10 – Cryptez les bases de données

SQL Server 2005 propose différentes approches concernant le cryptage, notamment le cryptage au sein des bases de données proprement dites. Toutefois, la méthode la plus simple consiste, lorsque le souci principal est le vol de disques, de bandes de sauvegarde ou d’ordinateurs portables, à employer le système EFS (Encrypting File System) de Windows. Les bases de données SQL Server 2005 peuvent être cryptées par ce biais, tout en restant utilisables par le serveur de base de données.

Pour crypter les bases de données avec EFS, vous devez ouvrir une session interactive avec le serveur de base de données au moyen des informations d’identification sous lesquelles celui-ci s’exécute, puis crypter la base de données et les fichiers journaux des transactions en utilisant l’Explorateur Windows ou l’utilitaire en ligne de commande cipher.exe. Cela signifie que SQL Server doit s’exécuter sous un compte utilisateur nommé et pas sous le compte LocalSystem ou un de ses dérivés (LocalService ou NetworkService). Si vous optez pour EFS afin de crypter la base de données et les fichiers journaux des transactions, je vous recommande d’avoir configuré un agent de récupération des données (Data Recovery Agent) nommé, afin de pouvoir récupérer la base de données si, pour une raison ou une autre, le compte de service est verrouillé ou supprimé.

Notez que l’utilisation d’EFS pour crypter une base de données SQL Server affectera quelque peu les performances, mais pas autant que vous pourriez le craindre. Sur un serveur suffisamment équipé, le problème ne devrait survenir qu’en cas d’utilisation très intensive de la base de données. La baisse de performances est généralement négligeable sur les PC et les ordinateurs portables, et la sécurité procurée par EFS compense largement ce léger ralentissement, en particulier sur des ordinateurs portables contenant les informations personnelles de vos clients.