Mise à l’essai et piratage éthique

Aperçu

Oracle est dotée d’équipes de professionnels spécialisés en matière de sécurité pour évaluer la force de sécurité de l’infrastructure, des produits et des services de l’entreprise. Ces équipes effectuent différents niveaux d’essais de sécurité complémentaires :

  • L’analyse de sécurité opérationnelle est effectuée dans le cadre de l’administration normale de tous les systèmes et services d’Oracle. Ce genre d’évaluation exploite en grande partie des outils d'analyse commerciaux ainsi que les propres produits d’Oracle (tels qu’Oracle Enterprise Manager). L’objectif de l’analyse de sécurité opérationnelle est principalement de détecter des configurations de sécurité non autorisées et non sécurisées.
  • Des essais d'intrusion sont aussi effectués systématiquement pour vérifier que les systèmes ont été mis en place conformément aux normes d'entreprise d'Oracle et qu’ils peuvent résister à leur environnement de menace opérationnelle et aux analyses hostiles qui envahissent Internet. Les essais d'intrusion peuvent prendre deux formes :
    • Les essais d'intrusion passifs sont réalisés à l’aide d'outils d'analyse commerciaux et d’étapes manuelles. Ils sont habituellement effectués par Internet avec un minimum de renseignements privilégiés. Les essais passifs sont utilisés pour confirmer la présence de types de vulnérabilités connues avec suffisamment d’exactitude et de confiance pour créer un jeu d’essais qui peut ensuite être utilisé par les équipes de développement ou d’exploitation de nuages pour valider la présence du problème signalé. Durant les essais d'intrusion passifs, aucune exploitation n’est effectuée dans des environnements de production, autre que les exigences minimales requises pour confirmer le problème. Par exemple, une injection SQL ne sera pas exploitée pour l’exfiltration de données.
    • Les essais d'intrusion actifs sont plus détaillés que les essais d'intrusion passifs et permettent l’exploitation des vulnérabilités découvertes. Leur portée est également plus vaste que celle des essais d'intrusion passifs, car les équipes de sécurité sont généralement autorisées à passer d’un système à un autre. De toute évidence, les essais d'intrusion actifs sont étroitement contrôlés pour éviter les effets involontaires sur les systèmes de production.
  • Contrairement à l'analyse de sécurité opérationnelle et aux essais d'intrusion, le piratage éthique est une mission sans restriction où l’équipe de piratage éthique a accès à des documents techniques (p. ex., à des spécifications de conception) et au code source du produit mis à l’essai. Afin de permettre une analyse plus approfondie des systèmes ciblés, des droits d'accès administratifs peuvent être fournis à l’équipe de piratage éthique pour lui permettre d’exploiter d’autres modes de journalisation et de débogage. De manière générale, les missions de piratage éthique sont habituellement réalisées contre des environnements d’essais dédiés, car ils perturbent habituellement le système cible dans la mesure où il peut devoir être rebâti.

Analyse de sécurité opérationnelle

Les organisations de TI d’Oracle sont responsable de l’analyse de sécurité des systèmes d’entreprise et des services en nuage d'Oracle qu’elles gèrent, conformément à la politique de sécurité des serveurs et des normes technologiques associées d’Oracle. Tous les outils d’analyse doivent être approuvés conformément au Processus de solution d’assurance de sécurité d’entreprise (Corporate Security Solution Assurance Process [CSSAP]). Les résultats des analyses sont vérifiés selon une approche fondée sur le risque. Des processus de gestion du changement sont utilisés pour résoudre tous problèmes décelés en fonction de l’établissement des priorités fondées sur le risque, suivant l'approbation de la direction.

Les informations sur les analyses de sécurité opérationnelle des systèmes d’entreprise et des services en nuage d'Oracle sont considérées comme des renseignements confidentiels d’Oracle et ne seront pas divulguées à l’externe.

Essais d'intrusion

Oracle exige que les systèmes externes et des services en nuage fassent l’objet d’essais d’intrusion réalisés par des équipes de sécurité indépendante. L’équipe d’essais d'intrusion de Global Information Security effectue des essais d'intrusion et fournit la supervision à tous les secteurs d'activité dans les cas où d’autres équipes de sécurité interne ou un tiers approuvé procèdent aux activités d’essais d'intrusion. Cette surveillance est conçue pour favoriser la qualité, l’exactitude et la cohérence des essais d'intrusion et de leur méthodologie associée. Oracle a des exigences officielles en matière de mise à l'essai qui comprennent la portée des essais et la définition de l'environnement, les outils approuvés, le classement des constatations, les catégories d’exploits à tenter au moyen de l’automatisation et d’étapes manuelles et les procédures de communication des résultats.

Tous les résultats et les rapports liés aux essais d'intrusion sont examinés par les équipes de sécurité d’entreprise d'Oracle pour valider qu'un essai indépendant et complet a été effectué. Avant qu’un secteur d'activité soit autorisé à mettre un nouveau système ou service en nuage en production, Oracle exige que la résolution de tout important résultat d’essais d'intrusion soit achevée.

Les informations sur les essais d'intrusion des systèmes d’entreprise et des services en nuage d'Oracle sont considérées comme des renseignements confidentiels d’Oracle et ne seront pas divulguées à l’externe.

Piratage éthique

Les missions de piratage éthique sont effectuées par l’équipe de piratage éthique, un groupe indépendant de chercheurs au sein de l’organisation Global Product Security.

Bien que les rapports d'essais de l’équipe de piratage éthique ne soient jamais communiqués à l’externe, elle fait rapport de ses conclusions à l’architecte de la sécurité d’entreprise ainsi qu’à la haute direction des secteurs d'activité concernés. De plus, elle est un important contributeur aux normes de codage sécurisé d’Oracle et présente périodiquement des résultats abrégés de ses constatations comme des “leçons retenues” pour le développement d’Oracle.

Oracle Labs

La mission d’Oracle Labs est claire : identifier, explorer et transférer de nouvelles technologies qui ont le potentiel d’améliorer considérablement les logiciels d’Oracle, les services d’Oracle Cloud et les activités de l’entreprise. Les chercheurs d’Oracle Labs tentent de découvrir de nouvelles approches et méthodologies, prenant souvent en charge des projets qui comportent un degré élevé de risque ou d'incertitude ou qui sont difficiles à entreprendre au sein d’une entreprise de développement de produits.

L’engagement en R et D d’Oracle est un élément déterminant dans le développement de technologies qui a permis à l’entreprise de demeurer au premier rang de l’industrie. Bien que de nombreuses technologies de pointe d’Oracle proviennent des organisations de développement de produits, Oracle Labs est la seule organisation d’Oracle qui est consacrée exclusivement à la recherche.