Pour être conformes à la législation et à la réglementation en vigueur, vous devez auditer des fichiers de données critiques. Et certaines règles récentes vous obligent aussi à auditer les événements de sécurité du système. L’iSeries possède ces deux fonctions d’audit : audit de la base de données et audit
Risques liés à la gestion de l’audit
de la sécurité.
Audit de la base de données. Jadis, quand l’espace disque était cher et que le processeur était surchargé, la journalisation était un luxe réservé aux seuls services informatiques richement dotés ou sourcilleux en matière d’audit.
Aujourd’hui, le rapport prix/performances s’améliore régulièrement et l’espace disque est devenu très abordable. Et la plupart d’entre nous appartiennent désormais à la catégorie de ceux qui sont soumis à des exigences d’audit strictes.
Alors, qui a mis à jour le fichier de paie et en a profité pour augmenter de 50 % le salaire de Jean ? Pourquoi avonsnous livré 25 caisses de notre article de luxe à un client inconnu dans notre fichier, et ce sans la moindre facture ? Pour répondre à ce genre de question, il faut pratiquer la journalisation de la base de données. Elle permet de visualiser tous les changements apportés à un enregistrement de base de données (par exemple, l’utilisateur auteur du changement, la date et l’heure du changement, le nom du poste de travail où le changement a eu lieu, le programme utilisé pour procéder au changement et l’image avant et après de l’enregistrement concerné). Dans la nouvelle ère de la conformité, l’audit de la base de données n’est plus facultatif mais obligatoire. Pour ceux d’entre nous qui ont la chance d’avoir une bonne solution haute disponibilité (HA, high availability), la journalisation de la base de données est déjà là. Tous les systèmes HA du commerce que j’ai vus utilisent la journalisation comme véhicule pour transférer les changements sur le système de secours. Cependant, les systèmes HA présentent un problème : les journaux se contentent généralement de pousser les données vers le système de secours, après quoi les données du journal sont le plus souvent supprimées.
Dans la plupart des cas, les journaux ne sont pas sauvegardés pour permettre de rechercher des modifications passées de la base de données.
La journalisation des changements apportés à la base de données présente un gros avantage : protection accrue pour un coût modeste. Je vous encourage à pratiquer la journalisation de la base de données pour tous vos fichiers de production. C’est si facile !
Audit de la sécurité. Quand nous parlons d’audit de la sécurité, nous ne désignons pas généralement la journalisation des fichiers base de données et autres objets. Nous ne prenons pas d’images avant et après des enregistrements de données. Par audit de la sécurité, on entend généralement la journalisation des événements liés à la sécurité, dans le journal de sécurité système nommé QAUDJRN. QAUDJRN enregistre des événements comme « Bad password entered » (« Mauvais mot de passe entré »), « Attempt to access a file without proper authorization » (« Tentative d’accès à un fichier sans l’autorisation adéquate »), « Joe accessed the sensitive payroll file » (« Jean a accédé au fichier de paie sensible »), « Library MYLIB deleted » (« Bibliothèque MYLIB supprimée ») et « Mary changed the QSTRUPPGM system value » (« Marie a changé la valeur système QSTRUPPGM »). Ce n’est qu’en appliquant l’audit de sécurité que vous pouvez enregistrer et analyser ces événements, et bien d’autres, liés à la sécurité.
Quand vos auditeurs vous rendront visite, ils voudront voir si vous appliquez de bonnes pratiques de gestion d’audit. Pour cela, ils regarderont si vous avez instauré l’audit de sécurité et si vous examinez régulièrement les rapports d’audit de sécurité. Peut-être même demanderont-ils à voir vos rapports de journalisation. Sachez que les auditeurs adorent les gros rapports !
IBM offre une commande rudimentaire nommée DSPAUDJRNE (Display Audit Journal Entries) pour les produire :
DSPAUDJRNE ENTTYP(AF) OUTPUT(*)
Cette commande donne un rapport contenant toutes les défaillances d’autorisation (AF, Authorization Failures) enregistrées dans les données de votre journal actuel. Mais le rapport n’est pas facile à lire. Là encore, je montre du doigt les fournisseurs de logiciels de sécurité qui écrivent des rapports de journaux d’audit en guise de petit-déjeuner. Bien entendu, vous pourriez créer le vôtre mais, comme il existe tellement de types d’entrées de journal d’audit, cela prendrait un temps considérable.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.