Comment sécuriser une infrastructure Oracle ouverte sur le web

Quelle infrastructure matérielle et logicielle choisir lorsque l'on ouvre une application sur le web ? Telle est la question qui a été posée à Digora par un de ses clients, une des plus importantes coopératives agricole française.

Approfondissons les points forts de cette  pré-étude  confiée à Digora…   Le client utilise ses bases de données Oracle sur des plates-formes internes actuellement. Le choix a été fait d'ouvrir une application sur le web, tout en laissant la base de données dans le réseau local. Voici le périmètre que Digora a proposé de traiter :

• Comment sécuriser la base de données

Présentation des différentes solutions existantes sur le marché pour sécuriser une base de données. Par la sécurisation de la base de données, on entend le fait de garantir un temps de disponibilité le plus élevé possible. Il est important pour l’image d’une société qu’une application publiée sur le web et donc utilisable en 24/24 7/7 ne s’arrête jamais.

Définition d'une architecture HA Oracle en adéquation avec ses licences actuelles ainsi que d’une politique de sauvegarde adéquate.  

• Comment contrôler l'accès aux données

Présentation des différentes solutions existantes chez Oracle et analyse des coûts. Il est aussi important, lorsqu’on parle de sécurité des données, d’empêcher de corrompre ou de voler les données que de savoir si ça a été tenté et par qui. Voici un exemple de solutions présentées :

•           Mise en place d’audits de base
•           Oracle DB Vault
•           Oracle Audit Vault

Définition de la politique à mettre en œuvre  

• Comment sécuriser l'accès via l'application

Définition avec les équipes de développements des bonne pratiques pour éviter l'intrusion (via injection SQL par exemple). Beaucoup d’applications ouvertes sur le web font l’objets de tentatives de piratage par différentes méthodes. Certaines concernent plus spécifiquement la base de données (comme l’injection SQL qui permet lorsque cela n’est pas sécurisé d’envoyer un ordre SQL dans un champ de saisie). Oracle permet d’empêcher cela via des packages spécifiques ou via un développement spécifique. Tests et validation  

• Comment définir une vraie politique globale de sécurité

Accompagnement à la mise en place d'un PSSI (Plan de Sécurisation du Système d'Information). En effet, la sécurisation de ce type de solution ne se limite pas à la sécurisation de la partie Oracle. Il faut voir ce projet dans son ensemble (infrastructure matérielle, Operating System, réseaux, firewall, etc …) et une fois le PSSI mis en œuvre, un audit externe doit être réalisé afin de pouvoir corriger les failles potentielles. Conclusion La sécurité est toujours un projet d'envergure pour une société. La mission de Conseil réalisée par Digora a permis a ce client d'aborder l'ouverture de son application sur le web et donc la faille potentielle d'accès à ses données Oracle de façon beaucoup plus sereine. Vous souhaitez en savoir plus sur ce sujet ? Contactez-nous ici pour de plus amples informations.