« Copyright 2003, Oracle Corporation. Tous droits réservés »
Enjeux
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Les grands mythes de la sécurité
« Ce sont les « hackers » qui causent la plupart des
dommages liés à des « trous » de sécurité » En fait : 80% des dommages sont réalisés par des employés « Le cryptage est la solution aux problèmes de sécurité » En fait : Une approche « sécurité » doit comprendre le contrôle d’accès, l’intégrité des données, le cryptage et l’audit « Les firewalls rendent votre système sécurisé » En fait : 40% des attaques Internet réussies se sont déroulées sur des sites équipés de firewall
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Les menaces Utilisation de ressources non autorisée
Se faire passer pour un autre Divulgation Désolé, nous d’informations sommes fermés ! non autorisée
Refus de service non autorisé Modification de ressources non autorisée Non reconnaissance « Copyright 2003, Oracle Corporation. Tous droits réservés » La pyramide
Audit Que s’est-il passé ?
Mes données sont-elles accessibles ?
Disponibilité
Ce message est-il complet et non
Intégrité et Confidentialité altéré ? Cet utilisateur a-t-il le droit Autorisation d’accomplir cela ? Cet utilisateur est-il vraiment celui qu’il dit être ? Authentification
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Solution e-Business Suite
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Sécurité d’Authentification
Compte Utilisateur Signature Unique « Single Sign-On (SSO) » Administration centralisée à travers un annuaire LDAP
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Connexion à Oracle e-Business Suite via un compte utilisateur
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Authentification par Utilisateur / Mot de passe
******** ********
Portail Ok
Etape 1 : Etape 2 : L’Utilisateur renseigne le Nom de connexion CNAUD et Vérification du mot de passe fourni le mot de passe ******
Etape 3 : Affichage du portail Personnel de L’utilisateur
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Gestion du mot de passe
Règles de changement de mot de passe
– Au bout de n connexions – Au bout de n jours – Jamais Possibilité de définir des règles de sécurité – Taille minimum – Différent du nom de l’utilisateur – Doit contenir une lettre et un nombre – … « Copyright 2003, Oracle Corporation. Tous droits réservés » Single Sign On : Quel est le problème ? Un utilisateur ne peut pas gérer 13 mots de passe Une sécurité faible (Post-it) Les administrateurs ne peuvent pas gérer efficacement plusieurs comptes par utilisateur Impossibilité de désactiver l’ensemble des accès d’un utilisateur rapidement (messagerie, applications critiques, …) 50% des appels au support concernent des problèmes de mots de passe
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Oracle e-Business Suite et le Single Sign-on Signature unique aux applications Oracle et non Oracle
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Mécanisme de Single Sign On
Intégration possible du serveur SSO avec un
annuaire LDAP
SSO Server
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Administration centralisée via un annuaire LDAP Gestion centralisée des utilisateurs Supporte des milliers de client LDAP Clients Modification on line de l’annuaire sans LDAP
interruption de service Résistant aux pannes – 9i Real Application Clusters (9iRAC) – Online backup and recovery
Synchronisation Interfaçage avec d’autres Autre annuaires LDAP du marché SSO Annuaire comme NDS (Novell), MS LDAP Server Active Directory dans Windows 2000, ...
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Sécurité d’Autorisation
Les utilisateur n’ont accès
qu’aux fonctionnalités, données, traitements qui leur sont permis via l’attribution de responsabilité Limiter les actions et les informations en fonction des profils
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Sécurité Applicative Responsabilité
Utilisateur Menu Principal
Menu e-Business Suite Fonctions Menu Fonctions
Groupe de Traitements Responsabilité Etats Jeux d’Etats Traitements
Règles de sécurité Valeurs Champs Flexibles Paramètres Etat
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Sécurité Applicative Limiter les actions – Cacher des onglets
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Sécurité Applicative Limiter les actions – Cacher des onglets
Par exclusion de menus ou de fonctions
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Sécurité Applicative Limiter les informations – Cacher des colonnes
Par l’exclusion d’attributs
Au niveau de la responsabilité – Choisir un Attribut à EXCLURE = colonne masquée
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Sécurité Applicative Limiter les informations – Cacher des lignes
Par l’utilisation d’attributs de sécurité
Au niveau de la responsabilité Choisir un Attribut à SECURISER Au niveau de l’utilisateur Valoriser les attributs = données masquées « Copyright 2003, Oracle Corporation. Tous droits réservés » Intégrité et Confidentialité
Cryptage des échanges
réseaux (SSL, Oracle Advanced Security) Cryptage des données dans la base
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Pourquoi crypter le trafic réseau ?
Les données peuvent être
– capturées – modifiées – rejouées Le cryptage des échanges réseaux doit assurer que les données restent confidentielles, quelles n’ont pas été modifiées lors du transfert, et donc que l’on ne pourra pas les réutiliser
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Chiffrement de bout en bout
Les données restent confidentielles
Les données ne peuvent pas être modifiées Détection des paquets perdus ? &(@%zQ* &(@%zQ* HTTPS Oracle Net (SSL) Salaire 1000 € ^^}**px%z ^^}**px%z :&5%w*z HTTPS Oracle Net (SSL)
SSL Oracle Advanced Security « Copyright 2003, Oracle Corporation. Tous droits réservés » Chiffrement de bout en bout
SSL : Secure Sockets Layer
– Le protocole SSL assure trois fonctions Cryptage Intégrité Authentification – Chiffrement SSL avec clé de 40 ou 128 bits – Intégration avec des systèmes parefeux (Cisco, Checkpoint, …) Oracle Advanced Security – Fonctionnalité de cryptage Oracle Net – Support de SSL
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Cryptage de données dans la base
Mot de passe stocké crypté
Interface simple pour crypter et décrypter des données stockées dans la base – Algorithme DES – DBMS_OBFUSCATION_TOOLKIT package – Interface programmatique Solution partenaire Protegrity
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Disponibilité de l’information
Garantir l’accès aux données
24h/24 7j/7 Solutions de haute disponibilité proposées avec la plate-forme technologique – Oracle9i Real Applications Cluster (9i RAC) – Oracle Data Guard
« Copyright 2003, Oracle Corporation. Tous droits réservés »
9i Real Application Clusters Serveurs Serveurs de Données Fiber Channel D’Applications ou Shared SCSI Poste Client
Base de Données High Speed Unique Interconnect « Copyright 2003, Oracle Corporation. Tous droits réservés » Oracle Data Guard
Protection contre les désastres/incidents majeurs
Automatique et synchrone Support de Physical Standby
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Audit et traçabilité
Audit de l’activité des
utilisateurs Audit des opérations sur les données Alertes et notifications
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Audit et traçabilité
De l’activité des utilisateurs
– Toutes les tentatives d’accès sont auditées Login autorisé / non autorisé – Toute action suspecte peut déclencher un processus personnalisable Mail à un responsable sécurité Des modifications des enregistrements – Utilisateur ayant modifié le dernier un enregistrement – Date de dernière modification – Historique de l’ensemble des modifications sur une table
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Etats d’Audit pré-définis Vision en temps réel de tous les utilisateurs connectés Tableaux de bord, états prédéfinis
Qui a créé ou modifié cette pièce comptable ?
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Etats d’Audit pré-définis
• Quels sont les utilisateurs qui se sont connectés et à quelle
fonctionnalité ? • Quels traitements ont été lancés par cet utilisateur ? « Copyright 2003, Oracle Corporation. Tous droits réservés » Service d’Alertes
Automatiser des actions de façon périodique (tous
les jours, toutes les fins de mois, …) ou événementielle (sur ajout ou modification de données) – Ex : Envoi d’un message à l’administrateur sécurité suite à la modification d’une donnée sensible Type d’action – envoi de message, – exécution de programmes simultanés, – exécution de scripts du système d’exploitation, – exécution de scripts SQL
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Résumé
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Sécurité à tous les niveaux basée sur les standards Autre Synchronisation Annuaire LDAP Single Sign-On Autorisation HTTPS
« Copyright 2003, Oracle Corporation. Tous droits réservés »
Sécurité unifiée et cohérente Sécurité applicative fiable et flexible commune à l’ensemble des services applicatifs déployés et utilisés dans Oracle e-Business Suite Grâce à l’utilisation avancée et conjuguée de la plate-forme technologique Oracle Serveurs d’Applications Serveurs De Données Services Services Portail Serveur Web
Transactionnel
Business Intelligence
Poste Mobile Client Sécurité IntégrationTous droits réservés » « Copyright 2003, Oracle Corporation. Applicative
