Introduction

Le contrôle d'accès fait référence aux stratégies, procédures et outils qui régissent l'accès aux ressources et leur utilisation. Par exemple, il peut s'agir d'un service cloud, d'un serveur physique, d'un fichier, d'une application, de données dans une base de données et d'un périphérique réseau.

• Le moindre privilège est une approche orientée système dans laquelle les autorisations utilisateur et les fonctionnalités système sont soigneusement évaluées et l'accès est limité aux ressources requises pour que les utilisateurs ou les systèmes puissent effectuer leurs tâches.
• Le refus par défaut est une approche de configuration orientée réseau qui refuse la transmission de tout le trafic, puis autorise spécifiquement uniquement le trafic requis en fonction du protocole, du port, de l'adresse réseau source et de l'adresse réseau de destination.

Politiques et pratiques de contrôle d'accès d'Oracle

La Politique de contrôle d'accès logique d'Oracle est applicable aux décisions de contrôle d'accès de tous les collaborateurs d'Oracle et à toute facilité de traitement de l'information pour laquelle Oracle dispose d'une autorité administrative. La présente politique ne s'applique pas aux comptes utilisateur final client pour les services cloud Oracle. Les contrôles d'accès logiques pour les applications et les systèmes doivent fournir des fonctionnalités d'identification, d'authentification, d'autorisation, de responsabilité et d'audit.

Gestion des accès utilisateur

L'accès utilisateur Oracle est provisionné via un système de provisionnement de compte intégré à la base de données des ressources humaines d'Oracle. Les privilèges d'accès sont accordés en fonction des rôles fonctionnels et nécessitent une approbation de la direction.

Gestion des privilèges

L'autorisation dépend de la réussite de l'authentification, car le contrôle de l'accès à des ressources spécifiques dépend de l'établissement de l'identité d'une entité ou d'un individu. Oracle exige que les décisions en matière d'autorisation pour l'octroi, l'approbation et la revue de l'accès reposent sur les principes suivants :

• Besoin de savoir : L'utilisateur a-t-il besoin de cet accès pour sa fonction ?
• Séparation des tâches : l'accès entraînera-t-il un conflit d'intérêts ?
• Le moindre privilège : L'accès est-il limité aux seules ressources et informations requises pour un objectif commercial légitime ?

Gestion des mots de passe

L'utilisation des mots de passe est régie par la Politique des mots de passe d'Oracle. Oracle applique des règles strictes en matière de mots de passe (y compris les exigences de longueur et de complexité) pour le réseau, le système d'exploitation, la messagerie électronique, la base de données et les autres comptes Oracle afin de réduire les probabilités que des intrus accèdent à des systèmes ou des environnements grâce à l'exploitation des comptes utilisateur et des mots de passe associés. Les mots de passe générés et affectés par le système doivent être modifiés immédiatement à la réception.

Le personnel d'Oracle est tenu de respecter les règles relatives à la longueur, à la complexité et aux autres exigences relatives aux mots de passe. Les collaborateurs doivent garder leurs identifiants d'authentification, tels que les mots de passe, confidentiels et sécurisés à tout moment et ont interdiction de partager leurs mots de passe de compte individuels avec quiconque par tout moyen. Il est interdit aux collaborateurs d'utiliser tout mot de passe de système ou d'application Oracle pour les applications ou systèmes non Oracle.

Révision et révocation d'accès

Oracle exige des examens réguliers des comptes de réseau et de système d'exploitation en ce qui concerne les niveaux d'accès des collaborateurs appropriés. En cas de licenciement, de décès ou de démission d'un collaborateur, Oracle prend les mesures appropriées pour mettre fin sans délai au réseau et à l'accès physique.

Contrôles d'accès réseau

Oracle exige des contrôles réseau rigoureux pour la protection et le contrôle des données Oracle et des données clients pendant leur transmission. La stratégie de sécurité réseau d'Oracle établit les exigences en matière de gestion réseau, d'accès réseau et de gestion des périphériques réseau, y compris les exigences d'authentification et d'autorisation pour les périphériques physiques et les systèmes logiciels. Les ports réseau inutilisés doivent être désactivés.