Comment Microsoft gère la sécurité des données ?
Microsoft, comme beaucoup d'autres entreprises, analyse soigneusement les infrastructures de sécurité de base de données existantes afin de s'assurer qu'elles sont conformes aux récentes exigences réglementaires, telles que le Sarbanes-Oxley Act de 2002. Ces exigences spécifient les conditions pour le stockage des informations personnellement identifiables. Ces exigences n'affectent pas uniquement les données lorsqu'elles sont stockées dans une base de données. Elles affectent également les mécanismes de transfert de données, les contrôles d'autorisation et d'accès à la base de données, ainsi que l'audit de base de données.
Via cette analyse de base de données, le département Microsoft IT (Microsoft Information Technology) a déterminé que des données sensibles étaient dupliquées dans l'espace des applications métier de Microsoft IT. Ces données étaient dupliquées lorsque des données étaient transférées et répliquées au cours des opérations quotidiennes de l'entreprise.
En réponse à cette analyse, Microsoft IT a développé des stratégies afin de limiter la duplication des données sensibles et d'améliorer la sécurité des informations personnellement identifiables dans l'espace des applications métier de Microsoft IT. Ces stratégies sont basées sur les nouvelles fonctionnalités de sécurité de Microsoft® SQL Server™ 2005.
Situation
Les récentes lois américaines (notamment Sarbanes-Oxley) et internationales, qui définissent les obligations de conformité réglementaire pour les entreprises qui stockent des informations personnelles identifiables, ont contraint Microsoft a rééavaluer les infrastructures de sécurité de base de données existantes.
Solution :
| • | Les fonctionnalités intégrées de gestion des clés et de cryptage au niveau colonne de Microsoft SQL Server ont permis à Microsoft IT de développer différentes stratégies de cryptage pour améliorer la sécurité des données sensibles dans l'espace des applications métier de Microsoft IT. |
Bénéfices :
| • | La gestion des clés dans Microsoft SQL Server 2005 permet la création d'une infrastructure simple, robuste et facile à utiliser pour la gestion des clés de cryptage. |
| • | Les fonctionnalités intégrées de cryptage au niveau colonne permettent de crypter les données sensibles des applications sans rencontrer les surcoûts liés au cryptage d'une base de données entière. |
| • | Les fonctionnalités de cryptage intégrées à SQL Server 2005 permettent le décryptage des données d'une vue et l'accès facile aux données cryptées. |
| • | La hiérarchie de gestion des clés de SQL Server 2005 permet de créer des procédures stockées signées numériquement afin de simplifier le cryptage des données. |
Pour la partie mise en oeuvre technique, voir notamment l'annexe en fin de document.
Ce livre blanc est accessible ici : https://www.microsoft.com/france/technet/itsolutions/msit/security/sqldatsec.mspx