Assurance de sécurité logicielle

Oracle Software
Security Assurance

Initiative de configuration sécurisée

L’objectif ultime des efforts déployés par Oracle autour de la sécurité de ses produits est de garantir que les instances déployées des produits Oracle sont sécurisées. L’architecture ouverte des produits Oracle confère aux clients une grande souplesse dans le choix du mode de déploiement et d’utilisation. Avec Oracle Software Security Assurance, Oracle s’assure également que l’utilisation sécurisée des produits Oracle est aussi simple que possible, quels que soient les choix techniques effectués lors du déploiement initial. Oracle a investi énormément d’efforts dans le développement de mécanismes de sécurité puissants et solides intégrés à ses produits, et souhaite s’assurer que les clients exploitent pleinement ces fonctionnalités de sécurité. À cet égard, deux programmes ont été mis en place :

  • Le programme Secure Configuration (Configuration sécurisée) garantit que les produits Oracle s’installent, dès le début, dans un état sécurisé.
  • Le programme Security Guides (Guides de sécurité) garantit qu’il existe, pour tous les produits Oracle, une documentation complète relative à la configuration et à l’utilisation sécurisée des produits.

Configuration sécurisée

Lorsque les clients transfèrent des systèmes logiciels des environnements de développement et de test aux environnement de production, ils les font généralement passer un processus appelé « renforcement ». Le renforcement a pour but de réduire la vulnérabilité d’un système de production susceptible d’être attaqué. Cela implique généralement de sécuriser les réseaux et les plateformes sous-jacents, de limiter les privilèges utilisateur, de supprimer les fonctionnalités inutiles et de fermer les modes d’accès au système qui ne sont pas indispensables, comme les comptes utilisateur par défaut ou les ports réseau non utilisés. Le programme Secure Configuration (Configuration sécurisée) d’Oracle s’attache à garantir que les produits fournissent un état de sécurité optimal dès l’installation et demandent peu ou pas d’étapes supplémentaires de « renforcement » pour les clients. Dans le cadre de ce programme, Oracle élabore des directives pour assurer une configuration produit sécurisée et s’efforce, avec ses équipes de développement produit, d’implémenter ces améliorations dans les nouvelles versions de ses produits. Ces directives sont en partie basées sur les références de sécurité développées par des entreprises tierces, en particulier le CIS (Center for Internet Security), dont Oracle est un membre actif. La publication des configurations par défaut assurant une sécurité améliorée doit être échelonnée dans le temps afin de réduire l’impact sur les clients et les partenaires qui ont créé des applications ou ont établi des politiques et des pratiques de sécurité s’appuyant sur des paramètres par défaut plus anciens.

Guides de sécurité

Oracle a publié plusieurs guides de sécurité détaillant l’installation et l’utilisation des produits Oracle de façon sécurisée. Ces guides comprennent des informations spécifiques sur l’activation des fonctionnalités de sécurité, par exemple le protocole Transport Layer Security, ainsi que des directives plus ouvertes, soulignant les implications des choix de configuration en termes de sécurité. Les guides de sécurité sont entièrement spécifiques d’un produit mais ils fournissent également des recommandations sur la manière de configurer un environnement sécurisé dans lequel utiliser le produit.

Les sujets suivants sont des exemples de rubriques qui peuvent être traitées dans un guide de sécurité.

  • La partie Sécurité pré-installation couvre les mesures pouvant être prises pour sécuriser la plateforme sous-jacente.
  • La partie Sécurité d’installation décrit les implications des choix de sécurité qui peuvent être effectués pendant l’installation.
  • La partie Sécurité post-installation s’intéresse à la configuration des fonctionnalités de sécurité du produit.

Les guides de sécurité sont disponibles au grand public dans le jeu de documentation standard d’Oracle ou sont publiés dans le Security Technology Center sur le site Web Oracle Technology Network.

Utilitaires de configuration sécurisée

Oracle a développé plusieurs outils pour aider les clients à identifier les domaines spécifiques dans lesquels leurs implémentations produit ne sont pas conformes aux meilleures pratiques recommandées (par exemple, l’utilisation continue de mots de passe par défaut pour les comptes par défaut). Le cas échéant, ces outils sont publiés dans des CPU (Critical Patch Update). De plus, les clients Premier Support peuvent utiliser les diverses vérifications d’intégrité disponibles sur le portail My Oracle Support pour identifier d’éventuels écarts de leurs systèmes par rapport aux configurations recommandées par Oracle.


En savoir plus