Oracle Security Day : une réflexion poussée

Pour commencer, la directrice offre sécurité d’Oracle, Dominique Perrin a tenu à rappeler que la cybersécurité au sein de l’entreprise a un important héritage, y compris beaucoup d’expériences dans le domaine. En effet, les premiers clients d’Oracle aux Etats-Unis furent la célèbre agence CIA  et le ministère de la défense. C’est donc profondément qu’est ancrée la sécurité informatique dans l’ADN même de l’entreprise. La stratégie d’Oracle est claire, s’appuyer sur ses 1500 spécialistes travaillant dans des laboratoires sécurité ou ses équipes d’engineering pour accompagner les entreprises dans leur transformation digitale et ce, en toute sécurité.

La sécurité et son contexte international

Au sein d’une époque où l’on estime qu’une donnée vaut entre 1 et 50 dollars, la cybersécurité  a doublé en termes de dépenses IT pour les entreprises depuis 2007 et devrait atteindre 60% en 2016. Naresh Persaud, Senior Director Security Product Management chez Oracle pose le contexte, selon Gartner, au niveau mondial, la sécurité informatique pèse 60 milliards de dollars en 2013 et qu’elle sera de 83 milliards en 2016. Il est impératif de choisir la bonne sécurité qui va influencer la santé de l’entreprise dans les prochaines années, pour au final regagner les pertes de capitaux liées aux problèmes de failles, attaques et autres.

Les actes malveillants sont en évolution dans le monde. En se penchant de plus près sur le marché noir avec des chiffres fournis par Interpol, on peut voir que les cybercrimes représentent 288 milliards de dollars. Comparativement, le vol de carte de crédit est de 114 milliards, celui de la cocaïne est de 85 milliards ou encore celui des véhicules volés est de 56 milliards. Ce n’est donc qu’une question de temps avant que les criminels se rendent compte qu’il est plus aisé voire plus facile, à cause des chances de se faire arrêter et des techniques peu complexes, de dégager des profits illégaux avec l’informatique. D’ailleurs, cette évolution de la criminalité est visible puisqu’entre 2007 et 2013, le hacking s’est envolé de 1600% avec des techniques simples comme le phishing.

Oracle l’a compris, pour mieux se protéger, il faut comprendre ces attaques et surtout les failles qui viennent de plus en plus de l’intérieur. Ainsi, on apprend que le hacking passe par le vol des identifiants de connexion 1 fois sur 2, que dans 19% des cas ce sont des attaques sur le système ou par une backdoor, 13% sont des injections SQL et 13% par force brute. De nos jours, le périmètre informatique de l’entreprise et donc de la sécurité s’est élargi avec  l’arrivée du BYOD, l’agrandissement du réseau (employés, partenaires, entrepreneurs et clients) et les données structurées et non-structurées de plus en plus importantes. A noter un fait significatif des attaques venant à présent aussi de l’intérieur, les employés licenciés ou qui souhaitent s’en aller dans les 62 prochains jours sont les plus susceptibles de trahir la confiance de l’entreprise et de l’attaquer.  Pour Naresh Persaud, il est donc logique de différencier l’Identity Management de la sécurité des données en séparant ces deux domaines avec différents niveaux de sécurité.

Les conclusions

Yves Toubhans, Consultant avant-vente d’Oracle, souligne que son entreprise a travaillé en relation avec les acteurs du monde informatique pour comprendre où étaient les failles et quelles attaques sont les plus incisives au niveau des bases de données. Ainsi, Oracle a pu établir les 8 grandes vulnérabilités et donc les risques qui en découlent mais aussi logiquement construire des contre-mesures à appliquer au sein des bases de données Oracle.

Dans le cas de la gestion des comptes Oracle et des droits, les risques sont les comptes fantômes et les privilèges d’accès excessif. En contre-mesure, il suffit de centraliser la gestion des comptes et des privilèges. Au niveau des contrôles des accès aux données par le réseau, les principales menaces sont les injections SQL et l’accès illicite au réseau. Pour contrer ces phénomènes, il faut mettre en place une dynamique de surveillance, d’audits, de rapports et d’alerte ainsi qu’un firewall SQL. A l’échelle de la lecture directe de fichier et de l’accès aux sauvegardes, le risque étant la copie de fichiers, la perte ou le vol de sauvegarde, il faut instaurer le chiffrement sur tous les supports physiques des données sensibles et effectuer une gestion des clefs.

Du côté des administrateurs et plus particulièrement l’accès aux donnés pouvant engendrer l’abus de privilèges et de fraudes internes, Oracle recommande des contrôles d’accès renforcés pour ces « comptes à pouvoir ». Pour ce qui est de la gestion de la configuration, mise à jour et paramètres, il suffit d’intégrer des standards de sécurité et une gestion de ces paramètres et des versions. Concernant les contrôles d’affichage de données sensibles, il faut installer un masquage dynamique d’affichage pour éviter l’exposition inutile de ces données vitales aux utilisateurs.

Les copies des bases de production avec des données réelles dont le risque est l’incapacité d’analyse après un incident et le défaut de surveillance, doivent bénéficier d’un paramétrage, d’une collecte et de la sécurisation des audits. Pour finir ces recommandations, il est impératif de mettre en place une politique d’audit et de surveillance afin de prévenir l’exposition des données sensibles hors production en effectuant un masquage statique et une anonymisation des données.

Hormis la sécurité dans les bases de données, Oracle explique qu’il faut renforcer la cyberdéfense à tous les niveaux que ce soit au sein des applications, du middleware, de l’operating system, des machines viruels, des serveurs ou encore du stockage.  Ces conseils deviennent des impératifs pour les entreprises et leurs dirigeants surtout lorsque l’on sait qu’à la suite d’une fuite de sécurité, 60% des leaders estiment que la première conséquence est une baisse de réputation et de l’image de la société.