La virtualisation est sûrement l’enjeu majeur de ces prochaines années, notamment avec l’arrivée du Cloud Computing.
Certes, ce dernier reste fortement enrobé de « marketing » et rien n’est réellement standardisé, mais le principe même est tourné vers l’avenir et va séduire de nombreux clients.
La virtualisation est dans tous les esprits aujourd’hui une avancée majeure pour les systèmes d’information. Les Etats-Unis ont été les premiers à adopter massivement la technologie, et c’est pour cela que les sociétés spécialisées européennes observent attentivement ce qu’il s’y passe afin d’anticiper le mouvement.
Ces derniers mois, de nombreux CSO (RSSI) ainsi que de nombreuses entreprises spécialisées sur la sécurité des systèmes d’informations, ont jeté un pavé dans la marre en affirmant que la virtualisation allait à l’encontre de nombreux principes de sécurité. Mieux, Gartner affirme que les machines virtuelles seront moins sécurisées que les machines physiques… « 60 % des serveurs virtualisés seront moins sécurisés que les serveurs physiques qu’ils (NDL : les clients) seront amenés à remplacer à partir de 2012 ». Si l’on en croit ce dernier, les principaux problèmes sont, en résumé, les suivants :
- 40 % des projets de virtualisation n’impliquent pas les équipes de sécurité.
- La couche de virtualisation n’est pas considérée comme critique.
- Peu de visibilité et peu de contrôle de la communication entre machines virtuelles.
- Aucune différenciation de criticité des machines virtuelles (VM critiques et non critiques se retrouvent sur le même serveur).
- Les rôles sont confondus car l’équipe virtualisation doit toucher à tous les domaines (SAN – réseau – système – sécurité).
Ces constats édifiants commencent à faire réfléchir de nombreux RSSI en Europe. Ils deviennent prudents, voir bloquent les projets de virtualisation en attendant de trouver des solutions. Mais ce blocage ne peut durer longtemps car les principaux projets de virtualisation ont pour objectif premier la réduction des coûts…. Les RSSI n’ont plus qu’à croiser les doigts en espérant que la transition se fera sans trop de dégâts…
Le but de cet article est de démystifier l’interaction « virtualisation – sécurité » et d’en retirer des bonnes pratiques / idées pour les RSSI et DSI chargés de ce type de projets. Les exemples sont pris sur ce que l’on rencontre le plus communément actuellement, à savoir sur une infrastructure VMware.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.