La sécurité de vos bases de données est primordiale, surtout à l’approche du règlement général sur la protection des données (RGPD). En effet, ces bases renferment des informations sensibles concernant vos services et vos utilisateurs. Il est donc essentiel de prévenir les risques potentiels, qu’ils soient d’ordre physique, cybercriminel ou liés à des employés mécontents. Voici quelques conseils pour sécuriser au mieux vos bases de données.
Assurez-vous que le niveau de sécurité initial de votre serveur BDD est bon
Commencez par prendre des mesures simples mais efficaces. Assurez-vous que votre serveur (MySQL ou autre) est à jour afin d’éliminer toute faille de sécurité. Activez le chiffrement des connexions (TLS) et utilisez les fonctionnalités de renforcement de la sécurité proposées par les logiciels de bases de données, tels que MySQL. Réduisez également au strict minimum les accès SSH.
Il est courant que les logiciels de bases de données proposent de nombreuses fonctionnalités inutilisées. Pensez à désactiver ou désinstaller tous les modules et options dont vous n’avez pas besoin, vous pourrez toujours les réactiver ultérieurement. Supprimez également les comptes utilisateurs et les bases de données inutiles, celles qui contiennent des données de démonstration accompagnées de mots de passe par défaut.
Changez systématiquement les mots de passe par défaut en optant pour des mots de passe plus robustes. Si vous le souhaitez, vous pouvez même modifier le nom de l’utilisateur admin (root) dans MySQL en suivant cette syntaxe :
rename user 'root'@'localhost' to 'NOUVEAUNOMUSER'@'localhost';
N’oubliez pas de terminer par :
FLUSH PRIVILEGES;
Gérez bien les permissions
Évitez d’accorder l’accès root à toutes vos applications. Segmentez les accès à vos différentes bases de données en attribuant à chaque base un login et un mot de passe unique. Choisissez des mots de passe forts et gérez attentivement les “hosts” (localhost, %, certaines IPs, etc.) autorisés à accéder à vos bases de données.
Séparez les bases des serveurs web
Lorsque cela est possible, il peut être judicieux de séparer physiquement vos serveurs de bases de données de vos serveurs web. Ainsi, même en cas d’accès non autorisé à votre serveur web, si vous avez correctement géré les permissions d’accès à votre base de données en les réduisant au maximum, l’attaquant aura un accès limité à vos bases de données, ce qui réduira les risques potentiels.
Faites des mises à jour
Effectuez régulièrement les mises à jour nécessaires, que ce soit côté serveur web, côté application ou côté serveur de base de données, afin de corriger les dernières vulnérabilités.
N’oubliez pas le chiffrement
Que ce soit depuis l’extérieur ou à l’intérieur de votre entreprise (par un employé par exemple), il existe toujours un risque de compromission de vos bases de données. Pensez donc à chiffrer les fichiers utilisés par la base de données ainsi que les sauvegardes. Ainsi, si quelqu’un parvient à copier vos bases de données ou vos sauvegardes, les données seront indéchiffrables. Pour les sauvegardes, stockez-les hors site et sur des supports déconnectés de votre réseau afin de vous prémunir contre les ransomwares et autres menaces.
Pensez au pare-feu
Placez votre serveur de base de données derrière un pare-feu et limitez le trafic entrant et sortant aux seules machines autorisées. Cela vous permettra de ralentir, voire de bloquer, un attaquant qui tenterait de transférer vos données vers une machine tierce non autorisée. Un serveur de base de données n’a pas besoin d’être accessible directement depuis Internet. Par ailleurs, ajoutez un pare-feu applicatif devant votre serveur web pour rendre vos données plus difficiles à exploiter en cas d’injection SQL ou d’autres attaques similaires.
Testez la sécurité de votre base
Pensez à tester régulièrement la sécurité de votre base de données et de votre site, que ce soit à travers un test d’intrusion ou un programme de Bug Bounty. Si vous ne le faites pas, quelqu’un d’autre le fera pour vous, et le résultat sera incertain. Surveillez également attentivement les logs et les accès à votre base de données.
Anticipez
Il est primordial d’anticiper les risques afin de limiter les dommages potentiels. Délimitez clairement le périmètre de votre base de données et posez-vous les bonnes questions. Que se passerait-il si quelqu’un découvrait une faille SQLi sur mon site ? Ou si quelqu’un accédait à mon serveur de sauvegarde ? Pensez également à anticiper les risques imprévisibles, tels qu’un café renversé sur votre baie de stockage. Soyez préparé à toute éventualité.
Embauchez un administrateur de bases de données (DBA)
N’hésitez pas à faire appel à un professionnel dont le rôle sera de gérer votre base de données et d’en garantir la sécurité.
