SQL Server ? Fort heureusement, il existe des mesures permettant de réduire sensiblement les risques. Vous pouvez prévenir (ou au moins limiter) de nombreuses attaques SQL simplement en vérifiant initialement que vos bases de données et serveurs sont sécurisés comme il se doit.
La configuration de tous les ports d’écoute est-elle appropriée ? Avez-vous désactivé l’ensemble des bibliothèques réseau superflues ? Avez-vous pensé à supprimer les anciens fichiers de configuration SQL Server ? Et la liste ne s’arrête pas là.
Admettons-le, il faut du temps pour sécuriser tous les points de contrôle jusqu’au dernier et pour conserver une longueur d’avance sur les personnes malintentionnées. Chaque jour apporte son lot de nouvelles vulnérabilités concernant la sécurité, d’où la nécessité d’ajouter de nouveaux contrôles et d’effectuer une surveillance fréquente pour rester à l’abri des mauvaises surprises.
Dans ces circonstances, il serait épatant de pouvoir automatiser quelque peu toutes ces tâches d’audit longues et fastidieuses. C’est désormais possible si vous appliquez les techniques simples exposées dans cet article et si vous adaptez le code fourni à votre situation spécifique.
Automatisez vos audits de sécurité
Dans l’article « Construisez vos propres systèmes de sécurité automatisés », disponible sur le site https://www.itpro.fr Club Abonnés, SQL Server Magazine octobre 2006), vous avez pu découvrir comment tester une configuration de base de données afin de détecter les vulnérabilités touchant à la sécurité. La première étape consiste à créer une liste des stratégies de sécurité et à inspecter votre SGBDR à la recherche de violations possibles de celles-ci, de vulnérabilités de la conception et d’autres défauts de la sécurité exploitables par un pirate informatique.
Dans cet article, vous avez découvert un tableau répertoriant une liste des paramètres de sécurité à auditer. Ces paramètres, et bien d’autre encore, sont disponibles dans la rubrique « SQL Server 2000 SP3 Security Features and Best Practices: Security Best Practices Checklist », à cette adresse. Bien évidemment, vous allez ajuster vos tests en fonction de ces points de contrôle en accordant la priorité absolue à votre domaine de responsabilité.
La liste de contrôle de sécurité vous aide dans ce processus de personnalisation en classant ses points de contrôle par catégories. Si votre travail consiste à installer des bases de données, vous allez probablement mettre l’accent sur les exigences de sécurité liées aux catégories de préinstallation, d’installation et de post-installation dans la section administrateur de la liste de contrôle (Administrator Checklist). Si vous développez des applications, vous allez vous intéresser tout naturellement aux exigences liées au développement, notamment au cryptage des données et aux rôles de base de données.
Quelles que soient les vulnérabilités ciblées, votre préoccupation concerne la disponibilité d’audits reproductibles et faciles à mettre à jour. Après tout, quel est l’intérêt d’un test de sécurité s’il n’est exécuté qu’une seule fois ou s’il est incapable d’évoluer avec les nouvelles stratégies d’attaque ? L’automatisation constitue la clé d’audits de sécurité actualisés et reproductibles.
Téléchargez cette ressource
Guide de Cyber-résilience pour Microsoft 365
La violation de votre tenant M365 va au-delà d’un simple incident de cybersécurité. Elle peut entraîner une interruption opérationnelle généralisée, des perturbations commerciales et une exposition de vos données sensibles. Découvrez les méthodes et technologies pour évaluer, comparer et renforcer votre posture de sécurité Microsoft 365.
Les articles les plus consultés
- ActiveViam fait travailler les data scientists et les décideurs métiers ensemble
- Les projets d’intégration augmentent la charge de travail des services IT
- Stockage autonome, Evolutivité & Gestion intelligente, Pure Storage offre de nouvelles perspectives aux entreprises
- Dark Web : où sont vos données dérobées ?
- 10 grandes tendances Business Intelligence
Les plus consultés sur iTPro.fr
- À l’aube de 2026, le SaaS entre dans une nouvelle phase
- Face à l’urgence écologique, l’IT doit faire sa révolution
- IoT et cybersécurité : les bases que chaque décideur doit maîtriser
- AWS re:Invent 2025 : décryptage des grandes innovations qui vont transformer le cloud
Articles les + lus
Les 6 tournants qui redéfinissent l’IA en entreprise
Infrastructures IT : 5 leviers concrets pour éviter les impasses technologiques
Une menace à 1 milliard d’euros : le gouffre de la fraude e-commerce en France
Maîtriser l’observabilité des données IA
Data & IA en 2025 : ce que les CDO révèlent aux équipes IT et data
À la une de la chaîne Data
- Les 6 tournants qui redéfinissent l’IA en entreprise
- Infrastructures IT : 5 leviers concrets pour éviter les impasses technologiques
- Une menace à 1 milliard d’euros : le gouffre de la fraude e-commerce en France
- Maîtriser l’observabilité des données IA
- Data & IA en 2025 : ce que les CDO révèlent aux équipes IT et data
