Sécurité

Enjeux

Les grands mythes de la sécurité « Ce sont les « hackers » qui causent la plupart des dommages liés à des « trous » de sécurité » En fait : 80% des dommages sont réalisés par des employés « Le cryptage est la solution aux problèmes de sécurité » En fait : Une approche « sécurité » doit comprendre le contrôle d’accès, l’intégrité des données, le cryptage et l’audit « Les firewalls rendent votre système sécurisé »  En fait : 40% des attaques Internet réussies se sont déroulées sur des sites équipés de firewall

Les menaces Utilisation de ressources non autorisée Divulgation Se faire passer pour un autre Divulgation d’informations non autorisée Désolé, nous sommes fermés ! Refus de service non autorisé Modification de ressources non autorisée Non reconnaissance

Intégrité et Confidentialité La pyramide Que s’est-il passé ? Audit Mes données sont-elles accessibles ? Disponibilité Ce message est-il complet et non altéré ? Intégrité et Confidentialité Autorisation Cet utilisateur a-t-il le droit d’accomplir cela ? Authentification Cet utilisateur est-il vraiment celui qu’il dit être ?

Solution e-Business Suite

Sécurité d’Authentification Compte Utilisateur Signature Unique « Single Sign-On (SSO) » Administration centralisée à travers un annuaire LDAP

Connexion à Oracle e-Business Suite via un compte utilisateur

Authentification par Utilisateur / Mot de passe ******** ******** Portail CNAUD :&5%w*z Ok Etape 1 : L’Utilisateur renseigne le Nom de connexion CNAUD et le mot de passe ****** Etape 2 : Vérification du mot de passe fourni Etape 3 : Affichage du portail Personnel de L’utilisateur

Gestion du mot de passe Règles de changement de mot de passe Au bout de n connexions Au bout de n jours Jamais Possibilité de définir des règles de sécurité Taille minimum Différent du nom de l’utilisateur Doit contenir une lettre et un nombre …

Single Sign On : Quel est le problème ? Un utilisateur ne peut pas gérer 13 mots de passe Une sécurité faible (Post-it) Les administrateurs ne peuvent pas gérer efficacement plusieurs comptes par utilisateur Impossibilité de désactiver l’ensemble des accès d’un utilisateur rapidement (messagerie, applications critiques, …) 50% des appels au support concernent des problèmes de mots de passe

Oracle e-Business Suite et le Single Sign-on Signature unique aux applications Oracle et non Oracle

Mécanisme de Single Sign On Intégration possible du serveur SSO avec un annuaire LDAP SSO Server

Administration centralisée via un annuaire LDAP Gestion centralisée des utilisateurs Supporte des milliers de client LDAP Modification on line de l’annuaire sans interruption de service Résistant aux pannes 9i Real Application Clusters (9iRAC) Online backup and recovery Clients LDAP Administration Annuaire

Intégration LDAP Interface native avec Oracle Internet Directory Interfaçage avec d’autres annuaires LDAP du marché comme NDS (Novell), MS Active Directory dans Windows 2000, ... SSO Server Autre Annuaire LDAP Synchronisation

Sécurité d’Autorisation Les utilisateur n’ont accès qu’aux fonctionnalités, données, traitements qui leur sont permis via l’attribution de responsabilité Limiter les actions et les informations en fonction des profils

Sécurité Applicative Responsabilité Utilisateur e-Business Suite Menu Principal Menu Fonctions Menu Fonctions Responsabilité Groupe de Traitements Etats Jeux d’Etats Traitements Règles de sécurité Valeurs Champs Flexibles Paramètres Etat

Sécurité Applicative Limiter les actions – Cacher des onglets

Sécurité Applicative Limiter les actions – Cacher des onglets Par exclusion de menus ou de fonctions

Sécurité Applicative Limiter les informations – Cacher des colonnes Par l’exclusion d’attributs Au niveau de la responsabilité Choisir un Attribut à EXCLURE = colonne masquée

Sécurité Applicative Limiter les informations – Cacher des lignes Par l’utilisation d’attributs de sécurité Au niveau de la responsabilité Choisir un Attribut à SECURISER Au niveau de l’utilisateur Valoriser les attributs = données masquées

Intégrité et Confidentialité Cryptage des échanges réseaux (SSL, Oracle Advanced Security) Cryptage des données dans la base

Pourquoi crypter le trafic réseau ? Les données peuvent être capturées modifiées rejouées Le cryptage des échanges réseaux doit assurer que les données restent confidentielles, quelles n’ont pas été modifiées lors du transfert, et donc que l’on ne pourra pas les réutiliser

Chiffrement de bout en bout ? Les données restent confidentielles Les données ne peuvent pas être modifiées Détection des paquets perdus &(@%zQ* &(@%zQ* HTTPS Oracle Net (SSL) Salaire 1000 € ^^}**px%z ^^}**px%z :&5%w*z HTTPS Oracle Net (SSL) Oracle Advanced Security SSL

Chiffrement de bout en bout SSL : Secure Sockets Layer Le protocole SSL assure trois fonctions Cryptage Intégrité Authentification Chiffrement SSL avec clé de 40 ou 128 bits Intégration avec des systèmes parefeux (Cisco, Checkpoint, …) Oracle Advanced Security Fonctionnalité de cryptage Oracle Net Support de SSL

Cryptage de données dans la base Mot de passe stocké crypté Interface simple pour crypter et décrypter des données stockées dans la base Algorithme DES DBMS_OBFUSCATION_TOOLKIT package Interface programmatique Solution partenaire Protegrity

Disponibilité de l’information Garantir l’accès aux données 24h/24 7j/7 Solutions de haute disponibilité proposées avec la plate-forme technologique Oracle9i Real Applications Cluster (9i RAC) Oracle Data Guard

9i Real Application Clusters Serveurs de Données Serveurs D’Applications Fiber Channel ou Shared SCSI Poste Client High Speed Interconnect Base de Données Unique

Oracle Data Guard Protection contre les désastres/incidents majeurs Automatique et synchrone Support de Physical Standby

Audit et traçabilité Audit de l’activité des utilisateurs Audit des opérations sur les données Alertes et notifications

Audit et traçabilité De l’activité des utilisateurs Toutes les tentatives d’accès sont auditées Login autorisé / non autorisé Toute action suspecte peut déclencher un processus personnalisable Mail à un responsable sécurité Des modifications des enregistrements Utilisateur ayant modifié le dernier un enregistrement Date de dernière modification Historique de l’ensemble des modifications sur une table

Etats d’Audit pré-définis Vision en temps réel de tous les utilisateurs connectés Tableaux de bord, états prédéfinis Qui a créé ou modifié cette pièce comptable ?

Etats d’Audit pré-définis Quels sont les utilisateurs qui se sont connectés et à quelle fonctionnalité ? Quels traitements ont été lancés par cet utilisateur ?

Service d’Alertes Automatiser des actions de façon périodique (tous les jours, toutes les fins de mois, …) ou événementielle (sur ajout ou modification de données) Ex : Envoi d’un message à l’administrateur sécurité suite à la modification d’une donnée sensible Type d’action envoi de message, exécution de programmes simultanés, exécution de scripts du système d’exploitation, exécution de scripts SQL

Résumé

Sécurité à tous les niveaux basée sur les standards Autre Annuaire LDAP Synchronisation Single Sign-On Autorisation HTTPS Oracle Net SSL Sécurité Applicative Intégrité Confidentialité (DES, RSA) Cryptage Contrôle d’accès Audit Compte/Mot de passe, PKI (futur)

Sécurité unifiée et cohérente Sécurité applicative fiable et flexible commune à l’ensemble des services applicatifs déployés et utilisés dans Oracle e-Business Suite Grâce à l’utilisation avancée et conjuguée de la plate-forme technologique Oracle Serveurs d’Applications Serveurs De Données Services Services Portail Transactionnel Serveur Web Business Intelligence Poste Client Mobile Sécurité Applicative Intégration