Aucun résultat trouvé

Votre recherche n’a donné aucun résultat.

Nous vous suggérons d’essayer ce qui suit pour trouver ce que vous recherchez :

  • Vérifiez l’orthographe de votre recherche par mot clé.
  • Utilisez des synonymes pour le mot clé que vous avez tapé, par exemple, essayez “application” au lieu de “logiciel”.
  • Lancer une nouvelle recherche.
Contacter l’équipe commerciale

Oracle Cloud Free Tier

Créez, testez et déployez des applications sur Oracle Cloud, gratuitement.

Rubriques sur la sécurité des données

Définition de la sécurité des données

La sécurité des données désigne les mesures de protection employées pour protéger les données contre tout accès non autorisé et pour préserver la confidentialité, l’intégrité et la disponibilité des données. Les bonnes pratiques en matière de sécurité des données comprennent des techniques de protection des données telles que le chiffrement des données, la gestion des clés, la rédaction des données, le sous-ensemble des données et le masquage des données, ainsi que les contrôles d’accès des utilisateurs privilégiés, l’audit et la surveillance.

Sécurité des données - Bonnes pratiques

Les bonnes pratiques en matière de sécurité des données doivent être exploitées à la fois sur site et dans le Cloud afin d’atténuer le risque de violation de données et de contribuer à la conformité réglementaire. Les recommandations spécifiques peuvent varier, mais nécessitent généralement une stratégie de sécurité des données en couches conçue pour appliquer une approche de défense en profondeur. Différents contrôles atténuent différents vecteurs de menace. Les domaines de solution distincts incluent les capacités à évaluer, détecter et surveiller l’activité et les menaces des bases de données.

L’importance de la sécurité des données

Les données sont l’un des atouts les plus importants de toute entreprise. En tant que tel, il est primordial de protéger les données de tout accès non autorisé. Les violations de données, l’échec des audits et le non-respect des exigences réglementaires peuvent tous entraîner une atteinte à la réputation, une perte de valeur de marque, une propriété intellectuelle compromise et des amendes pour non-conformité. En vertu du Règlement général sur la protection des données (RGPD) de l’Union européenne, les violations de données peuvent entraîner des amendes allant jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise, ce qui se traduit souvent par des pertes financières importantes. Les données sensibles comprennent les informations personnellement identifiables, les informations financières, les informations sur la santé et la propriété intellectuelle. Les données doivent être protégées pour aider à éviter une violation de données et à assurer la conformité.

Sécurité des données et RGPD

Le masquage des données, le sous-ensemble de données et la rédaction de données sont des techniques permettant de réduire l’exposition des données sensibles contenues dans les applications. Ces technologies jouent un rôle clé pour répondre aux exigences d’anonymisation et de pseudonymisation associées à des réglementations telles que le RGPD de l’UE. Le RGPD de l’Union européenne s’appuie sur des principes de protection de la vie privée établis et largement acceptés, tels que la limitation des objectifs, la légalité, la transparence, l’intégrité et la confidentialité. Il renforce les exigences existantes en matière de protection de la vie privée et de sécurité, notamment les exigences en matière de notification et de consentement, les mesures de sécurité techniques et opérationnelles et les mécanismes de flux de données transfrontaliers. Afin de s’adapter à la nouvelle économie digitale, mondiale et axée sur les données, le RGPD formalise également de nouveaux principes de confidentialité, tels que la responsabilité et la minimisation des données.

En vertu du Règlement général sur la protection des données (RGPD), les violations de données peuvent entraîner des amendes allant jusqu’à quatre pour cent du chiffre d’affaires annuel global d’une entreprise ou 20 millions d’euros, selon le montant le plus élevé. Les entreprises qui collectent et traitent des données dans l’UE devront prendre en compte et gérer leurs pratiques de traitement des données, y compris les exigences suivantes :

  • Sécurité des données. Les entreprises doivent mettre en œuvre un niveau de sécurité approprié, englobant à la fois des contrôles de sécurité techniques et organisationnels, pour éviter la perte de données, les fuites d’informations ou d’autres opérations de traitement de données non autorisées. Le RGPD encourage les entreprises à intégrer le chiffrement, la gestion des incidents et les exigences d’intégrité, de disponibilité et de résilience du réseau et du système dans leur programme de sécurité.
  • Droits étendus des individus. Les individus ont un plus grand contrôle - et finalement une plus grande propriété de - leurs propres données. Ils disposent également d’un ensemble étendu de droits de protection des données, y compris le droit à la portabilité des données et le droit à l’oubli.
  • Notification de violation de données. Les entreprises doivent informer leurs régulateurs et / ou les personnes concernées sans délai indu après avoir pris conscience que leurs données ont fait l’objet d’une violation de données.
  • Audits de sécurité. Les entreprises devront documenter et conserver des enregistrements de leurs pratiques de sécurité, vérifier l’efficacité de leur programme de sécurité et prendre des mesures correctives le cas échéant.

Quels sont les défis de la sécurité des bases de données ?

défis de sécurité des bases de données

Les bases de données sont de précieux référentiels d’informations sensibles, ce qui en fait la principale cible des voleurs de données. En règle générale, les pirates de données peuvent être divisés en deux groupes : les étrangers et les initiés. Les étrangers incluent toute personne appartenant à des pirates informatiques isolés et à des cybercriminels cherchant à perturber leur activité ou à obtenir un gain financier, ou à des groupes criminels et des entreprises parrainées par un État-nation cherchant à commettre une fraude pour créer des perturbations à l’échelle nationale ou mondiale. Les initiés peuvent comprendre des collaborateurs actuels ou anciens, des curieux, des clients ou des partenaires qui profitent de leur position de confiance pour voler des données, ou qui commettent une erreur entraînant un événement de sécurité involontaire. Les étrangers et les initiés créent des risques pour la sécurité des données personnelles, des données financières, des secrets commerciaux et des données réglementées.

comment les pirates exploitent les bases de données

Les cybercriminels ont une variété d’approches qu’ils utilisent lorsqu’ils tentent de voler des données dans des bases de données :

  • Compromission ou vol des informations d’identification d’un administrateur ou d’une application privilégiée. Cela se fait généralement par le biais de l’hameçonnage par e-mail, d’autres formes d’ingénierie sociale ou en utilisant des logiciels malveillants pour découvrir les informations d’identification et, en fin de compte, les données.
  • Exploitation des faiblesses des applications avec des techniques telles que l’injection SQL ou le contournement de la sécurité de la couche application en incorporant du code SQL dans une entrée apparemment inoffensive fournie par l’utilisateur final.
  • Augmentation des privilèges d’exécution en exploitant des applications vulnérables.
  • Accès aux fichiers de base de données non chiffrés sur le disque.
  • Exploitation des systèmes non corrigés ou des bases de données mal configurées pour contourner les contrôles d’accès.
  • Vol des bandes d’archives et des supports contenant des sauvegardes de bases de données.
  • Vol des données dans des environnements hors production, tels que DevTest, où les données peuvent ne pas être aussi bien protégées que dans les environnements de production.
  • Affichage des données sensibles via des applications qui exposent par inadvertance des données sensibles qui dépassent ce à quoi cette application ou cet utilisateur devrait pouvoir accéder.
  • Erreur humaine, accidents, partage de mot de passe, erreurs de configuration et autres comportements irresponsables des utilisateurs, qui continuent d’être la cause de 90 % des failles de sécurité.

Sécurité des bases de données - Bonnes pratiques

sécurité des bases de données - Bonnes pratiques

Une stratégie de sécurité des bases de données bien structurée doit inclure des contrôles pour atténuer une variété de vecteurs de menaces. La meilleure approche est un cadre intégré de contrôles de sécurité qui peut être déployé facilement pour appliquer les niveaux de sécurité appropriés. Voici quelques-uns des contrôles les plus couramment utilisés pour sécuriser les bases de données :

  • Les contrôles d’évaluation aident à évaluer l’état de sécurité d’une base de données et devraient également offrir la possibilité d’identifier les changements de configuration. Les entreprises peuvent définir une base de référence, puis identifier la dérive. Les contrôles d’évaluation aident également les entreprises à identifier les données sensibles dans le système, y compris le type de données et leur emplacement. Les contrôles d’évaluation visent à répondre aux questions suivantes :
    • Le système de base de données est-il correctement configuré ?
    • Les correctifs sont-ils à jour et appliqués régulièrement ?
    • Comment les privilèges des utilisateurs sont-ils gérés ?
    • Quelles sont les données sensibles dans le système de base de données ? Combien ? Où se trouvent-elles ?
  • Les contrôles de détection permettent de surveiller l’accès des utilisateurs et des applications aux données, d’identifier les comportements anormaux, de détecter et de bloquer les menaces, et d’auditer l’activité des bases de données afin de produire des rapports de conformité.
  • Les contrôles préventifs bloquent l’accès non autorisé aux données en les chiffrant, en les expurgeant, en les masquant et en les sous-estimant, en fonction du cas d’utilisation prévu. L’objectif final des contrôles préventifs est de mettre un terme à l’accès non autorisé aux données.
  • Les contrôles spécifiques aux données appliquent les stratégies d’accès au niveau des applications au sein de la base de données, fournissant un modèle d’autorisation cohérent pour plusieurs applications, outils de reporting et clients de la base de données.
  • Les contrôles spécifiques aux utilisateurs appliquent les stratégies d’authentification et d’autorisation des utilisateurs, garantissant que seuls les utilisateurs authentifiés et autorisés ont accès aux données.

Solutions de sécurité des données

Réduire le risque de violation des données et simplifier la mise en conformité avec les bonnes pratiques en matière de sécurité des données, notamment le chiffrement, la gestion des clés, le masquage des données, les contrôles d’accès des utilisateurs privilégiés, la surveillance des activités et l’audit.

  • Protection des données : Réduire le risque de violation des données et de non-conformité grâce à des solutions permettant de répondre à un large éventail de cas d’utilisation tels que le chiffrement, la gestion des clés, la rédaction et le masquage. En savoir plus sur Data Safe.
  • Contrôle d’accès aux données : Une étape fondamentale de la sécurisation d’un système de base de données consiste à valider l’identité de l’utilisateur qui accède à la base de données (authentification) et à contrôler les opérations qu’il peut effectuer (autorisation). Des contrôles d’authentification et d’autorisation robustes permettent de protéger les données contre les attaquants. En outre, l’application de la séparation des tâches permet d’empêcher les utilisateurs privilégiés d’abuser de leurs privilèges système pour accéder à des données sensibles, et de prévenir les modifications accidentelles ou malveillantes de la base de données.
  • Audit et surveillance : Toute l’activité de la base de données doit être enregistrée à des fins d’audit, qu’il s’agisse d’activités se déroulant sur le réseau ou d’activités déclenchées dans la base de données (généralement par connexion directe), ce qui permet de contourner toute surveillance du réseau. L’audit devrait fonctionner même si le réseau est chiffré. Les bases de données doivent fournir un audit robuste et complet qui comprend des informations sur les données, le client à partir duquel la demande est effectuée, les détails de l’opération et l’instruction SQL elle-même.
  • Sécurisation des bases de données dans le Cloud : Les déploiements de bases de données dans le Cloud peuvent réduire les coûts, libérer du personnel pour des tâches plus importantes et prendre en charge une entreprise informatique plus agile et réactive. Mais ces avantages peuvent s’accompagner de risques supplémentaires, notamment un périmètre de réseau étendu, une surface de menace étendue avec un groupe administratif inconnaissable et une infrastructure partagée. Cependant, en utilisant les bonnes pratiques de sécurité de base de données appropriées, le Cloud peut fournir une meilleure sécurité que la plupart des entreprises sur site, tout en réduisant les coûts et en améliorant l’agilité.
Ressources pour
Pourquoi Oracle
Apprendre
Nouveautés
Nous contacter