Chiffrement de champs sensibles de bases de données

Suite aux divulgations d’informations sensibles ou confidentielles qui ont récemment défrayé la chronique, le chiffrement des bases de données apparaît comme la « protection de la dernière chance ». Le spécialiste de la protection des données, Cortina, introduit en France la solution de chiffrement de champs sensibles Defiance DPS (Data Protection System), qui permet également une « ségrégation des rôles », souvent souhaitée par les DBA.

Les bases de données en réseau sont désormais le cœur des entreprises. C’est là que résident les actifs de valeur, les informations qui sont la base de l'activité, les données financières, les informations clients, les brevets, les informations de ressources humaines ...

Le chiffrement de ces informations apparaît aujourd’hui – à juste titre – comme une mesure de protection de bon sens. Outre le fait qu’elle constitue l’ultime rempart contre les assaillants qui auraient réussi à s’affranchir des multiples barrières élevées à leur encontre, cette technique présente l’intérêt notable de traiter également le cas des menaces internes.

En Californie, la loi fait obligation aux entreprises hébergeant des données concernant des citoyens américains de faire état auprès de ses clients de toute faille ayant permis d’accéder à ces informations – et ceci même si aucune intrusion n’est avérée ! On imagine sans mal l’impact désastreux de chaque manquement sur l’image de marque de l’entreprise en question, sans compter les risques juridiques. Une lecture attentive de la loi Californienne permet de découvrir que les entreprises ayant pris soin de chiffrer ces données sont exemptées de cette contrainte.

On rappellera qu’en fin d’année 2005, une société s’est vue infligée par la FTC une amende de dix millions de dollars, complétée par l’obligation de constituer un fond de dédommagement des victimes d’un montant de cinq millions de dollars, pour n’avoir pas su répondre aux exigences de cette loi.

Plus près de nous, en Europe et en France, la loi Informatique & Libertés fait obligation à toute entité hébergeant des données à caractères personnels, de « prendre toute précaution utiles… pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (art.34 de la loi modifiée), avec à la clé des sanctions très lourdes pour le responsable de traitement. S'agissant des mesures de sécurité mises en œuvre par les hébergeurs du DMP (Dossier Médical Personnalisé), la CNIL, dont c'est une recommandation constante en matière de sécurisation des bases de données sensibles, estime nécessaire que les bases de données des hébergeurs de données de santé fassent l'objet d'un chiffrement complet pour assurer de façon satisfaisante la confidentialité des données, ajoutant qu’ « Une architecture de sécurité reposant uniquement sur le chiffrement des canaux de télétransmissions et sur un contrôle d'accès au système informatique n'est pas suffisante au regard de la sensibilité des données médicales ».

C’est dans ce cadre que la société Cortina, spécialiste de la protection et la sécurisation des données, a sélectionné l’offre Defiance DPS (pour Data Protection SystemTM) du spécialiste et pionnier Protegrity.

« Outre le fait qu’elle réduise l’exposition aux risques, la solution DPS répond également à un souhait de plus en plus fréquent, celui de mieux encadrer les pouvoirs des administrateurs des bases de données » note Pascal Orset, responsable du développement stratégique de Cortina. En effet, les DBA (DataBase Administrator) ont souvent par nature un accès total et incontrôlé à l’ensemble des informations de l’entreprise, alors que nombre d’entre eux sont souvent des prestataires externes.

Pour répondre à ce besoin, la solution Defiance DPS assure le chiffrement des seuls champs sensibles et un accès sélectif, ce qui permet également d’assurer un haut niveau de performances.

«Notre choix a été motivé principalement par l’approche retenue par l’éditeur, qui a opté pour une stricte ségrégation des rôles : l’administrateur de la base de données peut effectuer l’intégralité de ses tâches, sans jamais pouvoir agir sur les règles de sécurité. À l’inverse, dans la plupart des solutions de chiffrements proposés avec les SGBD, il est non seulement possible à un DBA d’accéder aux informations protégées, mais également d’effacer ses traces en modifiant le rapport d’audit ! » ajoute Pascal Orset. Cette analyse rejoint l’avis de Forrester, lors de son étude comparative DataBase Encryption Solution, publiée à l’automne 2005.

La solution DPS protège une large gamme de bases de données : DB2, SQL, Oracle, Informix, Sybase, Terradata, etc. et permet d’appliquer une politique de sécurité homogène sur une catégorie de données (par exemple des numéros de cartes bleues), où que soient situées ces informations, aussi bien en termes géographiques qu’informatiques.

Totalement intégrée aux bases de données, Defiance DPS est transparent aux applications et se met en œuvre très rapidement, contrairement à la plupart des kits de développement de chiffrement, qui nécessitent l’intervention répétée de développeurs. La solution Defiance DPS bénéficie également des neuf brevets que détient Protegrity dans le domaine de la gestion et la sécurisation des clés de chiffrement, qui représente souvent le point faible de certaines solutions.
Cette offre est mature, puisque elle est issue du produit DataSecure, proposé dès 1999 par Protegrity, l’un des pionniers du chiffrement des bases de données. Suite au rachat de la société Kavado, Protegrity a rebaptisé son portefeuille de solutions sous l’appellation générique Defiance Enterprise, dont Defiance DPS (Data Protection SystemTM) est l’un des composants, le second étant le firewall applicatif Defiance TMS (Threat Management SystemTM), fruit de l’intégration du spécialiste israélien.

Cette offre globale vise la protection de l’information, de sa création à sa destruction, en proposant une protection aussi bien au niveau des applications Web (TMS) que des bases de données (DPS).

Pour Mike Howse, en charge du développement de Protegrity pour l’Europe, l’offre Defiance DPS s’insère à la perfection dans l’offre du spécialiste de la protection des données : « Cortina has a stellar reputation for technical expertise and quality. We’re very pleased to add its security professionals to the Protegrity team ».

L’offre Defiance DPS (Data Protection SystemTM) est d’ores et déjà disponible dans sa version 4.1, à partir de 18.000 euros HT.

À propos de Protegrity Corporation
For more than ten years, Protegrity’s award-winning technology has enabled customers to address and resolve critical security challenges. Protegrity invented the core technology used for data-level encryption and owns key patents for database and application security and protection. Protegrity Corporation delivers end-to-end protection for applications and sensitive data, enabling companies to deploy comprehensive security policies with centralized management and auditing. Protegrity is committed to protecting sensitive data wherever it resides in today’s highly distributed and heterogeneous computing environments. www.protegrity.com

À propos de Cortina
Cortina est une société dédiée à la protection et à la sécurisation de l'information des moyennes et grandes entreprises. Les services et les solutions soigneusement sélectionnés aident les entreprises à mieux protéger leur propriété intellectuelle, leurs communications stratégiques et l'intégrité de leur marque. Grâce à Cortina, elles bénéficient d’une maîtrise accrue de leurs ressources et de leurs moyens, elles disposent d’une mesure des vulnérabilités, elles réduisent leurs risques, elles adaptent leur système d'information aux nouveaux besoins et exigences de leurs clients et utilisateurs. www.cortina.fr