« copyright 2003, oracle corporation. tous droits réservés » s é curit é

« Copyright 2003, Oracle Corporation. Tous droits réservés »

Sécurité


EnjeuxEnjeux


Les grands mythes de la sécurité

« Ce sont les « hackers » qui causent la plupart des dommages liés à des « trous » de sécurité »

En fait : 80% des dommages sont réalisés par des employés « Le cryptage est la solution aux problèmes de sécurité » En fait : Une approche « sécurité » doit comprendre le

contrôle d’accès, l’intégrité des données, le cryptage et l’audit

« Les firewalls rendent votre système sécurisé » En fait : 40% des attaques Internet réussies se sont

déroulées sur des sites équipés de firewall


Les menaces

Divulgation d’informationsnon autorisée

Désolé, noussommes fermés !

Se faire passer pour un autre

Utilisation de ressourcesnon autorisée

Refus de servicenon autorisé

Modification de ressourcesnon autorisée Non reconnaissance


Cet utilisateur est-il vraiment celui qu’il dit être ?

Cet utilisateur a-t-il le droit d’accomplir cela ?

Ce message est-il complet et non altéré ?

La pyramide

Mes données sont-elles accessibles ?

Authentification

Autorisation

Intégrité et Confidentialité

Disponibilité

Audit Que s’est-il passé ?


SolutionSolutione-Business e-Business

SuiteSuite


Sécurité d’Authentification

Compte Utilisateur Signature Unique « Single

Sign-On (SSO) » Administration centralisée

à travers un annuaire LDAP


Connexion à Oracle e-Business Suite via un compte utilisateur


Authentification par Utilisateur / Mot de passe

****************

PortailPortail

****************

OkOk

Etape 1 :L’Utilisateur renseigne le

Nom de connexion CNAUD et le mot de passe ******

Etape 2 :Vérification du mot de

passe fourni

Etape 3 :Affichage du portail

Personnel de L’utilisateur

CNAUDCNAUD :&5%w*z:&5%w*z


Gestion du mot de passe

Règles de changement de mot de passe– Au bout de n connexions– Au bout de n jours– Jamais

Possibilité de définir des règles de sécurité– Taille minimum– Différent du nom de l’utilisateur– Doit contenir une lettre et un nombre– …


Single Sign On : Quel est le problème ? Un utilisateur ne peut pas gérer 13 mots de passe Une sécurité faible (Post-it) Les administrateurs ne peuvent pas gérer

efficacement plusieurs comptes par utilisateur Impossibilité de désactiver l’ensemble des accès

d’un utilisateur rapidement (messagerie, applications critiques, …)

50% des appels au support concernent des problèmes de mots de passe


Oracle e-Business Suite et le Single Sign-on Signature unique aux applications Oracle et non

Oracle


SSOServer

Mécanisme de Single Sign On

Intégration possible du serveur SSO avec un annuaire LDAP


Clients LDAP

Administration centralisée via un annuaire LDAP Gestion centralisée des utilisateurs Supporte des milliers de client LDAP Modification on line de l’annuaire sans

interruption de service Résistant aux pannes

– 9i Real Application Clusters (9iRAC)– Online backup and recovery

AdministrationAnnuaire


SSOServer

Intégration LDAP

Interface native avec Oracle Internet Directory

Interfaçage avec d’autres annuaires LDAP du marché comme NDS (Novell), MS Active Directory dans Windows 2000, ...

AutreAnnuaire

LDAP

Syn

chro

nis

atio

n


Sécurité d’Autorisation

Les utilisateur n’ont accès qu’aux fonctionnalités, données, traitements qui leur sont permis via l’attribution de responsabilité

Limiter les actions et les informations en fonction des profils


UtilisateurUtilisateur

e-Business Suitee-Business Suite

Menu PrincipalMenu

Fonctions

Menu

Fonctions

Groupe de TraitementsEtats

Jeux d’Etats

Traitements

Règles de sécuritéValeurs Champs Flexibles

Paramètres Etat

Sécurité ApplicativeResponsabilité

Responsabilité


Sécurité ApplicativeLimiter les actions – Cacher des onglets


Sécurité ApplicativeLimiter les actions – Cacher des onglets

Par exclusion de menus ou de fonctions


Sécurité ApplicativeLimiter les informations – Cacher des colonnes

Par l’exclusion d’attributs Au niveau de la responsabilité

– Choisir un Attribut à EXCLURE = colonne masquée


Sécurité ApplicativeLimiter les informations – Cacher des lignes

Par l’utilisation d’attributs de sécurité Au niveau de la responsabilité

Choisir un Attribut à SECURISER Au niveau de l’utilisateur

Valoriser les attributs = données masquées


Intégrité et Confidentialité

Cryptage des échanges réseaux (SSL, Oracle Advanced Security)

Cryptage des données dans la base


Pourquoi crypter le trafic réseau ?

Les données peuvent être– capturées– modifiées– rejouées

Le cryptage des échanges réseaux doit assurer que les données restent confidentielles, quelles n’ont pas été modifiées lors du transfert, et donc que l’on ne pourra pas les réutiliser


Chiffrement de bout en bout

Les données restent confidentielles Les données ne peuvent pas être modifiées Détection des paquets perdus

1000 €1000 €

SalaireSalaire

&(@%zQ*&(@%zQ*

HTTPS

^^}**px%z^^}**px%z

HTTPS

SSL

Oracle Net (SSL)

&(@%zQ*&(@%zQ*

Oracle Net (SSL)

^^}**px%z^^}**px%z

Oracle Advanced Security

:&5%w*z:&5%w*z

?


Chiffrement de bout en bout

SSL : Secure Sockets Layer – Le protocole SSL assure trois fonctions

Cryptage Intégrité Authentification

– Chiffrement SSL avec clé de 40 ou 128 bits– Intégration avec des systèmes parefeux (Cisco,

Checkpoint, …) Oracle Advanced Security

– Fonctionnalité de cryptage Oracle Net– Support de SSL


Cryptage de données dans la base

Mot de passe stocké crypté Interface simple pour crypter et décrypter des

données stockées dans la base– Algorithme DES – DBMS_OBFUSCATION_TOOLKIT package– Interface programmatique

Solution partenaire Protegrity


Disponibilité de l’information

Garantir l’accès aux données 24h/24 7j/7

Solutions de haute disponibilité proposées avec la plate-forme technologique

– Oracle9i Real Applications Cluster (9i RAC)

– Oracle Data Guard


9i Real Application Clusters

PosteClient

ServeursD’Applications

Serveursde Données

Base de DonnéesUnique

High SpeedInterconnect

Fiber Channel ou Shared SCSI


Oracle Data Guard

Protection contre les désastres/incidents majeurs Automatique et synchrone Support de Physical Standby


Audit et traçabilité

Audit de l’activité des utilisateurs

Audit des opérations sur les données

Alertes et notifications


Audit et traçabilité

De l’activité des utilisateurs – Toutes les tentatives d’accès sont auditées

Login autorisé / non autorisé– Toute action suspecte peut déclencher un processus

personnalisable Mail à un responsable sécurité

Des modifications des enregistrements– Utilisateur ayant modifié le dernier un enregistrement– Date de dernière modification– Historique de l’ensemble des modifications sur une

table


Etats d’Audit pré-définis

Vision en temps réel de tous les utilisateurs connectés

Tableaux de bord, états prédéfinis

Qui a créé ou modifié cette pièce comptable ?


Etats d’Audit pré-définis

• Quels sont les utilisateurs qui se sont connectés et à quelle fonctionnalité ?

• Quels traitements ont été lancés par cet utilisateur ?


Service d’Alertes

Automatiser des actions de façon périodique (tous les jours, toutes les fins de mois, …) ou événementielle (sur ajout ou modification de données)

– Ex : Envoi d’un message à l’administrateur sécurité suite à la modification d’une donnée sensible

Type d’action – envoi de message, – exécution de programmes simultanés, – exécution de scripts du système d’exploitation,– exécution de scripts SQL


RésuméRésumé


Sécurité à tous les niveaux basée sur les standards

AutreAnnuaire

LDAP

Synchronisation

Compte/Mot de passe,PKI (futur)

CryptageContrôle d’accès

Audit

Oracle NetSSL

IntégritéConfidentialité (DES, RSA)

HTTPS

AutorisationSingle Sign-OnSingle Sign-On

Sécurité Applicative


Sécurité unifiée et cohérente Sécurité applicative fiable et flexible commune à

l’ensemble des services applicatifs déployés et utilisés dans Oracle e-Business Suite

Grâce à l’utilisation avancée et conjuguée de la plate-forme technologique Oracle

ServeursDe Données

PosteClient

Portail

Mobile

Intégration

Transactionnel

BusinessIntelligence

Serveursd’Applications

Ser

veu

r W

eb

Services Services

Sécurité Applicative

« copyright 2003, oracle corporation. tous droits réservés » s é curit é

Documents