Sécuriser les bases de données

La base de données est un paradoxe : elle héberge les données les plus sensibles de l'entreprise, mais elle est bien souvent laissée pour compte dans les dépenses sécurité. Conseils pour des bases de données plus sûres.

Trop souvent oubliée des investissements sécurité, la très discrète base de données se retrouve pourtant désormais sur le devant de la scène sécuritaire : connectée au site web et à l’intranet elle s’expose de façon croissante à des attaques venues de l’extérieur. Il s’agit là d’une relative nouveauté pour le petit monde du SGBD : “Les bases de données ont été inventées à une époque où la sécurité n’était pas une priorité. Si le monde du client-serveur a su renforcer sa sécurité, celui des bases de données a préféré miser sur l’isolement de la base, qui n’était jamais au contact des utilisateurs mais seulement d’administrateurs compétents. Mais ce n’est aujourd’hui plus le cas”, confirme Bill Maimone, vice-président responsable de l’ingénierie chez Ingres et ex “Monsieur Sécurité” d’Oracle. En outre, loin d’être seule, la base de données est désormais un composant au sein d’une chaîne applicative (frontal web, serveur d’application et base de données) ouverte aux utilisateurs. Cela entraîne de nouveaux risques (injection SQL), auxquels s’ajoutent bien entendu ceux déjà connus (comptes par défaut, mauvaise configuration, droits d’utilisateurs mal définis, etc.).