Les dossiers de Parad’IE : la virtualisation

4) Les solutions pour limiter les risques

Les entreprises doivent contrôler l’interaction de chaque utilisateur avec la plate-forme de virtualisation ainsi que chaque machine virtuelle qu’elle héberge. Cela nécessite la mise en œuvre de chartes très précises, et de dispositifs de contrôle sans pour autant entraver les dispositifs règlementaires sur la surveillance des communications, faits et gestes des salariés sur leurs lieux de travail.

  • L’intégration de dispositifs de sécurité invisibles pour les utilisateurs d’ordinateurs portables, afin qu’ils ne puissent pas intervenir dessus
  • Un véritable dispositif de contrôle et d’audit des installations doit être mis en place, permettant de vérifier la bonne utilisation des environnements, les annuaires d’identités et les rôles/privilèges attribués à chaque administrateur….
  • Pour finir, il faut établir des PCA et PRA cohérents, qui identifieront les données capitales pour l’entreprise, et prévoyant les processus de gestion des correctifs, de mises à jour. L’architecture sera ainsi automatique remise en route et réaffectera les ressources selon les besoins des services.
  • La séparation plus étanche des droits d’accès doit être mise en place, notamment par la définition claire de rôle, pour limiter les champs d’intervention de chacun, réduire l’accès) des informations critiques et faciliter les contrôles. Cette étanchéité passe par la gestion centralisée, via une console unique des droits d’accès. Mettre en œuvre une politique de gestion des identités et des accès cohérentes et évolutives.
  • Le grand problème des entreprises est qu’elle accorde souvent des autorisations d’accès à un salarié qui arrivent sans lui retirer ses droits lors d’un départ. Les difficultés économiques actuelles, provoquant des licenciements, favorisent ce risque. Autre élément fondamental, la gestion des droits d’accès ne pourra pas faire défaut, avec idéalement une centralisation de celle-ci par le biais d’une plate-forme d’annuaire d’entreprise.
  • La mise en place d’une brique supplémentaire de protection afin d’améliorer la sécurité de l’architecture, notamment en améliorant l’identification des administrateurs et des utilisateurs en fonctions de droits d’accès précis. Les dispositifs évitant toute propagation de virus, ou code malveillant doit être intégré dès le déploiement de l’infrastructure.

Conclusion : La virtualisation n’en est véritablement qu’à l’adolescence de sa vie. Elle n’a pas encore atteint sa maturité sur le plan sécuritaire et provoque donc le débat. Des experts viendront témoigner prochainement sur ce blog. Mais n’hésitez pas à nous dire ce que vous en pensez dès à présent !

Publicités

Commentaires fermés

%d blogueurs aiment cette page :