Les dossiers de Parad’IE : la virtualisation

3) Les inconvénients de la virtualisation

  1. Problématiques humaines

La plus grande faille en termes de sécurité des entreprises est représentée par l’homme. Il peut être à l’origine d’erreur, de malveillance. Dans le cadre de la virtualisation, la difficulté majeure réside dans le recrutement de personnels compétents. Or depuis toujours et plus particulièrement en ce moment, le monde de la virtualisation peine à trouver les ingénieurs qualifiés.

Les entreprises doivent donc envisager cette question dès la mise en œuvre d’un projet de virtualisation afin de préserver les économies réalisées par le système et d’éviter des indisponibilités liées à un manque de compétences et d’entretien du système virtuel.

Il est important d’avoir mis en œuvre une bonne gestion des accès et des identités. La virtualisation impose une réelle séparation des tâches. A l’heure actuelle, les administrateurs ayant différentes responsabilités peuvent intervenir sur différents composants. Cela rend d’autant plus difficile la protection et le contrôle de l’environnement virtualisé.

  1. Sur le plan technique

Tout d’abord, il est important de mettre en avant le fait qu’une personne non autorisée, qui accèderait au système aurait la possibilité d’en récupérer les données sur l’ensemble et les transférer. Une personne malveillante qui s’introduirait pourrait également modifier les paramètres de connexion et effacer ses propres traces.

Comme un point unique supportant toutes les applications de l’entreprise est plus facilement accessible que plusieurs sites, une machine supportant plusieurs serveurs virtuels est donc, mathématiquement plus vulnérable qu’un serveur physique doté d’une seule instance de système. La virtualisation pose en effet, le problème de l’isolation. Elle permet d’éviter qu’un service parent vienne infecter l’ensemble des autres services. Pour autant, les machines virtuelles fonctionnant dans un système hôte peuvent s’attaquer entre-elles et ainsi se transmettre les vulnérabilités. La virtualisation a pour principe le partage de ressources tels que le réseau, la mémoire qui, lorsqu’elles sont détournées de leurs utilisations premières, peuvent entrainer un déni de service pour les autres machines.

Toute démarche de sécurité en SI passe par l’établissement d’un bon plan prévisionnel de risques et de gestion du processus classique. Or, les tableaux de bords et d’audits, mis en œuvre sur les environnements physiques, sont rarement adaptés aux environnements virtuels. La nouvelle architecture doit être appréhendée comme une infrastructure critique, qui implique de nombreux changements organisationnels et humains et répondre précisément aux exigences règlementaires. Aujourd’hui, les entreprises se jettent dans la virtualisation « par effet de mode », oubliant de prendre en compte l’ensemble des risques qu’elle peut engendrer et, sans mettre en place les mesures adaptées et efficaces pour lutter contre les nouvelles formes d’intrusions qui lui sont liées.

Bien souvent les entreprises ne solutionnent pas les failles existantes et les transfèrent dans l’architecture virtualisée, ce qui complique leurs règlements. Les vulnérabilités sont les mêmes sur une architecture physique ou virtuelle. L’application vulnérable sera transférée avec l’ensemble des risques qu’elle contient. Les protections sont également les mêmes. Et aujourd’hui, il n’existe pas réellement d’antivirus pour cette partie de l’infrastructure, tels que ceux disponibles pour les machines physiques.

De plus, les entreprises mettent en œuvre des PRA et PCA qui ne sont pas souvent testés au préalable. La survenance d’une crise met en avant les manquements de ces plans. Hélas la perte de données peut être gigantesque puisque nous sommes sur une infrastructure unique.

Par ailleurs, la mise en œuvre d’une architecture virtualisée entraine de nouveaux risques. Le déploiement d’un nouveau système de gestion, et de nouvelles briques va entrainer automatiquement de nouvelles vulnérabilités. Les failles concernant les logiciels d’administration des machines virtuelles et de l’hyperviseur ont déjà été recensées. Á noter que des attaques utilisent déjà la technique de la virtualisation pour compromettre des systèmes et en prendre le contrôle (Blue Pill). Les attaques malveillantes vont donc profiter de l’ensemble de ces nouvelles failles. Les assaillants seront d’autant plus motivés par l’attrait de la nouveauté.

Publicités

Commentaires fermés

%d blogueurs aiment cette page :