Comment protéger les bases de données ?
Un administrateur de base de données gère une base de données sur un progiciel de gestion intégré.
Il aimerait copier des données auxquelles il a accès, soit en les lisant directement dans les tables, soit en se connectant interactivement au système.
Il est en conflit avec sa hiérarchie et décide de passer à l’action, au cas où….Il modifie temporairement le mot de passe, il désactive le journal de vérification et manipule les documents de changement.
Pour éviter ce scénario catastrophe, le vol des données, la direction des systèmes d’information aurait dû prendre les mesures suivantes : cryptage des flux de données ; configuration sûre du serveur et du système d‘exploitation ; mise en place d‘un concept de droits d‘accès ; contrôle des accès au bâtiment et formation des collaborateurs.
On n’est jamais trop prudent, surtout en utilisant des progiciels de gestion intégrée complexes qui n’ont pas prévu la protection des données au moment de la conception du projet !
Recommandations
Le maître du ficher est responsable de la sécurité des données qu’il traite. Il doit évaluer les risques concrets et prendre des mesures adéquates. Il ira, cas échéant, jusqu’à interdire aux personnes autorisées de se munir de leur téléphone portable ou d’une clé USB.
Ressources
Voir le guide du PFPDT: