La virtualisation ne virtualise pas les risques humains !

Cloud & Next-Gen IT Security Métiers - Stratégie & projets IT

Publié le

La virtualisation : un buzzword aux origines lointaines

Le concept de virtualisation existe depuis plus de 40 ans (avec les mainframe et systèmes IBM), mais s’est véritablement démocratisé dans les années 2000 lorsqu’il est devenu possible d’exécuter simultanément plusieurs systèmes d’exploitation sur un même poste de travail. C’est essentiellement grâce à la virtualisation système (Microsoft, VMware) qu’il est aujourd’hui connu et son succès a atteint des sommets avec le développement du « cloud computing » (Amazon, Google Apps…).

La virtualisation consiste à faire fonctionner sur une machine physique unique plusieurs systèmes comme s’ils fonctionnaient sur des machines physiques distinctes. Ceci repose sur un concept simple : des instances virtuelles sont orchestrées par un hyperviseur, garant de l’accès, la répartition des ressources et l’isolation entre les instances.

La virtualisation doit avant tout son utilisation aux gains financiers qu’elle apporte en favorisant la consolidation des infrastructures et l’optimisation des ressources utilisées. Elle engendre en même temps des bénéfices opérationnels importants en permettant la mise en place rapide de solutions en haute disponibilité : le passage au « tout logique » apporte une facilité de déploiement et une souplesse de provisionning non offerts dans le monde physique.

En 40 ans, au vu de ces bénéfices, les technologies de virtualisation se sont orientées vers des utilisations diverses, s’étendant à d’autres composants du SI que les systèmes d’exploitation d’origine : postes de travail (sessions virtuelles, VDI…), réseaux (VDC, VRF…), équipements de sécurité (Firewalls, IDS-IPS…).

Des risques technologiques … à relativiser !

Les premières craintes des entreprises vis-à-vis de la virtualisation sont liées à la fiabilité des nouveautés technologiques impliquées : les nouveaux composants introduits, en particulier l’hyperviseur, me garantissent-ils l’étanchéité des systèmes supportés par une même machine physique ?

Il existe effectivement un certain nombre de vulnérabilités exploitables sur ces technologies… mais les risques associés sont finalement peu rencontrés : les technologies phares du marché sont des technologies éprouvées et ces risques peuvent être traités, comme pour tout système, par des mesures de gestion opérationnelles de la sécurité qui sont déjà en place dans les entreprises (patch management, durcissement…). Attention cependant ces processus doivent fonctionner avec efficacité vu l’impact en cas d’incident sur les infrastructures de virtualisation.

Des risques humains … à ne pas négliger !

Si les risques les plus courants de la virtualisation ne proviennent pas de la technique elle-même, ils se situent plutôt dans la gestion de ces nouvelles technologies. La virtualisation introduit dans le SI de nouveaux composants (hyperviseur, consoles…), de nouvelles notions d’infrastructure (réseau virtuel…) et les principaux risques de la virtualisation sont le plus souvent issus d’un défaut d’encadrement liés à ces nouveautés :

  • Mauvais usage des consoles d’administration, avec des impacts immédiats « effet boule de neige » en cas de mauvaise configuration : arrêt multiple d’instances, activation de fonctions de décloisonnement…
  • Mauvaises pratiques de gestion de la plate-forme de virtualisation, notamment sur les aspects de gestion des inventaires et de capacity planning qui doivent être redéfinis.
  • Défaut de séparation des tâches entre les équipes système et réseau, avec tous les risques d’erreur, voire de malveillance, dus à la concentration de ces responsabilités.

Les risques « humains » (erreur, malveillance, absence de séparation des responsabilités) prédominent donc sur des risques « technologiques » relativement moins probables et pouvant être limités grâce à des recommandations classiques.

Un projet de sécurisation de la virtualisation, c’est donc bien entendu un projet d’intégration des nouvelles technologies dans la gouvernance opérationnelle de la sécurité pour traiter les risques techniques liés à son utilisation… Mais aussi et avant tout un projet de réflexion sur les rôles, les responsabilités et les compétences de ses administrateurs, afin de traiter les principaux risques de la virtualisation, à savoir les risques humains !