AUDIT DE SECURITE DE SYSTEME DE GESTION DE BASE DE DONNEES (SGBD)

AUDIT DE SECURITE DE SYSTEME DE GESTION DE BASE DE DONNEES (SGBD)

SYSTEME DE GESTION DE GESTION DE BASE DE DONNEES. 

Définitions des concepts  SGBD

 Un système de Gestion de Base de Données (SGBD) est ensemble des programmes assurant structuration, stockage, maintenance, mise à jour et recherche des données d’une base plus interfaces nécessaires aux différentes formes d’utilisation de la base. En effet, de dernier héberge plusieurs bases de données  BD: Une Base de Données (BD) est un ensemble structuré et permettant le stockage des grandes quantités d’informations/données afin de faciliter son exploitation aux utilisateurs. III.2. Objectifs Les principaux objectifs fixés aux SGBD afin de résoudre les problèmes causés par une gestion sous forme de fichiers sont les suivants :  Indépendance physique (données / programmes) : modifier la structure interne des données, sans toucher les programmes ;  Indépendance logique : pouvoir modifier le schéma conceptuel sans modifier les programmes (lors de rajout d’informations : tables) ;  Manipulation des données : il faut que les données puissent être manipulées à distance par des gens qui n’ont aucune connaissance de la structure interne de la base de données ;  Non-redondance des données : une même donnée ne devrait apparaître qu’une seule fois dans la base ;  Sécurité des données : contrôles des droits d’accès et les reprises sur pannes ;  Intégrité des données : l’administrateur, lorsqu’il définit des données, détermine des contraintes sur l’intégrité des données.  Etc. 

 Les composants d’un SGBD 

Les bases de données relationnelles

 Une base de données relationnelle est une base de données où les informations sont organisées dans des tableaux à deux dimensions appelés des relations ou tables. Les SGBD relationnels sont : MySQL, MS SQL-Server, PostGreSQL, Oracle, SQLite, etc. III.3.b. Les bases de données non relationnelles Une base de données non relationnelles ou encore NoSQL désigne une famille de systèmes de gestion de base de données (SGBD) qui s’écarte tout simplement des bases relationnelles. Nous allons énumérer une liste non exhaustive de ces différents types SGBD NoSQL à savoir : Cassandra, Hbase, Hypertable, OrientDB, MongoDB, CoucheDB, RavenDB, Redis, Riak, Voldemort, etc. III.4. Présentation des différents SGBD III.4.a. Les SGBD relationnels  MySQL: est un système de gestion de base de données relationnelle (SGBDR).  MS SQL-Server: est un système de gestion de base de données (abrégé en SGBD) incorporant entre autre un SGBDR (SGBD relationnel) développé, commercialisé par la société Microsoft et ne fonctionne que sous les OS Windows.  PostGreSQL: est un système de gestion de base de données relationnelle et objet. C’est un outil libre disponible.  Oracle: est un système de gestion de base de données relationnelle (SGBDR) qui depuis l’introduction du support du modèle objet peut être aussi qualifiée de système de gestion de base de données relationnel-objet (SGBDRO). 

SQLite: est une bibliothèque écrite en C qui propose un moteur de base de données relationnelle accessible par le langage SQL. Il est le moteur de base de données le plus distribué grâce à son utilisation dans de nombreux logiciels grand public comme Firefox, Skype, etc.  Firebird: est un serveur de bases de données relationnelles SQL fonctionnant sous Linux, Mac OS X, Unix et Windows. Il est transactionnel multi-niveaux c’est-àdire two-phase commit (la validation se fait en deux phases) sur une transaction partagée sur plusieurs connexions à des bases de données différentes.

Les SGBD

NoSQL ou non relationnels  Orienté document (MongoDB, CoucheDB, RavenDB…) Ces différents serveurs permettent la gestion de collections de documents, composés chacun de champs et de valeurs associées, valeurs pouvant être requêtées (adaptées au stockage de profils utilisateur) ;  Clé / valeur (Redis, Riak, Voldemort) Il est basique, chaque objet est identifié par une clé unique constituant la seule manière de le requêter ;  Orienté colonne (Cassandra, Hbase, Hypertable) Il permet de disposer d’un très grand nombre de valeurs sur une même ligne, de stocker des relations « one-to-many », d’effectuer des requêtes par clé (adaptés au stockage de listes : messages, postes, commentaires, …) ;  Orienté graphe (Neo4J, OrientDB) C’est pour gérer des relations multiples entre les objets (adaptés aux données issues de réseaux sociaux, …). 

Failles de sécurités liées aux différents systèmes 

 Les SGBD relationnelles  MySQL: Attaque par injection MySQL. Cette attaque est basée sur le fait que l’utilisateur peut saisir des données qui modifie la requête SQL utilisé par l’application web.  MS SQL-Server: Accès serveur par compte par défaut, comptes d’accès serveur non sécurisés, rôles et utilisateurs de la base non sécurisés.  PostGreSQL: DoS (Déni de Service)  Oracle: Configuration par défaut (nécessite une action de paramétrage volontaire et réfléchie de l’administrateur), mot de passe par défaut ou visible sur le serveur, accès via une autre base de données…  SQLite: Buffer / integer overflow, injections SQL, XSS, implémentations cryptographiques défaillants, etc. Par ailleurs, il faudra comprendre que Toutes ces failles ou problèmes décelés permettront d’améliorer les vulnérabilités ces différents SGBD. Il faut aussi noter que ces SGBD sont nombreux mais nous avons recensé un certain nombre pour faire notre étude.

 GENERALITES SUR LA SECURITE DU SYSTEME D’INFORMATION 

Définitions

 La sécurité des systèmes d’information (SSI) est l’ensemble des moyens ou techniques, organisationnels, juridiques et humains nécessaires mis en place pour conserver, rétablir afin de garantir la sécurité du système d’information. Cette activité est encadrée par le RSSI (Responsable de Sécurité du Système d’Information).

Objectifs 

 La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d’une organisation donnée. La sécurité des systèmes d’information vise les objectifs suivants :  La disponibilité : le système doit fonctionner sans faille durant la période d’utilisation prévue et garantir l’accès aux services et ressources installées avec le temps de réponse attendu.  L’intégrité : les données doivent être celles que l’on attend, et ne doivent pas être altérées de façon illicite ou malveillante. En d’autres termes, les éléments considérés doivent être exacts et complets.  La confidentialité : seules les personnes autorisées ont accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché.  La traçabilité ou preuve : garantie que les accès et tentatives d’accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables.  L’authentification : L’identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations d’échange.  La non-répudiation : Aucun utilisateur ne doit pouvoir contester les opérations qu’il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s’attribuer les actions d’un autre utilisateur. 

 Evaluation des risques 

Sécuriser un système d’information revient à essayer de se protéger contre les menaces (piratages informatiques, etc.). Ces évaluations, nous permettent de connaître et mesurer le risque, d’évaluer la probabilité, la fréquence et les effets, évaluer les protections raisonnables à appliquer, évaluer les coûts, faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau, etc. 

Politiques de sécurité 

Apres l’analyse des risques, alors la politique de sécurité nous permet de définir le cadre d’utilisation des ressources du système d’information, d’identifier les techniques de   sécurisation à mettre en œuvre dans les différents services de l’organisation et de sensibiliser les utilisateurs à la sécurité informatique. IV.5. Procédures de sécurité Nous allons lister quelques procédures de sécurité :  Définition du domaine à protéger ;  Définition de l’architecture et de la politique de sécurité ; Ŕ Equipements/Points de sécurité Ŕ Paramètres de sécurité Ŕ Détection et enregistrement des incidents  Plan de réponse après incident ; Ŕ Procédure de reprise Ŕ Procédure pour empêcher que cela se renouvelle  Suppression de la vulnérabilité, ou suppression de l’attaquant ;  Charte du bon comportement de l’employé ;  Procédures d’intégration et de départ des employés ;  Politique de mise à jour des logiciels ;  Méthodologie de développement des logiciels ;  Définition des responsabilités (organigramme) ;  Etc.

Table des matières

 DEDICACES
REMERCIEMENTS
LISTE DES FIGURES
INTRODUCTION
PREMIERE PARTIE : CADRE DE REFERENCE ET APPROCHE
METHODOLOGIQUE
I. CADRE DE REFERENCE
II. APPROCHE METHDOLOGIQUE
DEUXIEME PARTIE : GENERALITES SUR LES SYSTEMES DE GESTION DE BASE DE DONNEES ET LA SECURITE DU SYSTEME D’INFORMATION
III. SYSTEME DE GESTION DE GESTION DE BASE DE DONNEES
IV.GENERALITES SUR LA SECURITE DU SYSTEME
D’INFORMATION
V. AUDITS
TROISIEME PARTIE : MISE EN ŒUVRE DE LA SOLUTION
CONCLUSION
ANNEXES
BIBLIOGRAPHIE & WEBOGRAPHIE

 

projet fin d'etudeTélécharger le document complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *