Toolinux Linto.AI OpenPAAS OBM Hubl.IN Linagora

Assurer la sécurité des bases de données non relationnelles

mardi 30 janvier 2018

Cependant, l’année 2017 a vu plusieurs bases de données des plus populaires subir de graves attaques de ransomware. Suite à l’effet cumulé d’erreurs des utilisateurs et de choix de conception peu pertinents de la part des fournisseurs, des dizaines de milliers de bases de données se sont retrouvées infectées — et, pour beaucoup, complètement effacées.

L’ampleur de ces piratages a braqué les projecteurs sur la question de la sécurité des outils NoSQL. Cependant, il serait faux de considérer que ces bases de données souffrent fondamentalement d’une pénurie de sécurité. Bien au contraire, elles peuvent être tout aussi bien protégées que leurs équivalents transactionnels et analytiques, si les utilisateurs se conforment aux bonnes pratiques et que les fournisseurs NoSQL adoptent plus de fonctionnalités sécurisées par défaut.

Quelles sont donc les bonnes pratiques de cyber-sécurité en matière de NoSQL ?

Eh bien, elles ressemblent beaucoup à celles qui s’appliquent à la cybersécurité des systèmes informatiques en général. Avant toute chose, une meilleure protection des informations nécessite un changement d’état d’esprit : les outils technologiques, les processus et les équipes doivent être rapprochés pour collaborer afin d’assurer la sécurité de l’ensemble. Le NoSQL ne déroge pas à ce principe. Toute base de données NoSQL doit respecter les règles de base énoncées ci-dessous, qui n’ont rien de particulièrement complexes ou chronophages :

- Choisir un bon fournisseur est un point essentiel. Le choix d’une solution professionnelle qui intègre déjà la sécurité au centre de ses services, au lieu d’en faire un simple complément, soulagera grandement le développeur et pourra faire la différence face à un potentiel piratage. Une base de données aux fonctionnalités sécurisées par défaut facilite beaucoup le respect des bonnes pratiques et évite aux utilisateurs maladroits de commettre des impairs ;
- Au moment d’évaluer la sécurité d’une base de données, les organisations doivent en priorité s’assurer de l’exhaustivité des techniques de sécurité de bout en bout par le fournisseur, de l’existence de politiques de signalement et de gestion des vulnérabilités claires et de la facilité d’implémentation des fonctionnalités de sécurité. Comparées aux bases de données existantes, les bases NoSQL sont relativement récentes, et en progrès constant ; il est donc d’autant plus important de bien comprendre la feuille de route de sécurité de vos outils ;
- N’exposez JAMAIS directement une base de données sur Internet : c’est la règle d’or pour assurer votre protection. Un pare-feu solide est un outil essentiel pour toute stratégie de sécurité. Tous vos nœuds doivent être stockés derrière un pare-feu connecté à la base de données afin de sécuriser l’accès à vos informations sensibles. Une vaste majorité des utilisateurs de bases NoSQL victimes de piratages cette année (si ce n’est tous) n’en avaient pas tenu compte ;
- Le système d’exploitation du serveur doit être gardé à jour, avec les derniers correctifs de sécurité. WannaCry et Spectre/Meltdown, deux moments charnières pour le secteur de la cyber-sécurité, sont des exemples édifiants de l’importance d’une bonne gestion des correctifs. On imagine sans peine l’étendue des dégâts qui auraient pu être évités si toutes les machines concernées avaient été parfaitement à jour ;
- Les bases de données “par défaut” et les exemples de bases de données doivent tous être effacés, sans exception. L’expression “par défaut” n’est jamais très appréciée par le personnel de sécurité — et ce n’est pas pour rien. Dans toute phrase qu’on puisse imaginer, elle peut être remplacée par “mal protégé” : mots de passe par défaut = mots de passe mal protégés, paramètres par défaut = paramètres mal protégés etc. ;
- Dans le même ordre d’idées, toute organisation devrait user d’un mot de passe fort et difficile à décrypter pour chacune de ses bases de données. La nature même de l’open source implique que de nombreux installateurs incluent dans leurs logiciels des paramètres de sécurité obsolètes ou peu judicieux — y compris des mots de passe par défaut. Les entreprises doivent donc se montrer d’autant plus vigilantes au moment de se lancer dans un nouveau projet ;
- Protégez vos données sur stockage et en transit : une entreprise ne cesse de transférer des données en interne et en externe, ce qui risque de les exposer à des tiers non autorisés. Face à cela, les administrateurs peuvent protéger les données en transit en imposant des connexions SSL pour les échanges client-serveur et serveur-serveur, et sécuriser celles qui sont stockées via le cryptage du système de fichiers ou par d’autres outils de cryptage plus perfectionnés ;
- Enfin, autre point essentiel : si vous trouvez tout de même une faille de sécurité, signalez-la immédiatement afin d’aider l’ensemble des utilisateurs. Le silence collectif ne profite qu’aux hackeurs.

Bien sûr, de nouvelles failles de sécurité et de nouvelles vulnérabilités continueront à apparaître. La raison en est que tout produit est conçu en partant d’une série d’hypothèses de base ; les failles et les problèmes de sécurité naissent d’une exploitation malveillante de celles qui sont erronées. Il est donc très difficile de prévenir toutes les erreurs possibles. Pour y parvenir, il est important de comprendre et d’accepter que les hackeurs ne cessent de se perfectionner, développant constamment de nouvelles techniques, tactiques et procédures pour nuire aux entreprises. Face à la pression constante d’agresseurs prêts à tout pour s’emparer de ces données, une société doit investir sans cesse dans la sécurité, tout en la mettant en avant par la formation des équipes et l’application des bonnes pratiques.

Un changement d’état d’esprit est également nécessaire pour que le respect des règles de sécurité devienne une responsabilité partagée aux yeux de tous. Cela concerne les développeurs en première ligne dans le web design, le design mobile et le design d’applications, ainsi que le directeur informatique et les divers experts technologiques actifs au sein de l’entreprise — qui ont peut-être justement fait le choix d’une plateforme NoSQL dans le cadre du projet initial. Quant aux fournisseurs eux-mêmes, les organisations leur confient leurs données et il est de leur responsabilité de se montrer à la hauteur de cette tâche. Pour rassurer leurs utilisateurs sur la protection de leurs données, ils doivent faciliter au maximum l’accès à une sécurité efficace en proposant des services sécurisés par défaut, ne nécessitant aucune étape supplémentaire qui représenterait une contrainte ou une source de confusion pour l’utilisateur.

Il y aura certainement encore des violations de données NoSQL à l’avenir, mais il faut espérer que le nombre de piratages subis lors des événements de 2017 représentera un utile rappel à l’ordre, en 2018 et au-delà. Si les utilisateurs respectent les conseils énoncés ci-dessus et prennent plus au sérieux la sécurité de leurs outils NoSQL, nul doute que l’année à venir commencera sous de meilleurs auspices.

Perry Krug