Sur son blog, Jean-François Audenard, responsable développement sécurité d’Orange Business Services, constate que les outils de virtualisation actuels peuvent être détournés à des fins malicieuses.
Channelnews : Vous attirez l’attention sur le danger du vol de serveurs à distance ? En quelques mots, de quoi s’agit-il ?
Jean-François Audenard : Aujourd’hui des éditeurs comme VMware et Microsoft offrent des outils qui permettent de faciliter la migration d’un serveur physique vers un serveur virtuel. On obtient une image virtuelle du serveur que l’on peut ensuite déplacer sur une machine virtuelle disponible dans le cloud. Ce type d’outils peut avoir un double usage, légitime ou malicieux.
Si une personne mal intentionnée a compromis la sécurité d’un serveur physique, elle peut cloner ce dernier sur un serveur sous son contrôle. Avant, on pouvait récupérer quelques fichiers ou quelques bases de données, mais pas une machine entière comme aujourd’hui.
Selon une étude de Forrester, 40% des entreprises françaises craignent d’adopter le cloud pour des raisons de sécurité. Cela ne va pas les rassurer.
Jean-François Audenard : Qu’un responsable de la sécurité estime que la virtualisation augmente les risques pour ses serveurs physiques est une chose. Toutefois, cloud ou pas cloud, d’un point de vue théorique le problème est le même. Une entreprise a même intérêt a opter pour le cloud en choisissant un prestataire digne de confiance. Une PME, même de bonne taille, n’a pas les moyens d’investir dans un système de sécurité comparable à celui offert par le cloud.
Un autre exemple : dans un environnement cloud on est protégée contre le déni de service. C’est quelque chose de bien trop coûteux pour une entreprise disposant de quelques serveurs.
Notons qu’Orange Business Services devrait dévoiler sa stratégie de cloud computing le 17 décembre.