La sécurité SQL contre le vol de données

La plupart des programmeurs d’applications confient la sécurité des données au système d’exploitation. Ils comptent sur lui pour que seuls les utilisateurs autorisés aient accès aux objets et fichiers de données du programme. Dans un système unique, ce n’est pas un mauvais raisonnement, surtout compte tenu de la qualité du kit d’outils de sécurité interne de l’IBM i. Mais les applications modernes se limitent rarement à une seule machine et la plupart des utilisateurs opèrent à distance et non localement. Il existe des couches de sécurité dans les interfaces de l’hôte sous la forme de pare-feu logiciels et aux frontières du réseau sous la forme de pare-feu matériels et de passerelles VPN. Dans un monde parfait, cela suffirait pour qu’aucun indésirable ne puisse atteindre vos données. Malheureusement, nous ne vivons pas dans un monde parfait.

Comme d’innombrables rapports l’ont signalé au cours des dernières années, la sécurité des réseaux est souvent mise à mal par l’erreur humaine et la ténacité des pirates. Et les précieuses bases de données de l’entreprise sont alors vulnérables. Récemment dans l’État de Virginie, un assaillant a supprimé les seules copies appartenant à l’État d’une base de données de patients et des prescriptions de médicaments, et a demandé pour la seule copie en sa possession, une rançon de dix millions de dollars … menaçant de vendre ces précieuses données sensibles au plus offrant.

Les nombreuses faiblesses constatées dans les couches de sécurité extérieures doivent nous inciter, en tant que développeurs d’applications, à protéger nos données les plus critiques au coeur même de leur existence : dans la base de données. L’augmentation constante des règles de gouvernance d’entreprise, comme Sarbanes-Oxley, HIPAA, et Payment Card Industry, font que les responsables technologiques de l’entreprise seront de plus en plus tenus pour responsables de ces lacunes.

Heureusement, il n’est pas très difficile d’améliorer la sécurité des bases de données. Les bases de données SQL, du genre DB2 for i, ont un mécanisme au niveau table, de fine granularité, pour protéger le contenu de la base de données jusqu’au niveau de la colonne. Et la plupart des systèmes d’exploitation modernes, y compris IBM i, offrent des API de cryptage de données efficaces à l’extérieur des bases de données. Mais, pour en tirer parti, il faut comprendre les failles spécifiques de la sécurité DB2 et les mécanismes de sécurité DB2 disponibles. Fort de ces connaissances, vous serez prêts à contrecarrer votre prochain voleur potentiel de données.