Les attaques contre les sites de commerce électronique ont souligné la vulnérabilité des données sensibles, telles que les numéros de cartes de crédit, ou les profils des patients. Si le cryptage des communications via SSL ou HTTPS permet d’éviter la plupart des attaques externes à l’entreprise, rien n’empêche un employé d’aller se servir directement à la source, c’est-à-dire de pirater le moteur relationnel. “La base de données est une des briques du système d’information où des actes malveillants sont les plus faciles à réaliser”, avertit Paul André Pays, directeur de la société de conseil en sécurité Edelweb, au sein du groupe ON-X Consulting. Une plus grande sécurisation de ce “maillon faible” est pourtant possible. “Si vous craignez des intrusions ?” qui proviennent plus fréquemment de l’intérieur de l’entreprise que de l’extérieur ?”, le cryptage protège non seulement la confidentialité, mais aussi l’intégrité des données.”
Une protection qui a un coût
Les éditeurs de moteurs relationnels ne sont pas présents sur ce segment. Ainsi IBM délègue-t-il à Protegrity cette fonction pour DB2. Seul Oracle s’est intéressé récemment à cette problématique, à l’occasion de la sortie de 8i. Mais, comme RSA, il s’agit d’un outil de développement et non d’un logiciel prêt à l’emploi. Les éditeurs spécialisés intègrent des solutions de cryptage classiques, type DES (Data Encryption Standard) ou ses successeurs. Le brouillage des données peut être effectué aussi bien sur l’ensemble des tables que sur certaines colonnes. Mais cette protection a un coût. Tout d’abord, les performances sont affectées. “Les clients qui utiliseront notre produit pour un volume limité de transactions n’auront à subir qu’une baisse réduite du temps de réponse, assure-t-on chez Protegrity. Mais cette baisse sera plus importante pour des routines exécutant des requêtes sur des millions de lignes.” Chez Application Security, on prévient même qu’une mauvaise méthodologie de cryptage peut rendre inutilisable la base de données. “Dans le cas d’un système correctement dimensionné sans cryptage, il faudra prévoir de doubler la puissance pour le prendre en compte, et cela aura forcément un coût non négligeable”, pointe Paul André Pays.En revanche, le nombre d’utilisateurs pouvant accéder aux informations ne change pas. L’administrateur dispose, chez Protegrity et Application Security, d’une console de gestion qui permet de gérer les droits d’accès en en définissant les rôles ou les groupes de travail. Pour ceux qui auraient des doutes sur l’honnêteté de l’administrateur, DbEncrypt se sert de mots de passe pour crypter les clés, rendant impossible la lecture des données, même si l’administrateur supprime lesdits mots de passe. Certes, rien n’empêche totalement que des administrateurs très motivés accèdent aux données. “Si l’on a réduit le nombre de personnes qui peuvent accéder aux informations sensibles de cinq cents à trois, et que l’on fasse en sorte que ces trois personnes laissent des traces à chaque fois qu’ils se connectent, c’est déjà une amélioration”, explique Paul André Pays.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
