Prévenir efficacement le vol de données
En général, il n'existe pas "la" solution qui pourrait à elle seule garantir une sécurité totale pour l'ensemble du système SAP. Oracle propose bien entendu des solutions dans le domaine des bases de données (en plus des fonctionnalités déjà mises en œuvre par SAP au niveau des applications), mais également des solutions au niveau de l'infrastructure - c'est-à-dire en dessous des applications et des bases de données - ainsi qu'au niveau de la superstructure - pour toutes les applications et bases de données. Dans le domaine de l'infrastructure, il s'agit en particulier de systèmes d'exploitation sécurisés.
Dans le domaine de la superstructure, il s'agit de solutions pour la gestion des identités et des accès, qui posent une couche sur toutes les applications, y compris SAP.
Système d'exploitation durci
Avec Oracle Solaris et Oracle Linux, il existe deux systèmes d'exploitation qui conviennent à l'exploitation de SAP (serveur d'applications et base de données).
Tous deux offrent une gamme complète d'outils et de technologies pour protéger les environnements informatiques et réduire les risques, y compris le contrôle des pare-feu et les politiques de sécurité pour la gestion des accès.
En prenant l'exemple d'Oracle Solaris, nous présentons ci-après quelques stratégies et fonctionnalités qui constituent un système d'exploitation sûr.
Avec Oracle Solaris, il est possible de différencier finement les droits non seulement pour les utilisateurs et les applications, mais aussi pour les administrateurs. De cette manière, il est exclu qu'un administrateur puisse à lui seul paralyser l'ensemble du système d'exploitation.
En outre, le système d'exploitation fournit une authentification sécurisée de tous les sujets actifs et crypte la communication entre les points d'extrémité. Oracle Solaris s'intègre en outre de manière transparente avec d'autres architectures de sécurité.
Le système vérifie en outre de manière autonome son état de sécurité et dispose d'une virtualisation intégrée avec Oracle Solaris Zones.
Une bonne confiance, un meilleur contrôle
La gestion des identités et des accès va bien au-delà de la simple garantie que les employés autorisés ont accès à leurs applications.
Il est nécessaire d'avoir une compréhension globale de qui a un accès physique et logique aux installations, aux réseaux et aux informations. Nous ne citerons ici que quelques-unes des tendances informatiques actuelles : systèmes d'exploitation mixtes et virtualisés, installations d'applications et de bases de données avec différentes gestions d'utilisateurs, architectures orientées services, informatique en nuage, informatique mobile (y compris BYOD), gouvernance informatique, directives de conformité, sans oublier l'Internet des objets.
Tout cela doit être lié de manière cohérente à une approche de la sécurité pour le système SAP, tout en conservant la flexibilité d'intégrer d'autres plateformes.
Suite pour la gestion des identités sous SAP
La suite Identity Governance d'Oracle fonctionne par exemple de manière transparente avec la pile GRC de SAP. Cela permet de respecter les lois selon lesquelles les données SAP sensibles doivent être classifiées.
En même temps, il garantit qu'il n'y a pas de menace de droits expirés ou de comptes non autorisés et que les activités des administrateurs sont consignées.
Oracle Identity Manager, inclus dans la suite, aide les entreprises à gérer les identités et à attribuer des droits aux utilisateurs. Il dispose de connecteurs spéciaux pour SAP ERP (Abap et Java), supporte des scénarios SAP HCM spécifiques, s'intègre à SAP BusinessObjects Access Control (V 5.3 et V10) pour la validation spécifique à SAP de la ségrégation des droits. Parallèlement, il utilise les structures d'organisation SAP comme base pour le développement d'un modèle de rôle métier à l'échelle de l'entreprise.
Les droits d'accès sont configurés via la suite Oracle Access Management. Elle répond à toutes les exigences, y compris des fonctions modernes pour l'octroi d'accès à partir de terminaux mobiles, la gestion des utilisateurs via les réseaux sociaux et l'intégration d'applications cloud et sur site.
Dans l'environnement SAP en particulier, la suite Access Management d'Oracle peut être utilisée comme solution WebSSO complète pour les portails d'entreprise SAP-NetWeaver, qui fonctionne également avec des applications de tiers.
Mécanismes de protection de la base de données
Les contrôles d'accès prennent également de l'importance car, avec la consolidation des centres de données et des systèmes jusqu'au niveau des bases de données, les conséquences d'un seul vol de données ont massivement augmenté.
De plus, grâce à l'externalisation et à l'hébergement externe, de plus en plus de personnes qui ne sont que vaguement ou plus du tout intégrées dans une entreprise ont accès aux bases de données.
Avec Oracle Advanced Security et Oracle Database Vault comme compléments au serveur de base de données, le risque de vol de données peut être considérablement minimisé. Tous deux peuvent également être utilisés sans problème dans des environnements SAP.
Leurs mécanismes de protection interviennent lorsque des criminels tentent d'obtenir un accès direct à la base de données en contournant la couche applicative.
Les criminels pourraient par exemple essayer de se procurer des copies des fichiers de la base de données, par exemple une sauvegarde, et d'en lire le contenu. Le cryptage des données permet de remédier à ce problème.
Le package complémentaire Oracle Advanced Security comprend à cet effet les fonctions Transparent Data Encryption et Backup Set Encryption, qui peuvent être utilisées dans les environnements SAP depuis la version 11g de la base de données.
Gestion des privilèges contre le danger de l'intérieur
Plus un utilisateur a de droits, plus le danger potentiel qu'il représente est élevé. Certes, une distinction est faite entre les privilèges système et les privilèges objet, afin de permettre à un administrateur de gérer les objets de la base de données, mais pas d'accéder aux données qu'ils contiennent.
Toutefois, selon le concept de sécurité traditionnel, d'une part, suffisamment de privilèges système entraînent des privilèges objet implicites. D'autre part, il existe un risque que l'attribution des droits d'accès ne soit plus contrôlable, car les administrateurs peuvent se servir eux-mêmes.
Oracle Database Vault permet une nouvelle gestion des privilèges, qui établit une séparation beaucoup plus stricte entre les privilèges système et les privilèges objet et permet la mise en place de règles d'accès différenciées, dépassant la simple attribution objet-utilisateur.
Les droits d'accès peuvent donc être liés à des adresses IP, des horaires ou des applications, ou même imposer le principe du double contrôle en "forçant" la collaboration de plusieurs collaborateurs.
Oracle Database Vault n'est au départ qu'une "boîte à outils" qui permet aux administrateurs de la sécurité de développer des règles en fonction des exigences et des directives de leur entreprise. Pour les clients SAP, Oracle met toutefois déjà à disposition une politique par défaut qui couvre généralement 70 à 90 pour cent des exigences.
Lorsque l'on entend régulièrement parler de grands vols de données, on se demande toujours après coup si le vol de données n'aurait pas pu être évité.
Une chose est sûre : si l'on utilise tous les composants du système d'exploitation relatifs à la sécurité, si l'on met en œuvre, applique et maintient une solution de gestion des identités et des accès et si l'on installe également des mécanismes de protection au niveau des bases de données, le vol de données devient assez improbable.
La protection des avantages concurrentiels et de la propriété intellectuelle devrait en valoir la peine pour les entreprises - sans parler de la perte d'image qui les menace.
DE
EN
ES
FR
