Dossier Sécurité : Protection des données DB2 (1/3)

Pour beaucoup de gens, les « données » sont simplement l’entrée et la sortie associées à des programmes, ou l’information servant à produire des rapports. Pourtant, si le fait de remédier à une violation de données a un coût, les données doivent avoir une certaine valeur et dans ce cas, ne sont plus une simple information mais un actif ou une ressource. A tel point que l’IBM Data Governance Council a prévu récemment que les données figureront désormais à l’actif du bilan et que la gouvernance desdites données deviendra une obligation statutaire pour les sociétés (ibm.com/ press/us/en/pressrelease/24585.wss). S’il en est ainsi, la manière dont le service IT considère la sécurité des données doit changer. Les entreprises ne doivent plus traiter par-dessous la jambe l’effort de protection des actifs, mais plutôt reconnaître que cette protection a un coût indissociable de l’activité.

Avant de passer en revue les techniques de sécurité des bases de données, voyons deux étapes fondamentales de la sécurisation des actifs d’information. La première et la plus importante est la définition de la stratégie d’une société en la matière. En effet, sans stratégie, il n’existe aucune définition de ce qui est acceptable en matière d’utilisation, d’accès et de stockage de l’information par qui, quoi, quand, où et comment. Une stratégie doit au minimum aborder trois aspects : confidentialité, intégrité et disponibilité. La surveillance et l’évaluation du respect de la stratégie de sécurité déterminent si celle-ci fonctionne. On demande souvent aux consultants IBM d’évaluer la sécurité d’une société sans tenir compte de la stratégie.

Bien qu’une telle évaluation puisse être utile pour observer la manière dont le système est actuellement défini et comment on accède aux données, elle ne peut pas déterminer le niveau de sécurité parce que, sans une stratégie, c’est moins une évaluation qu’une ligne de base pour surveiller et capturer les changements intervenus dans les paramètres de sécurité. Une stratégie de sécurité définit si le système et ses paramètres sont sûrs (ou pas). Un mot de mise en garde : Le Health Insurance Portability and Accountability Act of 1996 (HIPAA), le Payment Card Industry Data Security Standard (PCI DSS) et d’autres normes de conformité peuvent demander des contrôles qui supplantent la stratégie de sécurité d’une société. Vous devez donc connaître en permanence les règles légales et administratives et y
adapter votre stratégie.

Le second principe de base pour la sécurité des actifs que constituent les données est l’utilisation de la sécurité des ressources. Bien appliquée, la sécurité des ressources empêche la violation des données par des intrusions internes et externes. Les contrôles de la sécurité des ressources sont étroitement liés à la partie de la stratégie définissant qui doit avoir accès à quelles ressources d’information. Les pirates peuvent être suffisamment doués pour franchir les pare-feu de votre société et s’infiltrer jusqu’à votre système, mais s’ils n’ont pas un accès explicite à votre base de données, ils ne peuvent pas compromettre vos actifs d’information. Vous voyez donc l’importance qu’il y a à sécuriser les actifs d’information. Examinons les méthodes permettant de protéger les ressources bases de données sur IBM i.