Sécurité Sql Server 2005

Dans un rapport indépendant publié en novembre dernier, l’expert reconnu en sécurité informatique de l’ESG (Enterprise Strategy Group) Eric Ogren loue les vertus de sécurité de SQL Server par rapport à deux de ses principaux concurrents, Oracle et MySQL.
En s’appuyant notamment sur le nombre de failles de sécurité et expositions diverses recensées dans la « National Vulnerability Database » américaine (cf. fig. 1 ci-dessous), ce rapport conclue que SQL Server est depuis 2003 le moteur de base de données le plus sécurisé des 3. Fort de ces résultats, ESG considère ainsi que Microsoft a actuellement plusieurs années d’avance sur Oracle et MySQL dans la production de SGBD sécurisés et fiables.

Analysant les raisons de ce constat élogieux pour Microsoft et SQL Server, Eric Ogren salue le process de développement mis en place par l’éditeur de Redmond visant à mieux identifier et adresser les problématiques de sécurité dans le code des produits avant qu’ils ne soient lancés sur le marché : le programme SDL pour « Security Development Lifecycle ». Ce programme définit les grandes lignes et principales recommandations pour le développement de logiciels sécurisés, en intégrant au cycle de développement classique la gestion de points de contrôle spécifiques de chaque étape de ce cycle ; ainsi, l’approche de Microsoft est de gérer les problématiques de sécurité intrinsèquement au process de développement global de ses produits. Plutôt que d’utiliser des outils visant à détecter automatiquement des pratiques de programmation ou pans de codes non-sûrs, la logique de cette démarche est ici plus globale en sensibilisant, formant et responsabilisant les équipes à travers toute l’organisation sur ces problématiques spécifiques de sécurité. Ainsi, tirant les enseignements de ces 3 dernières années, Microsoft forme désormais ses développeurs, testeurs et chefs de programmes au développement d’un code plus sûr à travers des « best practices » reconnus et aux résultats mesurables.
La figure 2 ci-dessous schématise les 13 étapes constituant la démarche SDL :

Comme le note ESG, cela représente un investissement considérable et qui a demandé plusieurs années pour que ses bénéfices s’en ressentent dans les déploiements clients. Ces investissements massifs sont révélateurs des efforts qu’a réalisés Microsoft pour améliorer la sécurité et l’intégrité de ses produits. A titre d’illustration, notons que Michael Howard et Steve Lipner, auteurs du SDL, estiment que le suivi de ce process peut générer un surcoût de temps de conception du produit de 15 à 20%, ceci n’est donc pas neutre ; mais pour Microsoft et les concepteurs du SDL, l’investissement vaut le coup au vu des résultats indiquant une diminution de 50% des failles tous produits confondus, dont SQL Server. Les analyses de l’ESG viennent confirmer cette conviction.
D’ailleurs, estimant que ce programme SDL est une des raisons des énormes progrès de Microsoft dans le domaine de la sécurité de son SGBD SQL Server, Eric Ogren recommande même aux autres éditeurs de bases de données de s’inspirer de SQL Server, et du SDL, pour développer et déployer des produits mieux sécurisés.

A noter que dans le cadre de cette étude, ESG indique avoir consulté de nombreux clients ayant standardisé leurs applications critiques sous SQL Server en raison de sa haute sécurité et fiabilité. En effet, la sécurité des données peut aujourd’hui s’avérer clé pour obtenir ou conserver un avantage compétitif, et nombre de clients jugent la qualité de leurs bases de données comme un enjeu de première importance pour leur activité ; ces derniers reconnaissent de plus en plus majoritairement les bénéfices des améliorations significatives ayant été apportées au modèle de sécurité de la plateforme SQL Server 2005.
Plus spécifiquement, SQL Server 2005, notamment grâce aux améliorations nées du SDL, offre à ses clients une plus grande fiabilité des données (via la configuration de la sécurité), une meilleure confidentialité (via l’authentification riche, le contrôle d’accès à granularité fine, le cryptage hiérarchique), et une meilleure intégrité (via l’audit des données).
Par ailleurs, ces clients trouvent dans cette plateforme le moyen de disposer de bases de données de haut-niveau combinables avec des outils décisionnels parfaitement intégrés.

En conclusion, ce rapport indépendant, élaboré par un expert reconnu de l’industrie de la sécurité informatique, concourt à démontrer encore un peu plus l’efficacité des progrès réalisés par Microsoft en matière de sécurité ; plus spécifiquement, il positionne l’éditeur en leader de l’industrie de la sécurité et des bases de données, démontrant la volonté de Microsoft de sans cesse améliorer le code de ses produits afin de minimiser l’impact client une fois ceux-ci commercialisés.
Cependant, le rapport précise que la sécurité est une problématique globale à l’industrie et que l’améliorer est un processus continu et évolutif, qui ne se met pas en place du jour au lendemain. Ainsi, heureux de ses progrès dans ce domaine salués par l’ESG, Microsoft encourage les autres éditeurs de logiciels a mettre en œuvre des process de développement similaires au SDL lors de la conception et du développement de nouveaux produits afin d’améliorer leur sécurité à leur lancement, sans attendre les versions de mises à jour.
Cependant, il est important de noter qu’aucun produit ne sera jamais 100% sécurisé, et c’est pourquoi Microsoft continue de faire évoluer son process SDL avec de nouvelles techniques et de nouveaux apprentissages afin de mieux se parer face aux menaces contemporaines pesant sur les systèmes d’information.

Haut de page