Vous travaillez chez CloudNumSec un important fournisseur de service Cloud qui héberge des données sensibles ou réglementées comme des données financières ou des données à caractère personnel. Toutes ces données sont stockées dans une base de données relationnelles (SGBDR). En tant que RSSI, vous avez identifié un risque potentiel de malveillance interne. A ce titre vous recherchez une solution permettant d’empêcher les administrateurs de la base de données (DBA) d’accéder aux données sensibles de vos clients. Parmi les solutions suivantes, laquelle répond le mieux à votre problématique ?
[A] Mettre en place un contrôle d’accès de type ABAC
[B] Mettre en place un contrôle d’accès de type RBAC
[C] Utiliser un chiffrement de type TDE (Transparent Data Encryption)
[D] Utiliser un chiffrement de type CLE (Cell-Level Encryption)
87% des participants sur Linkedin n’ont pas donné la bonne réponse et comme disait Coluche : « Ce n’est pas parce qu’ils sont nombreux à avoir tort qu’ils ont raison ! »
Le rôle d’un DBA est d’administrer la base de données. A ce titre, on doit lui permettre d’accéder avec ce privilège à tous les objets de la base. Par conséquent, que ce soit via un contrôle d’accès de type ABAC ou RBAC, le DBA pourra consulter et manipuler toutes les données y compris bien sûr les données sensibles. Il faut bien comprendre que les différents types de contrôle d’accès (RBAC, ABAC, MAC,…) ne permettent généralement pas de définir de façon granulaire les privilèges sur les ressources. C’est donc le plus souvent binaire (ON/OFF) : accès en mode administrateur autorisé ou pas. Par conséquent, si on limite par du RBAC ou du ABAC l’accès au DBA, il ne pourra strictement plus rien faire en tant qu’administrateur sur la base de données et ce n’est absolument pas l’objectif recherché.
Le chiffrement transparent des données (TDE) protège les données au repos en chiffrant les données de la base ainsi que les fichiers journaux sur le disque. Il fonctionne de manière transparente pour les applications clientes existantes, de sorte qu’elles n’ont pas besoin d’être modifiées lorsqu’on active le TDE sur le SGBD. Un chiffrement TDE protège les données au repos de sorte que si un attaquant accède aux données ou fichiers journaux sur disque il ne pourra pas les exploiter. Mais attention, ce type de chiffrement ne protège pas les données contre les accès des DBA qui peuvent continuer à voir et à gérer toutes les données au sein du SGBD.
Un chiffrement au niveau des cellules (CLE) s’active généralement sur des colonnes (attributs) contenant des données sensibles. Les données sont chiffrées sur disque (comme avec TDE) mais elle restent également chiffrées dans la mémoire RAM du serveur jusqu’à ce qu’une fonction exécutée au sein d’une application client soit utilisée pour les déchiffrer. Par conséquent, les clés de chiffrement sont gérées par l’application et le DBA ne doit pas y avoir accès, en application des 2 principes de cybersécurité que sont le principe du moindre privilège (least privilege) et du besoin d’en connaître (need to know).
La bonne réponse est donc la proposition [D] Utiliser un chiffrement de type CLE (Cell-Level Encryption)
Et voici en bonus, un petit schéma issu de notre formation CISSP qui illustre les 3 principaux types de chiffrement utilisables pour protéger les données d’un SGBD. Sachez que d’autres options de chiffrement sont également disponibles selon le fournisseur du SGBD comme par exemple l’option Always Encrypted dans Microsoft SQL Server.
Pour en savoir plus sur la sécurité applicative nous vous recommandons de suivre les modules n°20 et 21 de la formation CISSP de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
