Oracle E-Business Suite (EBS) rejoint tous les aspects de votre infrastructure informatique et est « les clés de votre royaume », contenant toutes vos informations financières, bancaires, RH et paiements clients. Sécuriser votre solution Oracle EBS est une fonction critique pour la mission qui peut influencer la viabilité de votre organisation. Les violations et attaques peuvent entraîner d’importantes pertes financières, l’incapacité d’effectuer les opérations quotidiennes et une responsabilité continue liée à l’exposition des données clients.
Le 21 janvier, Syntax a présenté le webinaire « Développer une stratégie de sécurité complète pour Oracle E-Business Suite » qui est maintenant disponible sur demande. Lors de la séance de questions-réponses, un des participants a demandé quelques exemples précis de produits de sécurité ciblés pour sécuriser directement un déploiement Oracle E-Business Suite. Les 5 domaines suivants devraient être des considérations clés lors de la sécurisation de votre environnement Oracle EBS dans votre organisation.
Pare-feu d’applications
La plupart des clients Oracle EBS utilisent probablement un équilibreur de charge provenant d’entreprises comme F5 ou le produit NetScalar de Citrix pour faire avancer leur application EBS afin de la mise à l’échelle et de la redondance. Bien que ces deux entreprises offrent des modules Web Application Firewall (WAF) pour leurs produits, il y a beaucoup de nuances dans la façon dont Oracle implémente les services web, code les pages à l’aide de leur cadre OA et utilise des technologies propriétaires comme Oracle Forms qui sont difficiles à sécuriser avec un produit WAF « prêt à l’emploi ». Si vous exposez publiquement des « i-modules » comme iSupplier, iRecruitment ou iStore aux utilisateurs sur Internet, envisagez d’investir dans un pare-feu spécifique à EBS, comme le produit AppDefend d’Integrigy , conçu spécialement pour Oracle EBS.
Audit de la sécurité des bases de données
Oracle EBS Security dispose d’un modèle de données extrêmement vaste et complexe qui exploite pratiquement toutes les fonctionnalités de base de données disponibles, incluant partitionnement, XML, données blob, procédures stockées, punch-outs au niveau du système d’exploitation, et plus encore. Pour compliquer encore les choses, EBS inclut un grand nombre de comptes de bases de données pré-amorcés nécessaires au fonctionnement de l’application. Cela, combiné au fait que pratiquement chaque correctif EBS comporte un composant de base de données, rend à la fois le durcissement initial difficile et la protection de votre profil de sécurité contre les dérives de configuration au fil du temps dues aux correctifs et aux décisions d’implémentation/configuration. Envisagez d’utiliser des outils gratuits comme l’outil d’évaluation de la sécurité des bases de données d’Oracle (DBSAT) ou l’outil SCUBA d’Imperva pour vous assurer que votre base de données est bien sécurisée.
Chiffrement des bases de données
Votre système de sécurité Oracle EBS contient de nombreuses données sensibles telles que des cartes de crédit, des comptes bancaires et des renseignements personnels sur les employés tels que le numéro d’assurance sociale, le salaire et l’adresse domiciliaire, qui, s’ils sont exposés, peuvent exposer votre organisation à des amendes réglementaires et civiles en cas de violation. Pour aider à prévenir le vol de données, envisagez de chiffrer votre base de données afin de limiter l’accès aux données sensibles uniquement aux personnes appropriées et de vous assurer que toute autre personne ne voie que des données inutilisables et chiffrées. Le chiffrement des bases de données peut être réalisé à l’aide de fonctionnalités natives comme Oracle Advanced Security et Oracle Transparent Data Encryption (TDE) ou via des produits tiers comme la plateforme de sécurité des données Thales Vormetric .
Limiter les ports de pare-feu
Au total, Oracle EBS utilise des centaines de ports réseau pour que tous les différents composants et technologies de la pile d’applications fonctionnent. Cela dit, un nombre très limité est en fait nécessaire pour l’utilisateur final moyen, comme HTTPS pour votre niveau Web et Oracle Forms pour votre niveau application. Assurez-vous de respecter le principe du moindre privilège lors de la définition des règles de pare-feu et de limiter l’accès aux ports API à une liste nommée de systèmes cibles hébergeant des produits intégrés. Restreignez autant que possible l’accès aux ports de la base de données TNS et envisagez de séparer votre couche de base de données des autres couches d’application afin d’insérer un pare-feu qui surveille l’injection SQL et d’autres attaques de base de données via vos couches Web et application.
GRC et audit
Envisagez de mettre en place un ensemble de gouvernance, de risque et de conformité (GRC) pour gérer les questions de gouvernance d’entreprise, de gestion des risques d’entreprise (ERM) et de conformité corporative en matière de confidentialité des données et d’autres réglementations. Une mise en œuvre efficace du GRC aidera votre organisation à réduire les risques et à améliorer l’efficacité des contrôles, la sécurité et la conformité grâce à une approche intégrée et unifiée qui réduit les problèmes liés aux silos organisationnels dans les grandes entreprises avec des rôles redondants et plusieurs lignes d’affaires. Oracle offre à la fois un produit GRC sur site qui s’intègre à Oracle EBS ainsi qu’une solution SaaS de gestion des risques et de conformité.
Si vous souhaitez en savoir plus sur la sécurité Oracle EBS, consultez notre webinaire à la demande, Développer une stratégie de sécurité complète pour Oracle E-Business Suite.
Ou contactez-nous dès aujourd’hui pour découvrir comment Syntax peut aider à bâtir une solution multi-couches pour protéger et réduire les risques pour votre environnement Oracle EBS.