SQL Server ? Fort heureusement, il existe des mesures permettant de réduire sensiblement les risques. Vous pouvez prévenir (ou au moins limiter) de nombreuses attaques SQL simplement en vérifiant initialement que vos bases de données et serveurs sont sécurisés comme il se doit.
La configuration de tous les ports d’écoute est-elle appropriée ? Avez-vous désactivé l’ensemble des bibliothèques réseau superflues ? Avez-vous pensé à supprimer les anciens fichiers de configuration SQL Server ? Et la liste ne s’arrête pas là.
Admettons-le, il faut du temps pour sécuriser tous les points de contrôle jusqu’au dernier et pour conserver une longueur d’avance sur les personnes malintentionnées. Chaque jour apporte son lot de nouvelles vulnérabilités concernant la sécurité, d’où la nécessité d’ajouter de nouveaux contrôles et d’effectuer une surveillance fréquente pour rester à l’abri des mauvaises surprises.
Dans ces circonstances, il serait épatant de pouvoir automatiser quelque peu toutes ces tâches d’audit longues et fastidieuses. C’est désormais possible si vous appliquez les techniques simples exposées dans cet article et si vous adaptez le code fourni à votre situation spécifique.
Automatisez vos audits de sécurité
Dans l’article « Construisez vos propres systèmes de sécurité automatisés », disponible sur le site https://www.itpro.fr Club Abonnés, SQL Server Magazine octobre 2006), vous avez pu découvrir comment tester une configuration de base de données afin de détecter les vulnérabilités touchant à la sécurité. La première étape consiste à créer une liste des stratégies de sécurité et à inspecter votre SGBDR à la recherche de violations possibles de celles-ci, de vulnérabilités de la conception et d’autres défauts de la sécurité exploitables par un pirate informatique.
Dans cet article, vous avez découvert un tableau répertoriant une liste des paramètres de sécurité à auditer. Ces paramètres, et bien d’autre encore, sont disponibles dans la rubrique « SQL Server 2000 SP3 Security Features and Best Practices: Security Best Practices Checklist », à cette adresse. Bien évidemment, vous allez ajuster vos tests en fonction de ces points de contrôle en accordant la priorité absolue à votre domaine de responsabilité.
La liste de contrôle de sécurité vous aide dans ce processus de personnalisation en classant ses points de contrôle par catégories. Si votre travail consiste à installer des bases de données, vous allez probablement mettre l’accent sur les exigences de sécurité liées aux catégories de préinstallation, d’installation et de post-installation dans la section administrateur de la liste de contrôle (Administrator Checklist). Si vous développez des applications, vous allez vous intéresser tout naturellement aux exigences liées au développement, notamment au cryptage des données et aux rôles de base de données.
Quelles que soient les vulnérabilités ciblées, votre préoccupation concerne la disponibilité d’audits reproductibles et faciles à mettre à jour. Après tout, quel est l’intérêt d’un test de sécurité s’il n’est exécuté qu’une seule fois ou s’il est incapable d’évoluer avec les nouvelles stratégies d’attaque ? L’automatisation constitue la clé d’audits de sécurité actualisés et reproductibles.
Téléchargez cette ressource
Mac en entreprise : le levier d’un poste de travail moderne
Ce livre blanc répond aux 9 questions clés des entreprises sur l’intégration du Mac : sécurité, compatibilité, gestion, productivité, coûts, attractivité talents, RSE et IA, et l’accompagnement sur mesure proposé par inmac wstore.
Les articles les plus consultés
- Stockage autonome, Evolutivité & Gestion intelligente, Pure Storage offre de nouvelles perspectives aux entreprises
- La blockchain en pratique
- ActiveViam fait travailler les data scientists et les décideurs métiers ensemble
- Les projets d’intégration augmentent la charge de travail des services IT
- L’utilisation des données pour survivre !
Les plus consultés sur iTPro.fr
- Temps d’arrêt IT : un coût de 600 milliards de dollars pour les entreprises du Global 2000
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
- L’anxiété liée à l’IA, un risque sous-estimé pour la sécurité
- IA générative en Europe : une adoption massive, mais une gouvernance toujours en retard
Articles les + lus
IA générative en Europe : une adoption massive, mais une gouvernance toujours en retard
Golden records : le socle oublié des projets IA
Avec les Smart Data, les entreprises mènent la danse de l’observabilité moderne
ADI, l’infrastructure de données de Scality pensée pour l’ère de l’IA et de la souveraineté
Faire évoluer la souveraineté des données du statut d’ambition politique à son application opérationnelle
À la une de la chaîne Data
- IA générative en Europe : une adoption massive, mais une gouvernance toujours en retard
- Golden records : le socle oublié des projets IA
- Avec les Smart Data, les entreprises mènent la danse de l’observabilité moderne
- ADI, l’infrastructure de données de Scality pensée pour l’ère de l’IA et de la souveraineté
- Faire évoluer la souveraineté des données du statut d’ambition politique à son application opérationnelle
