Selon Aberdeen, la principale vulnérabilité vient des bases de données de l'entreprise
Alors que le périmètre extérieur des réseaux d'entreprises a été considérablement renforcé, la véritable menace aujourd'hui sur les bases de données (SGBD) vient de l'intérieur. Une étude d'Aberdeen Group auprès de 120 grandes entreprises a mis évidence le rapport proportionnellement inverse entre les brèches de sécurité et les mesures de sécurité interne. Mieux : les entreprises les plus vertueuses en matière de sécurité sont aussi celles qui savent gérer les environnements les plus complexes avec des coûts inférieurs. En s'appuyant sur une enquête déclarative et un certain nombre d'entretiens individuels, Aberdeen a recensé les meilleures pratiques en matière de sécurisation des données critiques. Le cabinet indique que selon les estimations des entreprises et des analystes, les SGBD stockent entre 62% et 90% des données critiques d'une société. Autant dire, conclut Aberdeen, que tous les oeufs sont dans le même panier. Il convient donc de choisir des paniers solides, de combler les trous dès qu'ils apparaissent, de surveiller la circulation du panier, de brouiller ou mélanger certains oeufs... En termes de conseils moins métaphoriques et plus technologiques, cela se traduit notamment par : - recourir aux mécanismes de sécurité inclus dans les SGBD : cryptage des données, gestion différenciée des rôles des DBA (de par la nature de leur travail, les administrateurs de bases de données représentent en effet la menace la plus importante), outils d'audit. - utiliser un outil de supervision tiers (DAM, Database activity monitoring), qui enregistre les activités de toutes les bases et peut agir de façon automatisée en cas de violation d'une règle de sécurité (en émettant une alerte, en bloquant un utilisateur). - adopter une technique de « data masking », masquant la véritable nature des données, notamment lors de phases de développement et de test. - créer éventuellement des bases spécifiques (« database vaults ») pour le traitement de données ultra-sensibles (Aberdeen précise que de plus en plus d'entreprises recourent à cette méthode afin de pouvoir être conformes au nouveau standard de l'industrie des cartes bancaires, PCI DSS, Payment card industry data security standard). - adopter une technique de chiffrement préservant le format des données (utile lorsqu'une même données est partagée par plusieurs bases). - passer au « virtual patching » : un système tiers se charge de surveiller la publication de rustines par les éditeurs, et d'ériger un bouclier prenant en compte ces mises à jour de sécurité sans qu'il soit besoin d'arrêter la base et de tester toutes les dépendances applicatives. Toutefois, tout ne réside pas dans la technologie. Aberdeen met aussi l'accent sur : - Les processus. Avant de réfléchir aux techniques de sécurité, il faut réfléchir aux processus : quelles sont les données sensibles, à quel rythme faut-il pratiquer des audits, quelles règles de supervision faut-il mettre en place ? - L'organisation. Les entreprises aux SGBD les plus sûrs ont mis en place une équipe chargée de la sécurité, ainsi qu'une politique de formation. - La gestion des connaissances. Aberdeen place sous ce vocable les bonnes pratiques en matière de supervision humaine : savoir lire et interpréter les rapports d'audit, afin d'éditer des règles métier susceptibles de protéger les données sans handicaper le fonctionnement opérationnel des applications.