Comment sécuriser ses bases de données ?
27 mai 2009

Comment sécuriser ses bases de données ?

Clé de voûte de beaucoup d'entreprises, les bases de données reposent souvent sur des produits clés en main dont les vulnérabilités sont souvent mal connues des différents services qui les utilisent. Mais comment parvenir à les sécuriser ? Voici quelques conseils à respecter.

En décembre 2001, un événement a fait réagir les acteurs du marché de l'informatique : le scandale Enron et ses conséquences, à savoir la loi Sarbanes Oxley ou les nouvelles règles comptables IAS IFRS. Désormais, les documents financiers doivent être faciles à retrouver et ils ne doivent pas pouvoir être détruits ou corrompus. De fait, la sécurité et la bonne maîtrise du système de gestion de base de données (SGBD) sont devenues indispensables. Car n’oublions pas que celui-ci contient bien souvent toutes les informations financières ou/et de production d'une entreprise. Un problème d'autant plus crucial que beaucoup d’applications dépendent de bases de données qui reposent sur des produit clés en main, et les entreprises ne le savent pas toujours, toutes les vulnérabilités qui vont avec. Mais comment parvenir à sécuriser ses bases de données ? Voici quelques conseils à respecter.

Veiller à la formation des utilisateurs et de l'administrateur

La formation des utilisateurs et leur sensibilisation aux bonnes pratiques est indispensable et la politique de sécurité doit être adaptée en fonction du contexte selon que les utilisateurs ont un accès direct via un client standard SQL ou par l’intermédiaire d’une application frontale.

Mais l’administration et la sécurisation des SGBD reste une affaire de spécialiste où l’administrateur a sa part de responsabilité. Son rôle est de maintenir le SGBD sous toutes ses formes, tant au niveau de la création et de la gestion de comptes mais aussi en maintenant la bonne marche ainsi que les performances et l’intégrité du système. Pourtant, il est rarement précisé que son rôle est prépondérant dans la gestion de la sécurité, sauf dans des sociétés travaillant dans le domaine financier/assurance ou de la défense. Il n’a donc souvent aucune conscience de sécurité, est mal préparé dans la plupart des cas et n’a souvent suivi aucune formation en ce sens.

Une fois formé, il faut aussi gérer l’aspect documentation. Il faut la créer, la maintenir mais aussi la partager. Souvent, un seul administrateur sur toute une équipe est envoyé en formation pour ensuite transmettre l’information en interne. Malheureusement, cette pratique montre qu’une personne a tendance à centraliser toutes les connaissances. Si celle-ci quitte la société, la connaissance part avec elle. Il est donc primordial que tous les administrateurs soient au même niveau de connaissance grâce à une bonne circulation de l’information.




VOS COMMENTAIRES

Pour publier un commentaire, vous devez être identifié.

Aucun commentaire pour cet article.