PROJET SDI JTC

QUESTIONNAIRES

Questions pour audit des bases de données

1. QUESTIONS GENERALES

Combien d’agences possédez-vous ?

Avez-vous des agences distantes ?
Combien d’employés possédez-vous ?
Combien d’accessoires gérer vous ?
Comment conservez-vous les informations sur vos employés ?
Comment conservez-vous les informations sur vos actifs ?
Sur quel format conservez-vous les informations des employés ?
Sur quel format conservez-vous les informations de vos actifs ?
Avec vous des systèmes de gestion de base de données ?
Nommez vos différents systèmes de gestion de base de donnée ainsi que leur version ?
Disposez-vous d’un système centralisé de gestion de vos données ?

2. QUESTIONS SPECIFIQUE
Disposez-vous d’un domaine ?
Quel mode d’authentification utilisez-vous ?
Avez-vous définir une politique de définition des mots de passe ?
Après combien de temps un mot de passe de connexion expire dans votre SGBD ?
Combien de tentative de connexion es possible avant un verrouillage de compte ?
Comment conservez-vous les traces des tentatives de connexion sur vos instances de base
de donnée ?
Comment gérer vous le compte d’un utilisateur qui quitte l’entreprise ?
Comment gérer vous le changement de poste des utilisateurs ?
Utilisez-vous des rôles serveur pour la sécurité de vos instances ?
Utilisez-vous des rôles de base de données dans vos différentes bases de données ?
Avez-vous une documentation des comptes actifs présentement dans vos instances ?
Avez-vous activez des audits au niveau de vos instances, si oui les quels ?
Ou conservez-vous vos fichiers de données ? sont t’ils protégés par un mot de passe ?
Ou conservez-vous vos fichiers de log ? sont t’ils crypté par un mot de passe ?
 PROJET SDI JTC
QUESTIONNAIRES

L’emplacement des fichiers de donnée et des fichiers de log est-il sécurisé ?

3. MONTE EN CHARGE SQL SERVER

Combien d’utilisateur disposez-vous pour chaque SGBD ?
Quels volumes de données disposé vous ?
Combien d’utilisateurs peuvent être connecté de façon simultané sur une instance ?
Utilisez-vous des vues au niveau de vos bases de donnée ?
Avez-vous partitionnez certaines de vos tables ?
A quelle fréquence effectuez-vous les mises à jour des SGBD ?
Conservez-vous les traces de ces mises à jours ?
Faites-vous les taches de maintenances sur les différentes instances en votre possession ?
Faites-vous des taches de maintenances des bases de donnée ?
A quel fréquence faites-vous les différentes maintenances.

4. SAUVERGARDE ET RESTAURATION
Quel sont les types de sauvegarde faites-vous ?
A quel fréquence faites-vous des sauvegardes de vos Base de donnée ?
Avez-vous un plan de sauvegarde ? est-il automatisé ?
Ou conservez vos différentes sauvegardes de donnée ?
Vos sauvegardes sont-elles testées avant d’être conservées ?
Après combien de temps vérifiez-vous si une sauvegarde es encore valide ?
Vos sauvegardes sont-elles étiquetées ? et documentés ?
Peut-on avoir un exemple d’une sauvegarde ?
Quel protocole de cryptage des backups utilisez-vous ?

Avez-vous un plan de reprise d’activité après sinistre ?

Avez-vous une procédure de reprise d’activité après sinistre ?
Avez-vous un Plan de restauration ?
Avez-vous une documentation de la procédure de restauration d’une base de donnée en
cas de crash ?
Avez-vous des plans de restaurations de vos données en cas d’urgence ?
Comment gérer vous la démarche de migrations des SGBD ?
Appliquer vous le principe d’ACID lors de la migration des données dans votre système ?
si oui expliquer la démarche.
Combien de temps de perde de données pouvez-vous tolérez dans votre système ?
 PROJET SDI JTC
QUESTIONNAIRES

5. SECURITE APPLICATIONS
Comment gérez-vous l’enregistrement et la désinscription de nouvelles applications ou
système qui utilisent les données de vos bases de données ?
Comment assurez-vous la non répudiation des données enregistrées dans une base de
données ?
Quand utilisez-vous des identifiants partagés ?
Comment effectuer vous le control des identifiants utilisateurs de type application ?

6. ADMINISTRATEURS

Vos administrateurs disposent de quel titre de qualifications professionnel ?

Les Administrateurs ont t’ils une charte éthique ?
A quel fréquence vos administrateurs vous font-ils des rapports ?
Quel es le temps d’attente pour qu’un administrateur soit notifier d’un incident de base de
donné sur un site ?
Quel es le temps d’attente pour qu’un administrateur prenne en charge un incident de
base de donné sur un site ?
A quel fréquence formez-vous vos administrateurs ?

7. BASE DE DONNEES

Comment gérez-vous vos bases de données (ajout, modification, suppression)?

Qui est habilité à créer une nouvelle base de données ?
Vos bases de données sont-elles documentées ?
Disposez-vous des environnements de test (BD d’exemple,) ?
Comment gérez-vous la documentation des différentes configurations des ressources ?
Avez-vous respecter la normalisation des tables de vos bases de données (forme normale)
?
Comment gérez-vous les extractions des données (mécanisme de protection des données
lors des extractions / vers Word, Excel…) ?
 PROJET SDI JTC
QUESTIONNAIRES

Quelles mesures avez-vous prise contre les attaques par injection SQL ?
Comment gérez-vous les transactions les procédures stockées et autres outils pouvant
altérer l’intégrité de la base de données (documentation des procédures stockées ainsi que
des transactions…) ?
Comment protégez-vous les logs contre les risques d’altération ?
Comment gérez-vous la surveillance de vos bases de données (Utilisez-vous des outils de
surveillance) ?
Quel outils utilisez-vous pour les audits natifs (Oracle-Audit vault, SQL server-SQL
Security Event/SQL trace, MySQL-MySQL Enterprise Audit)