Lorsqu’il est question de conseils en matière de
sécurité et de prévention du piratage, on parle souvent de l’importance d’avoir
un mot de passe fort, d’utiliser des applications de sécurité, de maintenir ses
systèmes à jour et d’éviter les paramètres par défaut. En général, ces conseils
constituent les protections les plus élémentaires et essentiels que tout
gestionnaire de système doit prendre en compte. Cependant, selon le système que
vous désirez protéger, vous devriez prendre certains autres points en compte.
Considérant le nombre alarmant de vol et de fuites
de données, les cinq conseils clés suivants vous aideront à garder vos bases de
données en sûreté, surtout si elles sont hébergées dans le nuage ou par une
tierce partie.
1.
Contrôlez l’accès à la base de données
Comme le disait ma grand-mère, quand tous les
petits-enfants voulaient l’aider en cuisine : « Trop de cuisiniers gâchent
la sauce ».
Il s’avère finalement que ce vieil adage est tout à
fait à propos quand on parle de sécurité informatique : quand trop de gens
s’ingèrent dans quelque chose, le résultat est rarement positif.
IL VAUT MIEUX QUE VOUS LIMITIEZ LES AUTORISATIONS
ET PRIVILÈGES AU MAXIMUM
Le même raisonnement s’applique aux bases de
données : l’idéal est que vous limitiez les autorisations et privilèges au
maximum.
Contrôler rigoureusement l’accès est la première
étape pour tenir les attaquants loin de vos données. En plus des permissions de
base du système, vous devriez aussi envisager de :
·
Limiter l’accès aux données
confidentielles, à la fois pour les utilisateurs et les procédures – en
d’autres mots, n’autoriser que certains utilisateurs et procédures à faire des
demandes concernant les informations sensibles;
·
Limiter l’utilisation de procédures
clés à quelques utilisateurs spécifiques seulement;
·
Dans la mesure du possible,
éviter d’utiliser et d’accéder à ces données simultanément en dehors des heures
d’affaires régulières.
La désactivation de tous les services et procédures
que vous n’utilisez pas constitue une autre bonne idée, afin d’éviter que
ceux-ci puissent être attaqués. De plus, les bases de données devraient dans la
mesure du possible se trouver sur un serveur n’étant pas accessible directement
via Internet, afin d’éviter que des informations ne puissent être révélées à
des attaquants extérieurs.
2.
Identifiez les données sensibles et critiques
D’abord et avant tout, avant d’examiner les
techniques et les outils de protection, il convient d’analyser et de déterminer
quels renseignements importants doivent être protégés. Pour ce faire, il est
important de comprendre la logique et l’architecture de la base de données,
afin de pouvoir déterminer plus facilement où et comment les données sensibles
seront stockées.
Toutes les données que nous stockons ne sont pas
aussi critiques, et toutes n’ont pas toutes besoin d’être protégées, il n’est
donc pas logique de consacrer du temps et des ressources à ce type
d’information.
Nous vous recommandons également de dresser un
inventaire des bases de données de l’entreprise, en tenant compte de l’ensemble
de ces services. Bien connaître toutes les instances et bases de données de
l’entreprise et tenir un registre de celles-ci constitue la seule façon de les
administrer efficacement tout en évitant la perte d’informations.
De plus, un inventaire s’avère particulièrement
utile lors d’une sauvegarde d’informations, afin d’éviter de laisser des
données critiques en dehors du schéma.
3.
Chiffrez vos informations
Une fois les données sensibles et confidentielles identifiées,
nous vous recommandons d’utiliser des algorithmes robustes pour chiffrer
celles-ci.
Quand les attaquants exploitent une vulnérabilité
et parviennent à accéder à un serveur ou un système, la première chose qu’ils
tentent de voler est la base de données. C’est là un trésor précieux pour ces
cybercriminels. En effet, les bases de données contiennent généralement
plusieurs giga-octets d’informations précieuses. La meilleure façon de protéger
une base de données est de la rendre illisible : ainsi, vous pourrez
empêcher toute personne d’y accéder sans autorisation.
Vous trouverez davantage d’informations dans notre
guide gratuit sur le chiffrement des informations pour l’entreprise.
4.
Rendez vos bases de données anonymes, même hors
production
De nombreuses entreprises investissent du temps et
des ressources pour protéger leurs bases de données productives, mais se
contentent de faire une copie de la base de données originale lorsqu’elles
développent un projet ou créent un environnement de test. Ces entreprises
commencent alors à utiliser ces données dans des environnements beaucoup moins
étroitement contrôlés, les exposant ainsi toutes les informations sensibles.
Le masquage, ou l’anonymisation, désigne un
processus par lequel une version similaire est créée, qui conserve la même
structure que l’original mais modifie les données sensibles afin que celles-ci
demeurent protégées. En utilisant cette technique, les valeurs sont modifiées,
tout en conservant leur format initial.
Les données peuvent être modifiées de différentes
manières : en les mélangeant ensemble, en les cryptant, en mélangeant les
caractères ou en substituant des mots. La méthode spécifiquement utilisée et
les règles et formats à respecter seront à déterminer par l’administrateur.
Quelle que soit la méthode utilisée, l’administrateur doit s’assurer que le
processus est irréversible, c’est-à-dire qu’aucune rétro-ingénierie ne permette
à quiconque de retrouver les données originales.
Cette technique est particulièrement utilisée – et
recommandée – pour les bases de données faisant partie d’un environnement de
test et de développement, puisqu’elle permet de préserver la structure logique
des données tout en s’assurant que les informations sensibles des clients ne
sont pas disponibles en dehors de l’environnement de production.
5.
Suivez les activités sur vos bases de données
Être conscient de la vérification et
l’enregistrement du mouvement des données implique que vous sachiez quelles
informations ont été traitées, quand, comment et par qui.
Disposer d’un historique complet des transactions
vous permet de comprendre les schémas d’accès et de modification des données
vous permet d’éviter les fuites d’informations, de contrôler les changements
frauduleux et de détecter les activités suspectes en temps réel.
N’oubliez pas de suivre ces conseils et demeurez
très prudent lorsque vous gérez et protégez vos bases de données. L’information
qu’elles comprennent est très précieuse pour l’entreprise et très attrayante
pour les attaquants; elles méritent donc certainement votre pleine attention.