Sécurité : le IOUG souligne le laxisme des utilisateurs Oracle
Le club indépendant des utilisateurs (IOUG) Oracle publie un rapport qui met en avant un laxisme profond des entreprises en matière de sécurité des bases de données. Une situation préoccupante qui n'évolue pourtant pas d’une année sur l’autre.
Alors que s’abat cette semaine une avalanche de 81 rustines et mises à jour chez Oracle, le IOUG, le groupe indépendant d’utilisateurs Oracle, publie une étude qui dévoile au grand jour que les entreprises ne prennent pas grand soin de leur base de données préférée.
Selon les conclusions du rapport publié le mois dernier - rapporté par nos confrères de NetworkWorld -, moins de 30% des 430 administrateurs de base de données interrogés par le prestigieux club d’utilisateurs chiffreraient les informations d’identification personnelles. Pire, 75% reconnaissent que leurs entreprises n’ont pas mis en place de moyen efficace pour empêcher les utilisateurs ayant des accès privilégiés d’aller consulter les données critiques de l’entreprise. Comme les informations financières ou celles liées aux ressources humaines, par exemple. Deux-tiers admettent même qu’il n’existe aucun moyen dans leur entreprise de détecter et de contrôler que les administrateurs n’outrepassent pas leurs privilèges.
Un résultat préoccupant, d’autant plus que les répondants sont généralement des grands comptes du secteur des télécoms, de la santé, du secteur publique et de l’éducation, notamment, qui cumulent généralement les bases de données. 35% d’entre eux affirment d’ailleurs disposer d’entre 11 et 100 systèmes de gestion de bases de données.
Le tableau se noircit un peu plus lorsque plus de la moitié des répondants avouent qu’un utilisateur lambda armé d’un simple poste de travail pourrait accéder sans mal aux données critiques de l’entreprise, mais sans en être vraiment sûr.
Une situation qui n'évolue pas
Ces résultats traduisent un manque sévère de sécurité au sein des bases mais, surtout, un manque d’intérêt des administrateurs et des entreprises dans la mise en place de politiques de sécurité en matière de données. Et visiblement, ce laxisme en la matière n’est pas nouveau, explique à nos confrères Andrew Flowe, président du IOUG, au regard des résultats de la précédente étude l’année dernière, qui affiche des résultats identiques.
Mais ce n’est pas tout. L’étude révèle également que la gestion des mises à jour et des rustines, aujourd’hui centralisées sous la forme d’un Critical Patch Update par Oracle, est également appliquée à la légère. 37% affirmant appliquer les mises à jour de sécurité un à trois mois après leur publication, les autres après trois mois. Un peu long lorsqu’on connait l’ampleur que prennent les livraisons régulières de mises à jour d’Oracle.
Pour sa livraison d’octobre, par exemple, la firme de Larry Ellison a publié un Critical Patch Update record, riche de quelque 81 mises à jours. Si 31 étaient dédiées aux anciennes applications Sun, 7 portaient sur des rustines pour les serveurs de bases de données de la marque et 33 pour les applications Oracle (comme Fusion Middleware, E-Business Suite,PeopleSoft et Siebel).
En complément :
- La culture de la sécurité peine à s'étendre aux développeurs
- Pour le Clusif, la sécurité des SI des entreprises progresse "laborieusement"