pour régir l'installation, les modifications et la gestion de la configuration de la base de données ;
  
  
• des contrôles préventifs pour régir l'accès, le chiffrement, le marquage sémantique et le masquage ;
  
  
• des contrôles de détection pour surveiller l'activité de la base de données et les outils de prévention de pertes de données. Ces solutions permettent d'identifier et de signaler les activités anormales ou suspectes.

Les politiques de sécurité des bases de données doivent être intégrées aux objectifs généraux de votre entreprise et les soutenir, comme la protection des données critiques de propriété intellectuelle et vos politiques de cybersécurité et de sécurité du cloud. Veillez à désigner les responsables de la gestion et de l'audit des contrôles de sécurité au sein de votre entreprise, et vérifiez que vos politiques complètent celles de votre fournisseur cloud en établissant à cet effet des accords de responsabilité partagée. Les contrôles de sécurité, les programmes de formation et de sensibilisation à la sécurité, ainsi que les stratégies de test d'intrusion et d'évaluation de la vulnérabilité doivent tous être établis à l'appui de vos politiques de sécurité formelles.

Aujourd'hui, un large éventail de fournisseurs proposent des outils et des plateformes de protection des données. Une solution complète doit inclure toutes les fonctionnalités suivantes :

• Détection : recherchez un outil capable de parcourir et de classer les vulnérabilités dans toutes vos bases de données, qu'elles soient hébergées dans le cloud ou sur site, et de proposer des recommandations pour corriger les vulnérabilités identifiées. Des fonctionnalités de reconnaissance sont généralement exigées pour la conformité réglementaire.
  
  
• Surveillance de l'activité des données : la solution doit être de pouvoir surveiller et effectuer un audit de toutes les activités de données dans toutes les bases de données, que votre déploiement soit sur site, dans le cloud ou dans un conteneur. Elle doit vous signaler les activités suspectes en temps réel afin de pouvoir réagir plus rapidement aux menaces. Vous devrez également utiliser une solution qui peut appliquer des règles, des politiques et la séparation des tâches, et qui offre une visibilité de l'état de vos données grâce à une interface utilisateur complète et unifiée. Toutes les solutions que vous choisissez doivent pouvoir générer les rapports dont vous avez besoin pour respecter les exigences de conformité.
  
  
• Chiffrement et marquage sémantique : en cas de violation, le chiffrement offre une dernière ligne de défense contre les compromissions. Tous les outils que vous choisissez doivent inclure des fonctions de chiffrement flexibles, capables de protéger les données dans des environnements sur site, cloud, hybrides ou multicloud. Recherchez un outil doté de fonctionnalités de chiffrement des fichiers, des volumes et des applications conformes aux exigences de conformité de votre secteur, qui peuvent exiger un marquage sémantique (masquage des données) ou des fonctionnalités avancées de gestion des clés de sécurité.
  
  
• Optimisation de la sécurité des données et analyse des risques : un outil capable de générer des informations contextuelles en combinant des informations sur la sécurité des données avec des analyses avancées vous permettra de réaliser facilement l'optimisation, l'analyse des risques et la production de rapports. Choisissez une solution qui peut conserver et synthétiser de grandes quantités de données historiques et récentes sur le statut et la sécurité de vos bases de données et qui offre des fonctionnalités d'exploration des données, d'audit et de production de rapports dans un tableau de bord en libre-service à la fois complet et convivial.