Vous êtes sur la page 1sur 39

Sécurité

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Enjeux

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Les grands mythes de la sécurité

 « Ce sont les « hackers » qui causent la plupart des


dommages liés à des « trous » de sécurité »
 En fait : 80% des dommages sont réalisés par des employés
 « Le cryptage est la solution aux problèmes de sécurité »
 En fait : Une approche « sécurité » doit comprendre le
contrôle d’accès, l’intégrité des données, le cryptage et
l’audit
 « Les firewalls rendent votre système sécurisé »
 En fait : 40% des attaques Internet réussies se sont
déroulées sur des sites équipés de firewall

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Les menaces
Utilisation de ressources
non autorisée

Se faire passer
pour un autre
Divulgation
Désolé, nous
d’informations
sommes fermés ! non autorisée

Refus de service
non autorisé
Modification de ressources
non autorisée Non reconnaissance
« Copyright  2003, Oracle Corporation. Tous droits réservés »
La pyramide

Audit  Que s’est-il passé ?

 Mes données sont-elles accessibles ?


Disponibilité

 Ce message est-il complet et non


Intégrité et
Confidentialité altéré ?
 Cet utilisateur a-t-il le droit
Autorisation d’accomplir cela ?
 Cet utilisateur est-il
vraiment celui qu’il dit être ?
Authentification

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Solution
e-Business Suite

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Sécurité d’Authentification

 Compte Utilisateur
 Signature Unique « Single
Sign-On (SSO) »
 Administration centralisée
à travers un annuaire
LDAP

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Connexion à Oracle e-Business
Suite via un compte utilisateur

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Authentification par Utilisateur /
Mot de passe

******** ********

Portail Ok

Etape 1 : Etape 2 :
L’Utilisateur renseigne le
Nom de connexion CNAUD et Vérification du mot de
passe fourni
le mot de passe ******

Etape 3 :
Affichage du portail
Personnel de
L’utilisateur

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Gestion du mot de passe

 Règles de changement de mot de passe


– Au bout de n connexions
– Au bout de n jours
– Jamais
 Possibilité de définir des règles de sécurité
– Taille minimum
– Différent du nom de l’utilisateur
– Doit contenir une lettre et un nombre
– …
« Copyright  2003, Oracle Corporation. Tous droits réservés »
Single Sign On : Quel est le
problème ?
 Un utilisateur ne peut pas gérer 13 mots de passe
 Une sécurité faible (Post-it)
 Les administrateurs ne peuvent pas gérer
efficacement plusieurs comptes par utilisateur
 Impossibilité de désactiver l’ensemble des accès
d’un utilisateur rapidement (messagerie,
applications critiques, …)
 50% des appels au support concernent des
problèmes de mots de passe

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Oracle e-Business Suite et le
Single Sign-on
 Signature unique aux applications Oracle et non
Oracle

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Mécanisme de Single Sign On

 Intégration possible du serveur SSO avec un


annuaire LDAP

SSO
Server

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Administration centralisée via un
annuaire LDAP
 Gestion centralisée des utilisateurs
 Supporte des milliers de client LDAP Clients
 Modification on line de l’annuaire sans LDAP

interruption de service
 Résistant aux pannes
– 9i Real Application Clusters (9iRAC)
– Online backup and recovery

Administration
Annuaire
« Copyright  2003, Oracle Corporation. Tous droits réservés »
Intégration LDAP

 Interface native avec


Oracle Internet Directory

Synchronisation
 Interfaçage avec d’autres
Autre
annuaires LDAP du marché
SSO Annuaire
comme NDS (Novell), MS LDAP
Server
Active Directory dans
Windows 2000, ...

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Sécurité d’Autorisation

 Les utilisateur n’ont accès


qu’aux fonctionnalités,
données, traitements qui
leur sont permis via
l’attribution de
responsabilité
 Limiter les actions et les
informations en fonction
des profils

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Sécurité Applicative
Responsabilité

Utilisateur Menu Principal


Menu
e-Business Suite
Fonctions
Menu
Fonctions

Groupe de Traitements
Responsabilité Etats
Jeux d’Etats
Traitements

Règles de sécurité
Valeurs Champs Flexibles
Paramètres Etat

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Sécurité Applicative
Limiter les actions – Cacher des onglets

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Sécurité Applicative
Limiter les actions – Cacher des onglets

 Par exclusion de menus ou de fonctions

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Sécurité Applicative
Limiter les informations – Cacher des colonnes

 Par l’exclusion d’attributs


 Au niveau de la responsabilité
– Choisir un Attribut à EXCLURE = colonne masquée

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Sécurité Applicative
Limiter les informations – Cacher des lignes

 Par l’utilisation d’attributs de sécurité


 Au niveau de la responsabilité
 Choisir un Attribut à SECURISER
 Au niveau de l’utilisateur
 Valoriser les attributs = données masquées
« Copyright  2003, Oracle Corporation. Tous droits réservés »
Intégrité et Confidentialité

 Cryptage des échanges


réseaux (SSL, Oracle
Advanced Security)
 Cryptage des données
dans la base

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Pourquoi crypter le trafic réseau ?

 Les données peuvent être


– capturées
– modifiées
– rejouées
 Le cryptage des échanges réseaux doit assurer que
les données restent confidentielles, quelles n’ont
pas été modifiées lors du transfert, et donc que l’on
ne pourra pas les réutiliser

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Chiffrement de bout en bout

 Les données restent confidentielles


 Les données ne peuvent pas être modifiées
 Détection des paquets perdus
?
&(@%zQ* &(@%zQ*
HTTPS Oracle Net (SSL)
Salaire
1000 € ^^}**px%z ^^}**px%z
:&5%w*z
HTTPS Oracle Net (SSL)

SSL Oracle
Advanced
Security
« Copyright  2003, Oracle Corporation. Tous droits réservés »
Chiffrement de bout en bout

 SSL : Secure Sockets Layer


– Le protocole SSL assure trois fonctions
 Cryptage
 Intégrité
 Authentification
– Chiffrement SSL avec clé de 40 ou 128 bits
– Intégration avec des systèmes parefeux (Cisco,
Checkpoint, …)
 Oracle Advanced Security
– Fonctionnalité de cryptage Oracle Net
– Support de SSL

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Cryptage de données dans la base

 Mot de passe stocké crypté


 Interface simple pour crypter et décrypter des
données stockées dans la base
– Algorithme DES
– DBMS_OBFUSCATION_TOOLKIT package
– Interface programmatique
 Solution partenaire Protegrity

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Disponibilité de l’information

 Garantir l’accès aux données


24h/24 7j/7
 Solutions de haute
disponibilité proposées avec
la plate-forme technologique
– Oracle9i Real Applications
Cluster (9i RAC)
– Oracle Data Guard

« Copyright  2003, Oracle Corporation. Tous droits réservés »


9i Real Application Clusters
Serveurs
Serveurs de Données
Fiber Channel
D’Applications ou Shared SCSI
Poste
Client

Base de
Données
High Speed Unique
Interconnect
« Copyright  2003, Oracle Corporation. Tous droits réservés »
Oracle Data Guard

 Protection contre les désastres/incidents majeurs


 Automatique et synchrone
 Support de Physical Standby

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Audit et traçabilité

 Audit de l’activité des


utilisateurs
 Audit des opérations
sur les données
 Alertes et notifications

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Audit et traçabilité

 De l’activité des utilisateurs


– Toutes les tentatives d’accès sont auditées
 Login autorisé / non autorisé
– Toute action suspecte peut déclencher un processus
personnalisable
 Mail à un responsable sécurité
 Des modifications des enregistrements
– Utilisateur ayant modifié le dernier un enregistrement
– Date de dernière modification
– Historique de l’ensemble des modifications sur une
table

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Etats d’Audit pré-définis
 Vision en temps réel de
tous les utilisateurs
connectés
 Tableaux de bord, états
prédéfinis

Qui a créé ou
modifié cette
pièce comptable ?

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Etats d’Audit pré-définis

• Quels sont les utilisateurs qui se sont connectés et à quelle


fonctionnalité ?
• Quels traitements ont été lancés par cet utilisateur ?
« Copyright  2003, Oracle Corporation. Tous droits réservés »
Service d’Alertes

 Automatiser des actions de façon périodique (tous


les jours, toutes les fins de mois, …) ou
événementielle (sur ajout ou modification de
données)
– Ex : Envoi d’un message à l’administrateur sécurité
suite à la modification d’une donnée sensible
 Type d’action
– envoi de message,
– exécution de programmes simultanés,
– exécution de scripts du système d’exploitation,
– exécution de scripts SQL

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Résumé

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Sécurité à tous les niveaux basée
sur les standards
Autre
Synchronisation Annuaire
LDAP
Single Sign-On
Autorisation
HTTPS

Oracle Net
SSL

Sécurité
Applicative

Intégrité Cryptage
Confidentialité (DES, RSA) Contrôle d’accès
Compte/Mot de passe,
PKI (futur) Audit

« Copyright  2003, Oracle Corporation. Tous droits réservés »


Sécurité unifiée et cohérente
 Sécurité applicative fiable et flexible commune à
l’ensemble des services applicatifs déployés et
utilisés dans Oracle e-Business Suite
 Grâce à l’utilisation avancée et conjuguée de la
plate-forme technologique Oracle
Serveurs
d’Applications Serveurs
De Données
Services Services
Portail
Serveur Web

Transactionnel

Business
Intelligence

Poste Mobile
Client Sécurité
IntégrationTous droits réservés »
« Copyright  2003, Oracle Corporation. Applicative