Oracle Cloud Free Tier

Créez, testez et déployez vos applications sur Oracle Cloud, gratuitement.

Sujets relatifs à la sécurité des données

Qu'est-ce que la sécurité des données ?

Une définition de la sécurité des données

La sécurité des données désigne les mesures de protection utilisées pour protéger les données contre les accès non approuvés et pour préserver leur confidentialité, leur intégrité et leur disponibilité. Les bonnes pratiques en matière de sécurité des données incluent des techniques de protection des données telles que le chiffrement des données, la gestion des clés, la protection par occultation, la création de sous-ensembles de données et le masquage des données, ainsi que des contrôles d'accès privilégiés et l'audit et la surveillance.

Les bonnes pratiques en matière de sécurité des données

Les bonnes pratiques en matière de sécurité des données devraient être utilisées tant sur site que dans le cloud afin de réduire les risques de violation de données et d'assurer la conformité réglementaire. Les recommandations précises peuvent varier, mais il est généralement recommandé d'adopter une stratégie de sécurité des données en couches pour appliquer une approche de défense robuste. Divers contrôles peuvent être mis en place pour lutter contre les différents vecteurs de menaces. Dans certains domaines, il est possible d'évaluer, de détecter et de surveiller l'activité et les menaces des bases de données.

L'importance de la sécurité des données

Les données sont l'un des atouts les plus importants des entreprises. Il est donc primordial de les protéger de tout accès non autorisé. Les violations de données, les échecs d'audit et le non-respect des exigences réglementaires peuvent nuire à votre réputation et à votre image de marque, porter atteinte à votre propriété intellectuelle et entraîner des amendes pour non-conformité. En vertu du Règlement général sur la protection des données (RGPD) de l'Union européenne, les violations de données peuvent entraîner des amendes allant jusqu'à 4 % du chiffre d'affaires annuel de l'entreprise, ce qui se traduit souvent par des pertes financières importantes. Les données sensibles comprennent les informations d'identification personnelle, les informations financières, les informations de santé et la propriété intellectuelle. Les données doivent être protégées afin d'éviter toute violation de données et d'assurer leur conformité.

La sécurité des données et le RGPD

Le masquage des données, la création de sous-ensembles de données et la protection par occultation sont des techniques permettant de réduire l'exposition des données sensibles contenues dans les applications. Ces technologies jouent un rôle clé dans le traitement des exigences d'anonymisation et de pseudonymisation associées à des réglementations telles que le RGPD de l'UE. Le RGPD de l'Union européenne s'appuie sur des principes de confidentialité établis et largement acceptés, tels que la limitation des objectifs, la légalité, la transparence, l'intégrité et la confidentialité. Il renforce les exigences existantes en matière de confidentialité et de sécurité, notamment les obligations relatives aux préavis et au consentement, les mesures techniques et opérationnelles de sécurité et les mécanismes de flux de données transfrontaliers. Afin de s'adapter à la nouvelle économie numérique, mondiale et axée sur les données, le RGPD formalise également de nouveaux principes de confidentialité, tels que la responsabilité et la limitation des données collectées.

En vertu du règlement général sur la protection des données (RGPD), les violations de données peuvent entraîner des amendes pouvant aller jusqu'à quatre pour cent du chiffre d'affaires annuel global d'une entreprise ou 20 millions d'euros, selon la valeur la plus élevée. Les entreprises qui collectent et gèrent des données dans l'UE devront prendre en compte et gérer leurs pratiques de traitement des données, notamment les exigences suivantes :

  • Sécurité des données. Les entreprises doivent mettre en place un niveau de sécurité approprié, englobant les contrôles de sécurité techniques et organisationnels, afin d'éviter les pertes de données, les fuites d'informations ou d'autres opérations de traitement de données non autorisées. Le RGPD encourage les entreprises à intégrer des exigences en matière de chiffrement, de gestion des incidents, d'intégrité du réseau et du système, de disponibilité et de résilience dans leur programme de sécurité.
  • Les droits étendus des particuliers. Les particuliers ont un contrôle accru à l'égard de leurs données personnelles et ont, en fin de compte, davantage la main sur elles. Ils disposent également d'un ensemble étendu de droits en matière de protection des données, y compris le droit à la portabilité des données et le droit à l'oubli.
  • La notification de violation de données. Les entreprises doivent informer leurs régulateurs et/ou les personnes concernées dans un délai raisonnable quand elles constatent une violation de leurs données.
  • Les audits de sécurité. Les entreprises seront censées documenter et tenir à jour leurs pratiques en matière de sécurité, vérifier l'efficacité de leur programme de sécurité et modifier leur approche si nécessaire.

Quels sont les défis liés à la sécurité des bases de données ?

défis liés à la sécurité des bases de données

Les bases de données sont des référentiels précieux d'informations sensibles et constituent une cible de choix pour les voleurs de données. En règle générale, on distingue les pirates informatiques internes (insiders) et externes (outsiders). La première catégorie va des pirates isolés aux cybercriminels qui cherchent à provoquer des perturbations commerciales ou gagner de l'argent en passant par des groupes criminels et des organisations financées par un État dans l'objectif de créer des perturbations à l'échelle nationale ou mondiale. La deuxième est constituée d'employés, actuels ou anciens, de curieux et de clients ou partenaires qui tirent parti de leur position de confiance pour voler des données, ou qui commettent une erreur entraînant un événement de sécurité involontaire. Ces deux catégories présentent des risques pour la sécurité des données personnelles, des données financières, des secrets commerciaux et des données réglementées.

comment les pirates exploitent-ils les bases de données ?

Les cybercriminels adoptent diverses approches lorsqu'ils tentent de voler des données à partir de bases de données :

  • Compromission ou vol d'informations d'identification d'un administrateur privilégié ou d'une application. Les techniques utilisées sont généralement l'hameçonnage par e-mail, d'autres formes d'ingénierie sociale ou le recours à des logiciels malveillants pour découvrir les informations d'identification et, en fin de compte, obtenir les données ;
  • Exploitation des faiblesses des applications grâce à des techniques telles que l'injection SQL ou le contournement de la sécurité de la couche d'application en incorporant du code SQL dans une entrée apparemment inoffensive fournie par l'utilisateur final ;
  • Escalade des privilèges d'exécution grâce à l'exploitation d'applications vulnérables ;
  • Accès aux fichiers de base de données non chiffrés sur le disque ;
  • Exploitation de systèmes ne disposant pas des derniers correctifs de sécurité ou de bases de données mal configurées pour contourner les contrôles d'accès ;
  • Vol de bandes d'archives et de médias contenant des sauvegardes de base de données ;
  • Vol des données à partir d'environnements autres que ceux de production, notamment de développement ou de test, où les données ne sont pas aussi bien protégées que dans les environnements de production ;
  • Accès à des données sensibles via des applications qui exposent par inadvertance des données sensibles qui dépassent ce à quoi l'application ou l'utilisateur doit avoir accès ;
  • Erreurs humaines, accidents, partage de mots de passe, erreurs de configuration et tout autre comportement utilisateur irresponsable, qui continuent d'être à l'origine de près de 90 % des failles de sécurité.

Les bonnes pratiques de sécurité des bases de données

Les bonnes pratiques de sécurité des bases de données

Une stratégie de sécurité de base de données bien structurée doit inclure des contrôles visant à atténuer divers vecteurs de menace. La meilleure approche consiste en un cadre intégré de contrôles de sécurité pouvant être déployés facilement pour appliquer les niveaux de sécurité appropriés. Voici quelques-uns des contrôles les plus couramment utilisés pour sécuriser les bases de données :

  • Les contrôles d'évaluation aident à évaluer l'état de sécurité d'une base de données et doivent également permettre d'identifier les modifications de configuration. Les entreprises peuvent définir un seuil de base, puis identifier les écarts. Les contrôles d'évaluation aident également les entreprises à identifier les données sensibles dans le système, y compris le type de données concernées et leur emplacement. Les contrôles d'évaluation visent à répondre aux questions suivantes :
    • Le système de base de données est-il configuré correctement ?
    • Les correctifs sont-ils installés régulièrement et à temps ?
    • Comment les privilèges des utilisateurs sont-ils gérés ?
    • Quelles données sensibles se trouvent dans le système de base de données ? Quel est leur volume ? Où sont-elles stockées ?
  • Les contrôles de détection surveillent l'accès des utilisateurs et des applications aux données, identifient les comportements anormaux, détectent et bloquent les menaces, et analysent l'activité de la base de données pour fournir un reporting de conformité.
  • Les contrôles préventifs bloquent l'accès non autorisé aux données en chiffrant, occultant, masquant et en créant des sous-ensembles de données en fonction du cas d'utilisation prévu. L'objectif final des contrôles préventifs est de bloquer l'accès non autorisé aux données.
  • Les contrôles propres aux données appliquent des stratégies d'accès au niveau de l'application au sein de la base de données, fournissant un modèle d'autorisation cohérent pour plusieurs applications, outils de reporting et clients de base de données.
  • Les contrôles propres à l'utilisateur appliquent les stratégies d'authentification et d'autorisation utilisateur appropriées, ce qui garantit que seuls les utilisateurs authentifiés et autorisés aient accès aux données.

Les solutions de sécurité des données

Réduisez le risque de violation des données et simplifiez la conformité avec les bonnes pratiques en matière de sécurité des données, telles que le chiffrement, la gestion des clés, le masquage des données, les contrôles d’accès privilégié des utilisateurs, la surveillance des activités et l’audit.

  • Protection des données : réduisez le risque de violation de données et de non-conformité avec des solutions permettant de répondre à un large éventail de cas d'emploi tels que le chiffrement, la gestion des clés, la protection par occultation et le masquage. En savoir plus sur Data Safe.
  • Contrôle d'accès aux données : une étape fondamentale pour sécuriser un système de base de données consiste à valider l'identité de l'utilisateur qui accède à la base de données (authentification) et à contrôler les opérations qu'il peut effectuer (autorisation). Des contrôles d'authentification et d'autorisation stricts aident à protéger les données contre les pirates. En outre, l'application de la séparation des tâches permet d'empêcher les utilisateurs privilégiés d'abuser de leurs privilèges système pour accéder aux données sensibles et permet également d'éviter toute modification accidentelle ou malveillante de la base de données.
  • Audit et surveillance : toute l'activité de la base de données doit être enregistrée à des fins d'audit, y compris l'activité sur le réseau, ainsi que l'activité déclenchée dans la base de données (généralement via une connexion directe) qui évite toute surveillance du réseau. L'audit doit fonctionner même si le réseau est chiffré. Les bases de données doivent fournir un audit complet et robuste qui inclut des informations sur les données, sur le client à partir duquel la demande est effectuée, sur les détails de l'opération et sur l'instruction SQL elle-même.
  • Sécurisation des bases de données dans le cloud : les déploiements de bases de données cloud peuvent réduire les coûts, donner au personnel plus de temps pour travailler sur les tâches plus importantes et soutenir une organisation informatique plus agile et réactive. Toutefois, ces avantages peuvent engendrer des risques supplémentaires, notamment un périmètre réseau plus large, une surface de menace plus étendue avec un groupe administratif inconnu et une infrastructure partagée. Néanmoins, en appliquant les bonnes pratiques de sécurité des bases de données, le cloud peut fournir une sécurité supérieure à celle de la plupart des solutions d'entreprise sur site, le tout en réduisant les coûts et en améliorant l'agilité.
Vidéo : les solutions de sécurité des données