Académique Documents
Professionnel Documents
Culture Documents
Informationde l’information
Management
Livre blanc
White Paper
8 Steps to Holistic
Database Security
Les
By 8
Ron Ben étapes
Natan, de
Ph.D., IBM la sécurité
Distinguished
CTO for Integrated Data Management
Engineer, globale
Les cyberattaques, les méfaits commis par les employés et les Jusqu’ici, nos efforts ont porté principalement sur la sécurisa-
exigences en matière de conformité poussent les organisations tion des périmètres de réseau et des systèmes clients (pare-feu,
à trouver de nouveaux moyens de sécuriser les données clients systèmes de détection et de prévention d’intrusion, antivirus,
et les données d’entreprise stockées dans leurs bases de don- etc.). Nous entrons maintenant dans une nouvelle phase où
nées commerciales – Oracle, Microsoft SQL Server, IBM DB2 l’on demande aux professionnels de la sécurité de l’information
et Sybase, entre autres marques. Le présent document présente de faire en sorte que les bases de données d’entreprise soient
les huit pratiques exemplaires essentielles procurant l’approche protégées des effractions et des changements non autorisés.
Cyberattacks, malfeasance by insiders and regulatory requirements are information security professionals are being tasked with ensuring
globale qui permet à la fois de sécuriser les bases de données et
driving organizations to find new ways to secure their corporate and that corporate databases are secure from breaches and
de se conformer aux réglementations clés telles que SOX, PCI- Voici les huit pratiques exemplaires essentielles formant
customer data found in commercial database systems such as Oracle, unauthorized changes.
DSS,Microsoft
GLBA etSQL
les lois sur IBM
Server, la protection
DB2 and des données.
Sybase. This paper discusses the l’approche globale qui permet à la fois de sécuriser les bases de
8 essential best practices that provide a holistic approach to both données et de
Here are se conformer
8 essential aux réglementations
best practices that provide aclés telles que
holistic
Sécuriser les bases
safeguarding databases de compliance
and achieving données et regulations
with key SOX, PCI-DSS, GLBA et les lois sur la protection des
approach to both safeguarding databases and achieving données :
assurer la conformité
such as SOX, PCI-DSS, GLBA and data protection laws. compliance with key regulations such as SOX, PCI DSS, GLBA
Les attaques à motifs financiers, les méfaits commis par les 1. and
Découverte
data protection laws:
employés et les exigencesdatabases
Safeguarding en matière de conformité forcent les On ne peut sécuriser ce que l’on ne connaît pas. Il faut donc
organisations à trouver de nouvelles façons de sécuriser leurs 1. Discovery.
une mise en correspondance adéquate des actifs sensibles –
and achieving compliance
données et celles de leurs clients. You can’t secure
c’est-à-dire what you
des instances de don’t
basesknow. You need
de données to données
et des have a good
Financially-motivated attacks, malfeasance by insiders and
mapping of your sensitive assets – both of your database
sensibles contenues dans les bases de données. En outre, vous
regulatory requirements are driving organizations to find new
La majeure partie their
des données sensibles à l’échelle instances and your sensitive data inside the databases. Plus, you
ways to secure corporate and customer data.mondiale devez automatiser le processus de découverte puisqu’en raison
est stockée dans des bases de données commerciales – Oracle, de l’ajout ou de la modification d’applications, ainsi que des of
should automate the discovery process since the location
Microsoft SQL sensitive dataacquisitions
is constantly changing due to new or modified
Most of theServer,
world’s IBM DB2data
sensitive et Sybase notamment
is stored – ce qui
in commercial fusions et des notamment, l’emplacement des
en fait des cibles de plus applications, mergers and acquisitions, etc.
database systems suchen asplus prisées
Oracle, des criminels.
Microsoft SQL Server,VoilàIBM données sensibles change continuellement.
sansDB2
doute pourquoi
and Sybase –les attaques
making par injection
databases SQL ontfavorite
an increasingly bondi
de 134
target for criminals. This may explain why SQL injectiondeattacks
% en 2008, haussant ainsi la moyenne quotidienne
ces attaques
jumped 134 de quelques
percent inmilliers à quelques
2008, increasing centaines
from de mil-
an average of a few
liersthousand
d’après un perrapport récent d’IBM1.
day to several hundred thousand per day according
to a recently-published report by IBM1.
Selon une étude de Forrester2, les choses s’enveniment puisque
60 % Todes
make matters worse,
entreprises accusent Forrester 2
du retardreports
dansthat 60 percent of
l’application
enterprises are behind in applying database security
des rustines de sécurité des bases de données. Par ailleurs, patches,
while 74 percent of all Web application vulnerabilities
IBM a déterminé qu’à la fin de 2008, aucune rustine n’était – which
are predominantly
disponible pour 74 % des SQL Injection vulnerabilities
vulnérabilités – disclosed in
liées aux applications
Web2008 did été
qui ont notdivulguées
even have an available
cette patch
année-là – etbyqui,
the en
endmajorité,
of 2008,
according to IBM.
sont sujettes à des injections SQL.
1 “IBM Internet Security Systems X-Force® 2008 Trend & Risk Report,” IBM Global Technology Services, Jan. 2009.
Information Management 3
Information Management 3
En outre, la surveillance de l’activité des bases de données Heureusement, une nouvelle classe de solutions de surveil-
est un élément essentiel de l’évaluation des vulnérabilités. lance de l’activité des bases de données est maintenant of-
En effet, elle permet d’aller au-delà des évaluations statiques ferte, procurant des fonctions d’audit granulaires, indépen-
traditionnelles en effectuant des évaluations dynamiques des dantes du système de gestion de bases de donnée (DBMS) et
vulnérabilités liées aux comportements – p. ex., le partage de n’affectant que légèrement les performances. Parallèlement,
justificatifs d’identité par de multiples utilisateurs ou un nom- ces solutions permettent de réduire les coûts d’exploitation
bre excessif de tentatives d’ouverture de session. grâce à l’automatisation, au filtrage, à la compression ainsi
qu’à des référentiels de politiques et d’audits centralisés et
4 8 Steps to Holistic Database Security compatibles avec tous les systèmes DBMS.
« Les données et les utilisateurs ne sont
pas tous sur un pied d’égalité. Vous devez 7. Authentification, contrôle d’accès et
authentifier les utilisateurs, assurer une gestion des droits
imputabilité totale pour chacun d’eux et Les données et les utilisateurs ne sont pas tous sur pied
gérer leurs privilèges afin de limiter l’accès d’égalité. Vous devez authentifier les utilisateurs des bases
aux données. » de données, assurer une imputabilité totale pour chacun
d’eux et gérer leurs privilèges afin de limiter l’accès aux don-
nées. Vous devez aussi faire en sorte que les droits accordés
Finalement, certaines
DAM is technologies
also an essentialde surveillance
element de l’activité
of vulnerability assessment, ne soient pas outrepassés
7. Authentication, Access – mêmeand
Control pourEntitlement
les utilisateurs
becauseintègrent
des bases de données it allows you
la to go beyond traditional
surveillance static
de la couche Management.
jouissant des plus hauts privilèges. Finalement, il est néces-
assessments to include dynamic assessments of “behavioral Not all data and not all users are created equally. You must
d’applications. Cela vous permet de détecter les fraudes saire de revoir périodiquement les rapports sur les droits
vulnerabilities” such as multiple users sharing privileged authenticate users, ensure full accountability per user, and
commises par l’entremise d’applications à plusieurs niveaux (oumanage
rapports d’attestation des droits des utilisateurs) dans le
privileges to limit access to data. And you should
credentials or an excessive number of failed database logins.
– notamment PeopleSoft, SAP et Oracle e-Business Suites – cadre d’un
enforce processus
these privilegesd’audit formel.
– even for the most privileged database
plutôt que par connexion directe à la base de données. users. You also need to periodically review entitlement reports
(also called User Right Attestation reports) as part of a formal
8. Chiffrement
“Not all data and not all users are created audit process.
6 .Audits Servez-vous du chiffrement pour rendre illisibles les don-
equally. You must authenticate users,
Des pistes d’audit sécuritaires et non répudiables doivent nées sensibles, de sorte qu’une personne mal intentionnée
8. Encryption.
ensure
être générées full accountability
et maintenues per user,
pour toute activité anddemanage
de base neUse
puisse y accéder
encryption de l’extérieur
to render de unreadable,
sensitive data la base de sodonnées.
that an
privileges
données ayant to limit
une incidence suraccess to data.”
la sécurité, l’intégrité des attackerles
Chiffrez cannot gain unauthorized
données access
en transit afin to data
qu’on nefrom outside
puisse les
the database.
intercepter auThis includes
niveau de laboth encryption
couche réseau of et
data-in-transit,
y accéder
données ou l’accès aux données sensibles. Non seulement
so that an attacker cannot eavesdrop at the networking layer
les piste de vérification lorsqu’elles sont transmises à la base de données client.
Finally, somemodulaires sont-elles
DAM technologies une exigence
offer application-layer and gain access to the data when it is sent to the database
de conformité essentielle, mais elles sont importantes
monitoring, allowing you to detect fraud conducted dans
via Chiffrez
client, asaussi lesencryption
well as donnéesofaudata-at-rest,
repos pour so éviter
that an qu’un
attackerpirate
le cadre des enquêtes judiciaires.
multi-tier applications such as PeopleSoft, SAP and Oracle puisse les extraire, même à partir des fichiers média.
cannot extract the data even with access to the media files.
e-Business Suite, rather than via direct connections to the
database.
Actuellement, la plupart des organisations emploient une
forme quelconque
6. Auditing.d’audit manuel faisant appel à des fonc-
tions nativesSecure,
traditionnelles d’ouverture
non-repudiable de must
audit trails session. Cepen- and
be generated
maintained for any database activities
dant, ces méthodes se révèlent souvent déficientes en raisonthat impact security
posture, data integrity or viewing sensitive
de leur complexité et des coûts d’exploitation élevés résultant data. In addition to
being a key compliance requirement, having granular audit
des efforts manuels. Elles comportent d’autres désavantages,
trails is also important for forensic investigations.
notamment des coûts indirects élevés liés à la performance,
un manque de séparation
Most des tâches
organizations currently(les administrateurs
employ some form of manual
auditingpeuvent
de base de données utilizing traditional
facilement native database
saboter logging
le contenu
des journaux,capabilities.
compromettantHowever, theseleur
ainsi approaches are often found to be
non-répudiation)
lacking because of their complexity and high operational costs
et le besoin d’acheter et de gérer de grandes capacités de
due to manual efforts. Other disadvantages include high
stockage afinperformance
de prendreoverhead,
en charge des
lack of volumes
separationmassifs
of duties (since
d’informations DBAsnoncanfiltrées à propos
easily tamper withdes
thetransactions.
contents of database logs,
thereby affecting non-repudiation) and the need to purchase Figure 4: Gestion du cycle de vie complet de la conformité
and manage large amounts of storage capacity to handle
massive amounts of unfiltered transaction information.
Figure 4: Managing the entire compliance lifecycle.
5 Les 8 étapes de la sécurité globale des bases de données
À propos d’InfoSphere
Les 8 étapes de la sécurité des
Guardium IBM
bases de données
InfoSphere Guardium est la solution la plus répandue pour
prévenir les fuites d’information du centre de données et
1. Découverte assurer l’intégrité des données d’entreprise. Elle est utilisée
2. Évaluation des vulnérabilités et de la par plus de 400 clients à l’échelle mondiale, dont les cinq plus
configuration grandes banques; quatre des six plus grandes compagnies
3. Renforcement d’assurance; des agences gouvernementales de premier plan;
4. Audit des modifications deux des trois plus grands détaillants; vingt des plus grandes
5. Surveillance de l’activité des bases entreprises de télécommunications; deux des fabricants de
de données boissons les plus populaires; le fabricant d’ordinateurs person-
6. Audits nels le plus connu; les trois plus grands fabricants de voitures;
7. Authentification, contrôle d’accès et gestion les trois plus grandes entreprises du secteur de l’aérospatiale;
des droits et un des principaux fournisseurs de logiciels d’intelligence
8. Chiffrement d’affaires. InfoSphere Guardium a été la toute première solu-
tion à combler les lacunes en matière de sécurité des données
essentielles grâce à une plateforme évolutive, compatible avec
tout système DBMS. Cette plateforme protège les bases de don-
À propos de l’auteur nées en temps réel tout en automatisant le processus complet
Ron Ben Natan compte vingt ans d’expérience dans le dével- d’audit de la conformité.
oppement d’applications et de technologies de sécurité pour
des sociétés de premier ordre telles que Merrill Lynch, J.P. Guardium fait partie d’InfoSphere IBM, une plateforme inté-
Morgan, Intel et AT&T Bell Laboratories. Il aussi été conseiller grée permettant de définir, d’intégrer, de protéger et de gérer
en sécurité des données et en systèmes répartis auprès de l’information sécurisée d’un bout à l’autre de vos systèmes. La
Phillip Morris, du brasseur Miller, de HSBC, de HP, d’Applied plateforme InfoSphere comprend l’ensemble des composantes
Materials et des forces armées suisses. de base de l’information sécurisée, dont l’intégration des
données, l’entreposage des données, la gestion des données
Conseiller IBM de niveau Or (GOLD) et détenteur d’un principales et la gouvernance de l’information. Tous ces élé-
doctorat en sciences de l’informatique, il est spécialiste des ments s’articulent autour d’un ensemble partagé de métadon-
environnements d’applications réparties ainsi que de la sécu- nées et de modèles. Modulaire, la gamme de produits InfoS-
rité des applications et des bases de données. Il a créé douze phere vous permet de commencer avec n’importe quel élément
technologies brevetées et écrit douze ouvrages techniques, et d’amalgamer les composantes de base InfoSphere avec les
dont « Implementing Database Security and composantes d’autres fournisseurs. Vous pouvez aussi déployer
Auditing » (éditions Elsevier Digital Press), qui fait figure de ensemble de multiples composantes de base afin d’accélérer
norme dans son champ d’étude, et son tout dernier livre, « le processus et d’obtenir une plus grande valeur. Solution
HOWTO Secure and Audit Oracle 10g and 11g » d’entreprise pour les projets à fort contenu d’information,
(éditions CRC Press), paru en 2009. InfoSphere procure les performances, l’évolutivité, la fiabilité
et l’accélération dont vous avez besoin pour simplifier les défis
importants et sécuriser plus rapidement l’information au profit
de vos affaires.
© Copyright IBM Corporation 2010
© Copyright IBM Corporation 2010
©IBMCopyright
CorporationIBM Corporation 2010
Route 100
IBM
IBM Corporation
Corporation
Somers, NY 10589
Route 100
Route 100
Somers, NY 10589Users Restricted Rights - Use, duplication of
US Government
Somers, NY 10589
disclosure restricted by GSA ADP Schedule Contract with IBM Corp.
US Government Users Restricted Rights - Use, duplication of
disclosure
Producedrestricted by GSA
in the United ADP
States ofSchedule
America Contract with IBM Corp.
L’utilisation, la reproduction ou la divulgation est assujettie
May 2010
Produced
aux inReserved
the United
restrictions
All Rights States dans
énoncées of America
le contrat GSA ADP Schedule
May 2010
d’IBM Corp.
All
IBM,Rights Reserved
the IBM logo, ibm.com, Guardium and InfoSphere are
© Copyright
trademarks of IBM Corporation
International 2010Machines Corporation,
Business
IBM,
Produitthe IBM
registered aux logo,jurisdictions
ibm.com, Guardium
États-Unis
in many worldwide.andOther
InfoSphere
productare
and
IBM Corporation
trademarks of International BusinessofMachines Corporation,
service
Mai names
2010 might be trademarks IBM or other companies. A
Route 100
registered
current listinofmany
IBMjurisdictions
trademarks isworldwide. Other
available on product
the web and
at “Copyright
Somers,
Tous
service NY 10589
droits
names réservés
might be trademarks of IBM or other companies. A
and trademark information” at ibm.com/legal/copytrade.shtml
current list of IBM trademarks is available on the web at “Copyright
US Government Users Restricted Rights - Use, duplication of
and trademark information” at ibm.com/legal/copytrade.shtml
disclosure
IBM, restricted
le logo
Please IBM, by GSA ADPGuardium
ibm.com,
Recycle Schedule Contract with IBM Corp.
et InfoSphere sont des
marques
Produced de commerce
in the d’International
United States of America Business Machines Cor-
Please Recycle
May 2010enregistrées dans un grand nombre de juridictions
poration
All Rights Reserved
dans le monde. Les autres noms de produits ou de services
peuvent
IBM, the être
IBM des logo,marques
ibm.com, de commerce
Guardium d’IBM ouare
and InfoSphere d’autres
trademarks of Une
entreprises. International Business
liste à jour des Machines
marquesCorporation,
de commerce d’IBM
registered in many jurisdictions worldwide. Other product and
est disponible
service names might à cette adresse, sous
be trademarks of IBMle or
titre « Copyright
other companies. Aand
trademark information
current list of IBM trademarks » : ibm.com/legal/copytrade.shtml.
is available on the web at “Copyright
and trademark information” at ibm.com/legal/copytrade.shtml
Veuillez
Please recycler.
Recycle
InfoSphere
®
InfoSphere
software ®
IMW14277-CAEN-01
software IMW14277-CAEN-01
IMW14277-CAEN-01