Comment sécuriser une base de données
Les bases de données contiennent les actifs les plus critiques des organisations. Qu’il s’agisse d’informations personnelles identifiables (PII) sur les employés, de propriété intellectuelle sur l’entreprise, d’informations financières, de stratégie concurrentielle ou d’informations privées sur les clients, la protection de ces actifs est vitale pour garantir la conformité aux réglementations de plus en plus nombreuses du gouvernement et de l’industrie en matière de protection et de sécurité des données, et pour le bien-être de la réputation de l’entreprise. Les bases de données compromises et les violations de données sont souvent associées à de lourdes amendes, sans parler des coûts de remédiation, et à une perte de confiance des consommateurs.
Quels sont les principaux défis ?
Alors que les entreprises utilisent de plus en plus d’informations pour gérer leurs activités, le volume de données et le nombre de bases de données ne cessent d’augmenter. Il devient de plus en plus difficile de s’assurer que les diverses bases de données sont protégées de manière cohérente, quel que soit l’endroit où elles sont hébergées (sur site, dans le Cloud, dans plusieurs Clouds ou dans des environnements hybrides). La sécurisation des clés cryptographiques qui sont utilisées pour chiffrer et protéger la confidentialité des données est d’une importance critique. Cela représente un défi de gestion des clés qui est fondamental pour garantir une stratégie de sécurité des bases de données solide. La gestion évolutive des clés permet aux entreprises de contrôler les clés de chiffrement dans l’ensemble des bases de données, protégeant ainsi les actifs les plus sensibles de l’entreprise et facilitant la conformité réglementaire.
Comment sécuriser une base de données
Pour sécuriser efficacement les bases de données, les organisations doivent appliquer divers outils et technologies. L’objectif est de protéger la confidentialité et l’intégrité des données, de s’assurer qu’elles ne sont accessibles qu’aux utilisateurs et aux applications autorisés à y accéder, et d’empêcher tout le monde d’accéder aux données, même si les défenses du périmètre échouent. Par conséquent, les entreprises doivent considérer la sécurité des bases de données comme des éléments constitutifs nécessaires pour les aider à contrôler l’accès des utilisateurs et à protéger les données critiques au repos, en transit et en cours d’utilisation, tout en facilitant la conformité réglementaire.
Il existe six options de sécurité différentes pour protéger les données qui résident dans une base de données. Les données peuvent être protégées au niveau du stockage, du système de fichiers, du schéma de la base de données, de l’application, du proxy ou de l’application de l’utilisateur final.
Chiffrement au niveau du stockage
Le chiffrement au niveau du stockage comprend les lecteurs auto-cryptants (SED) qui fournissent un mécanisme pour protéger la confidentialité des données. Les SED commerciaux sont généralement conçus selon des normes telles que le protocole KMIP (Key Management Interoperability Protocol), de sorte que les clés cryptographiques peuvent être gérées de manière externe et cohérente. Les solutions au niveau du stockage sont généralement peu coûteuses et faciles à mettre en œuvre et à administrer. Cependant, elles ne protègent que contre la perte du stockage physique des données.
Chiffrement au niveau du fichier
Le chiffrement au niveau des fichiers comprend des solutions de systèmes d’exploitation natives telles que Microsoft BitLocker ou Linux LUKS, qui peuvent également être complétées par des fonctions de chiffrement externes. Selon la solution, elles peuvent également protéger contre les utilisateurs privilégiés. Les solutions externes dépendent du système d’exploitation et peuvent être plus difficiles à utiliser.
Chiffrement au niveau de la base de données
Le chiffrement au niveau de la base de données est celui pour lequel les fournisseurs reconnus tels que Microsoft SQL, Oracle MySQL et d’autres fournissent un chiffrement transparent de la base de données (TDE) sur site et dans le Cloud avec AWS, GCP, Microsoft Azure et Oracle Cloud, entre autres. Ce niveau offre une bonne protection contre la perte de données, mais la gestion des clés est généralement faible. Des gestionnaires de clés tiers peuvent être utilisés pour améliorer cette capacité.
Chiffrement au niveau de l’application
Le chiffrement au niveau des applications peut être activé à l’aide de technologies telles que la tokenisation et le chiffrement avec conservation du format pour protéger les données sans en modifier la structure. Ces mécanismes offrent une sécurité élevée et ne nécessitent pas de modifications des applications, mais ils sont généralement personnalisés par nature et plus difficiles à mettre en œuvre.
Chiffrement par couche proxy
Le chiffrement par couche proxy fournit une interface transparente entre l’utilisateur et l’application Web qui traite les données. Il assure généralement une sécurité robuste sans qu’il soit nécessaire de modifier l’application. Cependant, il constitue un point de défaillance unique, et les performances et l’évolutivité peuvent être complexes.
Chiffrement des applications de l’utilisateur final
Le chiffrement des applications de l’utilisateur final offre le plus haut niveau de protection avec une sécurité de bout en bout, mais il nécessite des interfaces dédiées, ce qui le rend plus difficile à mettre en œuvre.
Meilleures pratiques
Il est important d’avoir la possibilité de traiter la sécurité des bases de données sur plusieurs fronts. La consolidation des capacités de gestion clés de diverses bases de données et magasins de données protège les données contre l'exposition et protège l'organisation contre les responsabilités. Pour gérer, faire tourner et partager les clés de chiffrement en toute sécurité, la gestion centralisée des clés doit être conforme à la norme KMIP pour faciliter le déploiement. Pour les bases de données fonctionnant dans le Cloud, il est possible d’obtenir un meilleur contrôle des clés et des données en adoptant une approche de type bring your own key (BYOK) qui permet à l’entreprise de générer, gérer et utiliser ses propres clés de chiffrement auprès des fournisseurs de services Cloud. Les solutions de gestion des clés doivent toujours isoler les clés des données cryptées pour réduire les risques et garantir la conformité. Les modules matériels de sécurité (HSM) fournissent une racine de confiance pour la génération, la protection et la gestion du cycle de vie des clés de chiffrement des bases de données. L’application de politiques de sécurité cohérentes dans toutes les bases de données permet d’atténuer les pratiques manuelles sujettes aux erreurs. La gestion de l’accès des utilisateurs et des applications garantit que les données ne sont accessibles qu’aux entités autorisées. Enfin, la mise en place de politiques de sécurité cohérentes facilite l’audit et la conformité aux réglementations sur la protection des données et aux mandats sectoriels.
La législation sur la protection des données, telle que le Règlement général sur la protection des données (RGPD ) et la loi californienne sur la protection de la vie privée des consommateurs (CCPA ), ainsi que les normes industrielles telles que la Norme de sécurité des données des cartes de paiement (Payment Card Industry Data Security Standard/PCI DSS) exigent spécifiquement le chiffrement comme mécanisme de protection des données sensibles.
Pour en savoir plus sur la gestion des clés pour le chiffrement des bases de données, cliquez ici.