Laurent Charvériat est le directeur technique et le co-fondateur d’I-Tracing, une société de conseil spécialisée dans la traçabilité de l’information. Il évoque les risques souvent ignorés de la virtualisation.
Channelnews : Vous estimez que la virtualisation comporte des risques pas toujours identifiés par les entreprises. Quels sont ces risques ?
Laurent Charvériat : Les bénéfices de la virtualisation sont tellement évidents que les entreprises l’adoptent sans parfois prendre le temps d’analyser les problèmes de sécurité qui sont en quelque sorte le pendant de la flexibilité offerte par cette technologie. En consolidant la charge de travail de 100 ou 200 serveurs sur une même machine, on augmente la criticité de celle-ci. Une panne de cette machine peut entraîner une véritable catastrophe.
Il y a ensuite les risques humains. Un administrateur peut d’un simple clic effectuer des manipulations qui correspondent dans la réalité à couper le circuit électrique dans un gros data center alors que dans le monde physique c’est difficilement possible car il faut accéder à la salle, aux baies et au disjoncteur qui sont protégés par des caméras et des systèmes de sécurité sophistiqués.
Il faut garder en mémoire qu’une erreur humaine peut provoquer la suppression d’un serveur virtuel et de ses données, ce qui dans la réalité correspond à la suppression physique d’un serveur.
Il y a également les risques liés à la malveillance. Un accès illicite peut avoir un impact très très important. Entrer sur un serveur physique c’est grave. Quand on peut accéder à l’équivalent de 100 ou 200 de ces serveurs c’est catastrophique.
Généralement quand les responsables de la sécurité informatique évoquent les problèmes d’étanchéité entre les machines virtuelles et la machine hôte, ils pensent généralement à l’évasion et généralement pas aux risques que je viens d’évoquer.
Quelles solutions préconisez-vous ?
Laurent Charvériat : L’entreprise doit respecter certaines règles. Elle doit déterminer quelles sont les applications à virtualiser. En général on ne virtualise pas ses applications critiques. Elle doit intégrer dans sa réflexion, l’analyse des risques pour chaque application et chaque service concerné et prendre en compte l‘interdépendance avec l’infrastructure existante. Il lui faut aussi mesurer l’impact d’un dysfonctionnement ou de l’arrêt du serveur hôte. Elle doit par ailleurs mettre en place un contrôle des accès et une gestion des droits afin de diminuer au maximum les risques, et éviter le « n’importe quoi ». Il faut aussi informer et former le personnel. L’entreprise doit rester vigilante.
Que pensez-vous des solutions de sécurité hébergées ? Offrent-elles suffisamment de sécurité ?
Laurent Charvériat : Je pense que l’externalisation de la sécurité n’est pas en soi une mauvaise chose. Il n’y a pas de grosse différence avec le monde réel où on fait appel a des spécialistes extérieurs. Toutefois il ne faut pas s’appuyer sur n’importe qui, ni sous-traiter ce qui est critique pour la société. Quand on fait appel à des prestataires extérieurs, on contrôle encore plus. Il faut savoir gérer, maîtriser les risques.
C’est la même chose pour ce qui concerne le cloud computing. Si le client est léger dans sa sécurité, l’administrateur du prestataire peut faire une copie d’un serveur dans un coin sans que le client le sache et puis tranquillement chercher a en forcer l’accès.