Sécurité

Securité OracleNotre constat sur la Sécurité des bases de données

Depuis 15 années, nous intervenons dans le domaine de la gestion des bases de données Oracle. Sur cette période, nous avons constaté que la majorité des entreprises sécurisaient les accès à leur système d’information via des firewalls et autres contrôles d’accès. Cependant nombre d’entre elles négligeaient la sécurité des principaux éléments de stockage des données.

Notre constat est le suivant :

  • Les bases de données servant au stockage des informations sont rarement protégées et lorsqu’elles le sont, elles disposent encore de nombreuses failles permettant l’accès aux données.
  • Les logiciels de gestion de bases de données ne disposent que rarement de politique de patching, ouvrant ainsi de nombreuses possibilités d’accès.
  • Les applications sont rarement considérées comme des points d’entrée permettant d’accéder à des données importantes (mots de passe, données sorties du contexte applicatif)
  • Les mots de passe permettant l’accès aux données peuvent être généralement facilement devinés.
  • Les données des bases, qu’elles soient internes c’est à dire stockées en bases, ou externalisées (sauvegardes, exports, rapports etc.) sont rarement chiffrées.

Notre constat est également celui de sociétés plus conséquentes comme VERIZON qui, tous les ans, sort son rapport Data Breach Investigations Report.

Dans ce rapport, on pourra constater que :

  • 81% des attaques sont relatives à des mots de passe trop faibles ou volés
  • 1/4 des attaques proviennent d’acteurs internes à la structure
  • La majorité des personnes intervenant sur le système d’information se basent sur ce qu’ils ont toujours fait sans se remettre en question.

Nous proposons donc tout un ensemble de services autour de la sécurité des bases de données.

 

Securite OracleNotre offre sécurité des bases de données

Comme indiqué, cette offre est uniquement ciblée sur la sécurité des bases de données. Quand nous réalisons un test de pénétration, il est seulement axé sur une ou plusieurs bases de données (et serveurs).

Audits de sécurité

Lors d’un audit de sécurité, nous allons procéder à l’observation du paramétrage de la base, des accès, des mots de passe etc. Ceci vous donnera une idée du risque encouru.

Au-delà des détails techniques, le résultat de l’audit vous donnera une idée synthétique des éléments suivants :

  • Estimation du nombre et de la gravité des vulnérabilités détectées
  • Estimation de la facilité à détourner des données (par des attaques externes et/ou internes par exemple). Cette estimation est basée uniquement sur les résultats de l’audit, une confirmation pouvant être obtenue par un test de pénétration.

Ainsi, au terme de la prestation, vos décideurs détiendront tous les éléments pour agir en conséquence sur les points prioritaires, et les équipes techniques disposeront de l’ensemble des éléments de faille.

En complément, et avec votre collaboration, nous serons en mesure de chiffrer les pertes possibles dans les configurations auditées.

Audits de code

Le code informatique, qu’il soit exécuté en dehors de la base de données (Java, .Net, Perl, Python etc.) ou directement dans la base de données (Java, PLSQL) peut constituer des failles permettant l’exécution de code arbitraire. Ce code peut être la cause de fuite de données, de déni de service notamment.

Nos prestations d’audit de code vont vous permettre de savoir si votre code est vulnérable à des processus d’injection de code arbitraire permettant notamment la fuite de données.

Dans la mesure où nous sommes focalisés sur la base de données, nous réalisons nos audits de code uniquement sur les couches d’accès aux données.

En complément de ces audits de code, nous sommes en mesure de vous conseiller sur les architectures logicielles au sein de votre base, mais également d’assurer le support au développement en vue de durcir vos plateformes sur les aspects code.

Tests de pénétration

Lors d’une prestation de test de pénétration, notre but est simple : pénétrer au sein de vos bases de données. Ainsi, une fois entrés, nous tentons d’en extraire un maximum d’informations. Cette démarche vous permet alors de connaitre, par un test à l’aveugle, le volume d’informations pouvant être volées par une personne mal intentionnée. Bien sûr, nous n’exploitons pas cette extraction et les données vous sont ensuite restituées.

En amont de ce processus, nous définissons ensemble le cadre de cet audit, puis les conditions d’accès, et enfin les bases que vous souhaitez tester. Par exemple, les conditions d’accès peuvent être : une plage d’adresses IP, un nom de serveur accompagné le cas échéant d’un port, ou plus le nom d’un serveur, son port d’accès, et le nom du SID à tester.

Puis nous réalisons le test et enfin, nous vous offrons une restitution de ce test.

Le déroulement de ce test est à votre guise. Vos équipes opérationnelles peuvent être tenues informées ou non de la tenue de ce test.

Analyse de données Forensic

L’analyse Forensic est l’analyse de vos systèmes dans le but de détecter les fuites de données. Cette analyse peut se faire préventivement ou en réaction si vos données ont déjà été victimes d’un vol.

Nos prestations sur l’analyse Forensic sont les suivantes:

  • Vous avez des doutes ? Dans ce cas, nous réalisons des audits des bases  afin de s’assurer si des points de contournements ont été mis en place frauduleusement. Ou encore, si des connexions douteuses ou des fuites d’informations ont pu avoir lieu.
  • Vous avez été victime d’une intrusion ? Généralement, les attaques sont menées de façon à effacer le maximum de traces. Nous réalisons les analyses visant à récupérer le plus grand nombre de traces de l’attaque. Nous pouvons alors remonter le cheminement de cette dernière et dans le cas de destructions plus importantes, nous tentons la récupération du maximum d’informations perdues (avec ou sans backup).

Enfin, comme il “vaut mieux prévenir que guérir”, nous vous proposons de réaliser toutes prestations de conseil et d’audit afin de garantir la conservation d’un maximum d’informations (audit etc.), ceci dans le cas d’une attaque visant à compromettre les données de vos bases.

SecuritePartenaires

PREMISEO est le distributeur en France de la solution PFCLScan développée par Pete Finnigan.

La solution PFCLScan permet en très peu de temps de réaliser un tour complet de la sécurité de vos bases de données Oracle. Ainsi avec la solution PFCLScan, nous pouvons réaliser vos audits de bases à moindre coût.

De plus, nous sommes en mesure de vous former à la solution afin que vous soyez ensuite autonomes sur vos audits de sécurité.

Pete Finnigan est un expert mondialement connu dans le monde de la sécurité Oracle. Il intervient fréquemment lors de conférences internationales et est membre du réseau OakTable qui regroupe la plus forte concentration d’experts techniques du monde Oracle.

PFCLScan

Plus d’informations sur les sites suivants :