La sécurité des bases de données en questions

Il n’est plus temps de s’interroger sur la pertinence de la sécurisation des données dans l’entreprise. L’heure est aujourd’hui à l’action pour protéger ce qui est devenu un actif fondamental, pouvant entraîner une perte de valeur et de réputation de l’entreprise tout entière en cas de problème. Explications avec Didier Lavoine, Directeur Technique de Digora.

Sécuriser les données n’est-elle pas une problématique déjà ancienne dans l’entreprise ?

Didier Lavoine – Étonnamment non… l’enjeu est finalement assez récent. Au préalable, la question de la sécurité portait sur l’ensemble du système d’information : infrastructure, architecture et autres applications, avec l’objectif principal d’éviter au maximum les arrêts d’exploitation, associés à la sécurisation des accès et de la périphérie du système d’information.

Mais ce que l’on entrevoyait déjà en passant de la notion « d’informatique d’entreprise » à celle de « système d’information » est aujourd’hui réalisé : nous évoluons désormais dans un monde de la donnée. Brute, transformée ou éphémère, la donnée a de la valeur. Les hackers eux-mêmes l’ont d’ailleurs bien compris : si pendant longtemps, leurs « exploits » étaient de faire tomber un système d’information, le vol, l’altération ou la corruption de données comptent aujourd’hui parmi leurs buts prioritaires.

Cette problématique dépasse donc largement les frontières de la DSI ?

Absolument ! C’est un enjeu global à l’entreprise, d’autant que pour certains types d’informations, telles que les données personnelles avec le RGPD par exemple, des sanctions pénales sont prévues en cas de protection insuffisante.

Les données de l’entreprise et leur sécurité constituent donc un axe fort de gouvernance. À ce titre, nous sommes convaincus chez Digora que la DSI doit désormais faire partie, au même titre que les autres directions de l’entreprise (DAF, direction commerciale, direction des opérations, etc.) des instances dirigeantes, quel que soit le nom qu’on leur donne : comité de direction, board, comité exécutif, comité de pilotage, etc.

Quelle approche adopter en matière de la sécurité des données ?

Avant toute chose, nous préconisons une approche à la fois pragmatique et organisée, dans le cadre d’une démarche prospective : concevoir un plan de sécurité des données n’est qu’une première étape. Pour qu’il reste efficace dans le temps, il doit être managé et évolutif.

Ce qui passe en premier lieu par l’identification des actifs, à savoir les bases de données, qui constituent de loin les cibles les plus privilégiées en matière de données. Et ce, tant sur le plan technologique (éditeur, version, procédures d’administration, etc.) qu’en termes d’usages, par une analyse de leurs impacts business (BIA : Business Impacts Analysis). Ce dernier point permettant de hiérarchiser les bases de données en fonction de leur criticité business.

Ensuite, il s’agit, actif par actif, d’analyser les vulnérabilités et d’identifier les éléments sécuritaires existants, avant, enfin, d’élaborer des scénarios de risques. Sans oublier les aspects organisationnels.

Concrètement, quels sont les axes étudiés ?

Avec nos 25 années d’expérience dans le domaine de la gestion des bases de données, et notamment des bases de données Oracle quelle que soit la version, nous avons élaboré, aux côtés d’EBRC, un référentiel d’analyse de la sécurité, réparti selon 7 domaines clés :

• La gestion d’accès
• La sécurisation des données (y compris les aspects de disponibilité)
• L’environnement : infrastructure et architecture
• Le maintien en conditions opérationnelles
• Les licences et les contrats fournisseurs
• Les équipes (aspects RH)
• La sécurité physique

Un référentiel qui conduit à une phase de remédiation s’appuyant pour les bases ORACLE sur un ensemble de solutions ORACLE, parmi lesquelles :

• Le masking des données avec Data Masking & Subsetting
• L’encryption des données avec Network et Transparent Data Encryption
• La gestion du cycle de vie de la base avec Database Lifecycle Management
• L’occultation (pseudonymisation) des données avec Data Redaction
• La gestion avancée du contrôle d’accès avec Database Firewall et Database Vault
• Le contrôle unifié des bases de données avec Database Security Assessment (DBSAT) et Data Safe

Ainsi, pour chaque risque identifié, le plan de sécurité doit prévoir les actions à corréler, le niveau de maturité de ces actions et leurs progressions dans le temps. Car une nouvelle fois, le plan de sécurité des données doit être managé sur le long terme pour être et rester efficace.

À cette fin, nous avons fait le choix d’outiller ce dispositif avec un outil de « risk management », pour la gestion des cyber-risques et de la conformité.

Quid des risques normatifs ?

Depuis 2 ans environ, c’est clairement un sujet de préoccupation des entreprises : ITIL ne suffit plus, et nombreuses sont celles à avoir entamé une démarche de certification ISO 27001. Dans ce contexte, une traçabilité des données de bout en bout et une démarche d’amélioration continue doivent être mises en œuvre. Nous pouvons aujourd’hui proposer à nos clients d’intégrer facilement les aspects sécuritaires de la donnée à la démarche ISO 27001.

En conclusion, quels sont vos conseils pour entamer la démarche de sécurisation de ses données ?

S’il existe un certain nombre de bonnes pratiques selon nous, il n’y a pas une seule façon de faire : tout dépend de l’environnement de l’entreprise, de son organisation, de ses typologies et volumes de données, etc.

Ce qui est certain néanmoins, c’est qu’il ne s’agit pas d’opérer un big bang mais plutôt de se lancer avec quelques bases de données. En particulier les plus critiques, celles dont dépendent clairement la continuité d’activité. Et dans tous les cas, de s’assurer d’un suivi opérationnel de long terme : car le plan de sécurité des données utile et performant à l’instant T ne le reste généralement pas longtemps !