Présentation

Oracle dispose d’équipes de spécialistes de la sécurité dont le travail consiste à évaluer le degré de sécurité de l’infrastructure, des produits et des services de l’entreprise. Ces équipes effectuent des tests de sécurité complémentaires de différents niveaux :

• Les analyses de sécurité de fonctionnement sont effectuées dans le cadre de l’administration classique de tous les systèmes et services Oracle. Ce type d’évaluation exploite largement les outils, notamment les outils d’analyse commerciaux ainsi que les propres produits d’Oracle (tels qu’Oracle Enterprise Manager). L’objectif de ces analyses est avant tout de détecter les configurations de sécurité non autorisées et non sécurisées.
• Des tests d’intrusion sont également systématiquement effectués pour s’assurer que les systèmes ont été configurés selon les normes d’entreprise Oracle et que ces systèmes sont capables de résister à leur environnement de menaces opérationnelles ainsi qu’aux analyses hostiles qui imprègnent Internet. Les tests d’intrusion peuvent prendre deux formes :
  • Les tests d’intrusion passive sont effectués à l’aide d’outils d’analyse commerciaux et de procédures manuelles. Ils sont généralement réalisés via Internet et avec le minimum de connaissances d’initiés. Ces tests sont utilisés pour confirmer la présence de types de vulnérabilités connus avec suffisamment de fiabilité et de précision pour permettre de créer un cas de test pouvant être ensuite utilisé par les services des opérations Cloud ou de développement pour valider la présence du problème signalé. Lors des tests d’intrusion passive, aucune exploitation, autre que le minimum requis pour confirmer le problème, n’est réalisée dans les environnements de production. Par exemple, une injection SQL ne sera pas exploitée pour exfiltrer des données.
  • Les tests d’intrusion active sont plus intrusifs que les tests d’intrusion passive et permettent l’exploitation des vulnérabilités découvertes. Ils ont également une portée plus large, car les équipes de sécurité sont généralement autorisées à passer d’un système à un autre. Bien évidemment, les tests d’intrusion active sont étroitement contrôlés afin d’éviter tout effet non intentionnel sur les systèmes de production.
• À la différence des analyses de sécurité de fonctionnement et des tests d’intrusion, le piratage éthique est une tâche pour laquelle la consultation de documents est autorisée et l’EHT a accès à la documentation technique, par exemple aux spécifications de conception et au code source du produit testé. Afin de permettre une analyse plus intrusive des systèmes ciblés, l’EHT peut se voir accorder des droits d’accès administratifs lui permettant d’exploiter des modes de journalisation et de débogage supplémentaires. Les tâches de piratage éthique sont généralement effectuées par rapport à des environnements de test dédiés dans la mesure où elles perturbent habituellement le système cible au point de nécessiter la reconstruction de ce dernier.

Analyses de sécurité de fonctionnement

Les services informatiques d’Oracle sont responsables des analyses de sécurité des systèmes d’entreprise et des services Cloud Oracle qu’ils gèrent, conformément à la politique d’Oracle en matière de sécurité des serveurs et aux normes technologiques associées. Tous les outils d’analyse doivent être approuvés par le CSSAP (Corporate Security Solution Assurance Process). Les résultats des analyses sont étudiés selon une approche basée sur les risques. Les problèmes identifiés sont résolus via des processus de gestion des modifications, selon une hiérarchisation basée sur les risques et l’approbation de la direction.

Les informations sur les analyses de sécurité de fonctionnement des systèmes d’entreprise et des services Cloud Oracle sont la propriété confidentielle d’Oracle et ne font pas l’objet de communications externes.

Tests d’intrusion

Oracle exige que les systèmes accessibles de l’extérieur et les services Cloud fassent l’objet de tests d’intrusion menés par des équipes de sécurité indépendantes. L’équipe en charge des tests d’intrusion du service Global Information Security’s effectue les tests d’intrusion et supervise tous les secteurs d’activité dans les situations où d’autres équipes de sécurité internes ou une équipe tierce approuvée procèdent à des activités de test d’intrusion. Cette supervision vise à favoriser la qualité, la précision et la cohérence des tests d’intrusion et des méthodologies associées. Les exigences formelles d’Oracle en matière de tests d’intrusion incluent la définition de l’environnement et de la portée des tests, l’utilisation d’outils approuvés, la classification des résultats, la catégorisation des exploits à tenter via des processus automatiques ou manuels, et les procédures à suivre pour rendre compte des résultats.

Tous les résultats des tests d’intrusion sont examinés par les équipes de sécurité d’entreprise Oracle afin d’attester qu’un test approfondi et indépendant a été effectué. Avant qu’un secteur d’activité ne soit autorisé à lancer un nouveau système ou un service Cloud en production, Oracle exige que la remédiation des résultats de tests d’intrusion significatifs soit terminée.

Les informations sur les tests d’intrusion des systèmes d’entreprise et des services Cloud d’Oracle sont la propriété confidentielle d’Oracle et ne font pas l’objet de communications externes.

Piratage éthique

Les tâches de piratage éthique sont menées par l’EHT (Ethical Hacking Team), un groupe indépendant de chercheurs en sécurité faisant partie du service Oracle Global Product Security.

Si les rapports de test EHT ne font jamais l’objet de communication extérieure, l’équipe fait part de ses résultats à l’architecte sécurité de l’entreprise ainsi qu’aux hauts responsables des secteurs d’activité concernés. En outre, l’EHT contribue de façon importante à l’élaboration des normes Oracle Secure Coding Standards (normes de programmation sécurisée Oracle) et présente de temps à autre un résumé de ses conclusions sous la forme d’“enseignements tirés” pour la branche Développement d’Oracle.

Oracle Labs

La mission d’Oracle Labs est simple : identifier, explorer et transférer les nouvelles technologies ayant le potentiel d’améliorer considérablement les logiciels Oracle, les services Oracle Cloud et les activités opérationnelles de l’entreprise. Les chercheurs d’Oracle Labs recherchent de nouvelles approches et méthodologies, s’attaquant souvent à des projets à haut risque ou très incertains, ou difficiles à traiter au sein d’un service de développement produit.

L’engagement d’Oracle en matière de Recherche et développement est un facteur déterminant dans le développement de technologies lui ayant permis de se tenir à l’avant-garde du secteur informatique. Bien que de nombreuses technologies de pointe d’Oracle naissent dans ses services de développement produit, Oracle Labs est le seul service d’Oracle exclusivement dédié à la recherche.