Vulnérabilités des bases de données : où se place la négligence ?
Les administrateurs de bases de données seraient-ils négligents ? En n’appliquant pas les correctifs de sécurité avec célérité, ils feraient le jeu des assaillants. Un arbre bien maigre, qui cache une forêt grandissante de complexités techniques et de budgets sécurité encore et toujours au rabais.
Débat entre praticiens, Daniel BERTHELOT et Pascal BOURSEAU, consultants DBA et notre interviewer chez DIGORA.
Constat français accablant
Personne n’est dupe. L’État a consacré à la cybersécurité un important travail d’enquête, aboutissant au rapport sénatorial du 10 juin 2021, intitulé La cybersécurité des entreprises — Prévenir et guérir : quels remèdes contre les cyber virus ?
De ce rapport, il ressort que nos entreprises, de plus en plus numérisées, sont évidemment de plus en plus cyberattaquées, que le cyberrisque peut être mortel à l’entreprise et que la prise de conscience reste inégale. On y constate une pénurie de ressources humaines, un manque flagrant de culture de la sécurité chez les collaborateurs et des PME sous-équipées pour faire face à la menace. Le rapport regrette en outre l’absence d’un véritable écosystème de la cybersécurité, d’outils adaptés selon la typologie des entreprises et le frein à leurs développements que cause l’actuel droit de la commande publique. C’est vrai, il est courant d’entendre dire que les Français sont de très bons ingénieurs mais de mauvais commerciaux et que la libre concurrence ne leur facilite pas la tâche. Mais il ne s’agit pas que de cela.
De quoi exaspérer tout administrateur de bases de données
Parmi les nombreux cas de compromission, les bases de données, réceptacles des données des plus sensibles aux plus opérationnelles, sont évidemment considérées par les assaillants comme un objectif ultime à atteindre. Elles représentent en outre un cas un peu particulier dans un SI : basées sur des systèmes à accès restreint — à tout le moins sous Unix — elles offrent un sentiment de sécurité mis à mal par des années d’habitudes prises, plus ou moins inadéquates, depuis des époques où le risque cyber était soit rare soit peu exposé.
Plusieurs articles se sont déjà fait l’écho ces dernières années des vulnérabilités affectant les bases de données sur site et rappellent que l’application vigilante des correctifs est un principe général de sécurité. Les commentaires en réaction n’ont pas manqué, rejetant avec force un argument éditeur trop facile à leurs yeux.
Un administrateur de bases de données a certainement de quoi être exaspéré à la lecture de ces articles. Garant, parmi d’autres, d’une sécurité de plus en plus complexe à maintenir, il doit en outre gérer et protéger des assets dont la compromission peut entrainer des dommages aussi majeurs que redoutables. Il doit jongler avec des réglementations de plus en plus rigoureuses dans un cadre devenu inadapté aux nouvelles contraintes.
Parler de négligence, c’est oublier les contraintes de terrain
La sécurité des bases de données ne concerne pas que des actes de malveillance externe. Une compromission peut intervenir à tout moment, depuis l’interne d’abord, souvent en raison d’intérêts personnels. Les administrateurs en tant que responsables sont également plus souvent visés par les tentatives de phishing et doivent redoubler d’attention face aux mails sophistiqués qu’ils reçoivent.
Ils savent devoir restreindre l’accès aux bases et pourtant. Les besoins d’agilité de l’entreprise les poussent, au fil du temps, à accorder de multiples accès, car il faut pouvoir implémenter et faire évoluer les logiciels, opérer les gestes d’exploitation et de production indispensables.
Beaucoup d’administrateurs héritent en outre de systèmes en place depuis des années, pour lesquels aucun audit n’existe. Ne croyez pas que l’absence d’information témoigne d’une insouciance. La volonté de contrôler plus finement les accès et d’en limiter le nombre, aussi forte soit-elle, finit immanquablement par se heurter à la réalité d’un chantier hors normes, trop coûteux, surtout en temps, pour devenir prioritaire. Combien sont-ils à avoir tenté l’exercice à l’occasion d’une montée de version et avoir fait machine arrière ?
Et tout cela sous-tendu par l’existence au sein du SI de tous ces progiciels sans lesquels l’entreprise ne tourne plus et dont le rythme spécifique de mise à jour et d’évolution ne suit que rarement celui des bases de données. Levez la main ceux qui maintiennent encore aujourd’hui des versions non supportées indispensables à un applicatif qui n’évolue plus. Tant que ça ? Voilà la réalité d’une entreprise.
Le prix des mesures d’hygiène
Oui, l’application des correctifs autant que faire se peut, est requise. Mais soyons honnêtes, il existe bien d’autres méthodes pour un pirate de s’introduire dans une base de données. Au même titre que le rapport sénatorial le laisse entendre, il y a au cœur de l’entreprise un refus de voir l’étendue du risque et d’investir en conséquence.
L’exaspération est palpable et se comprend. Les systèmes sont de plus en plus complexes, chaque élément apporte sa vulnérabilité intrinsèque. Toute la difficulté aujourd’hui est de rester pragmatique, de conserver une prudence raisonnable, sans tomber dans une paranoïa à laquelle pourtant l’actualité nous invite et avec elle, la longue liste de pénalités infligées au titre de la réglementation en croissance constante.
L’absence de maîtrise du SI peut donner aux administrateurs l’impression fort désagréable d’être attaquables à chaque instant, pendant que l’accent reste mis sur le fonctionnement des services et leurs évolutions. Or, rien ne changera tant que les administrateurs à la manœuvre n’auront pas plus de temps demain qu’aujourd’hui à consacrer aux correctifs, mais également à toute une série de mesures en soutien. L’arbitrage, le chiffrage des données, le contrôle des accès, l’audit de solutions trop peu sécurisées dont il faudra à terme se séparer, sont autant de mesures d’hygiène du SI, certes gourmandes en ressources (hommes, temps, budget), mais qui demeurent un signal de confiance fort à accorder à l’entreprise qui se les impose. .
S’il doit y avoir négligence, coupable qui plus est, elle commence au plus haut niveau, là où les dotations sont refusées. Le syndicat des entreprises du numérique NUMEUM établit un budget sécurité de l’ordre de 5 à 20 % du budget SI selon les secteurs, pour être valable et ne pas faire de son équipe sécurité et de ses administrateurs des boucs émissaires. C’est également un point à vérifier et un bon conseil à donner à tout ingénieur candidat à un poste en sécurité numérique.