Sécurité - Aug 29, 2017

Six façons de protéger votre base de données

Alors que l’information numérique ne cesse d’augmenter, les entreprises font porter davantage les efforts de sécurité des TI dans la protection des bases de données principales. Selon un récent rapport de l’entreprise de cybersécurité Trustwave de Chicago, les bases de données représentent « un trésor d’actifs qui ne cesse de grossir puisque l’information numérique augmente à des rythmes record. »

La sécurité des bases de données est l’un des sujets dont il est question dans le 2016 Trustwave Global Security Report. Ce rapport a été préparé en évaluant des centaines d’enquêtes portant sur des violations de données dans 17 pays.

Un rapport 2016 du Ponemon Institute indique que les coûts de violation des données ont atteint en moyenne 4 millions de dollars US, ou 158 $ pour chaque dossier perdu ou volé.

Andrew Herlands, vice-président, Ingénierie mondiale des systèmes pour Trustwave, mentionne que les pertes possibles pour les clients, l’interruption des activités, la réponse à l’incident et la récupération, et le besoin de correctifs représentent des coûts élevés résultant du vol de base de données.

« La plupart des entreprises voient leurs données comme leur actif le plus précieux », explique M. Herlands, « et presque toutes ces données se trouvent dans la base de données. »

Il ajoute : « Les entreprises à l’échelle mondiale ont passé de nombreuses années à protéger la périphérie des réseaux et, plus récemment, les points d’extrémité. La plupart comprennent maintenant l’importance de verrouiller leurs bases de données et de protéger les joyaux de la Couronne. »

Trustwave a mentionné les facteurs ci-dessous comme les vulnérabilités de base de données les plus courantes :

SQL (Structured Query Language) Injection – Les vulnérabilités SQL Injection existent dans toutes les principales plateformes de base de données. Sans correctif, SQLi entraîne souvent une élévation des privilèges.

Élévation des privilèges – Cette méthode exploite les vulnérabilités des bases de données pour accorder des privilèges non autorisés et l’accès à des données sensibles.

Contrôles d’accès inappropriés ou inefficaces – Les bases de données offrent des capacités de contrôle d’accès complètes (mais complexes). Sans les outils pour gérer facilement l’accès, les administrateurs de base de données ont fait ce qu’il faut pour accomplir la tâche, tout en ignorant le principe du moindre privilège en cours de route.

Paramètres de sécurité mal configurés – Des caractéristiques de sécurité de base de données désactivées ne fonctionnent pas, et en raison de la complexité en cause, les bases de données sont souvent configurées en pensant plutôt à l’aspect pratique qu’à la sécurité.

Attaques liées aux mots de passe – Les gens choisissent des mots de passe faciles à deviner. Il est facile de se procurer gratuitement en ligne des outils de perçage des mots de passe des bases de données. C’est la méthode la plus facile pour qu’un attaquant obtienne un accès.

Mise en œuvre de pratiques exemplaires pour la sécurité des bases de données

Selon Trustwave, « La protection des bases de données ne doit pas être difficile. Fondamentalement, une base de données est simplement un autre système, et de nombreuses pratiques exemplaires pour la sécurité préventive s’appliquent aussi aux bases de données. »

Quelques étapes simples peuvent grandement sécuriser votre base de données :

Inventaire – Créez et tenez à jour un inventaire précis des bases de données. Comprenez où se trouvent toutes vos données sensibles.

Essai – Procédez à des essais périodiques de vos bases de données, repérez les vulnérabilités et faites le suivi des mesures correctives. Trouvez les comptes par défaut, et les utilisateurs avec des mots de passe vulnérables.

Correctif – Corrigez d’abord les problèmes de sécurité les plus graves, et installez les derniers correctifs aussi rapidement que possible, ce qui vous protégera des vulnérabilités connues. Désactivez les caractéristiques et services qui ne sont pas nécessaires.

Contrôle – Trouvez et éliminez les permissions excessives des utilisateurs, ce qui réduira grandement le risque de « menace interne ».

Surveillance – Assurez une surveillance et avertissez en cas de tentatives d’exploitation de vulnérabilités connues ainsi que d’activités suspectes, malveillantes ou non autorisées. Contrôlez toutes les activités d’utilisateurs privilégiés.

Protection/Réaction – Réagissez aux alertes de sécurité, trouvez et prenez rapidement les mesures de protection appropriées. Procédez ensuite à un essai et appliquez le correctif aux autres bases de données qui présentent aussi cette vulnérabilité.