Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurité des environnements cloud : attention aux idées reçues !

septembre 2014 par Tanguy de Coatpont, Directeur Général de Kaspersky Lab France

« Selon la dernière enquête menée par Kaspersky Lab et B2B International sur les risques informatiques, 21 % des responsables IT des grandes entreprises classent la sécurisation des infrastructures virtualisées parmi leurs toutes premières priorités pour les 12 mois à venir. Ce résultat n’a rien d’étonnant dans le contexte de migration soutenue des architectures IT vers le cloud que nous observons depuis plusieurs mois. Du reste, dans la même enquête, plus de la moitié des entreprises reconnaissent que les environnements virtuels occupent une place grandissante dans leurs infrastructures informatiques. Aujourd’hui, le recours aux VM (machines virtuelles) n’est plus seulement de mise pour faire tourner les applications métier basiques, mais devient aussi de plus en plus fréquent pour les applications critiques, comme celles qui concernent la gestion des données clients ou encore les transactions financières, par exemple.

Avec cette migration vers des architectures virtualisées, les entreprises gagnent incontestablement en agilité mais elles s’exposent aussi à des risques de sécurité supplémentaires. En fait, les enjeux de sécurité soulevés par la virtualisation sont tout simplement à la hauteur des bénéfices que cette technologie apporte aux entreprises dans leurs processus métier. Les DSI se trouvent donc aujourd’hui face à des problématiques de sécurité nouvelles dont ils n’ont pas toujours pris toute la mesure, notamment en raison de quelques idées reçues qui ont la vie dure. Il paraît donc important de leur tordre le cou !

Idée reçue n°1 : Les environnements virtuels sont plus sûrs que les environnements physiques

Faux. Plus les réseaux virtuels véhiculent de données et d’opérations critiques, plus ils deviennent des cibles intéressantes pour les cybercriminels. Et, technologiquement, ils ne sont pas vraiment plus difficiles à attaquer que les réseaux classiques. Les failles existent. Par exemple, un hacker capable d’infecter une VM et d’atteindre l’hyperviseur hôte peut alors avoir accès à toute les machines virtuelles situées sur le même hyperviseur. Ce type d’attaques permet potentiellement de mettre la main sur l’ensemble de l’espace virtuel de sauvegarde ou de stockage des données, autrement dit sur la quasi-intégralité des informations de l’entreprise.

Idée reçue n°2 : Les logiciels de sécurité traditionnels peuvent aussi protéger les environnements virtuels

Faux. S’il est tentant de se laisser séduire par cette idée, son application risque d’engranger bon nombre de difficultés. En effet, la plupart des solutions classiques de sécurité (notamment destinées aux serveurs, postes de travail et mobiles) sont bien en mesure d’apporter un premier niveau de protection pour les environnements virtuels, mais elles s’avèrent toutefois trop limitées pour contrer efficacement les menaces les plus récentes. Par exemple, les outils dédiés aux postes de travail reconnaissent effectivement les postes virtuels mais, dans la plupart des cas, se limitent pour ces derniers à des tâches élémentaires (contrôle au moment de l’accès notamment).

Idée reçue n°3 : Dans tous les cas, les logiciels traditionnels ne peuvent pas avoir un impact négatif sur les environnements virtuels

Malheureusement si ! Les solutions destinées aux postes de travail physiques peuvent créer dans les environnements virtuels de nouvelles failles de sécurité pouvant aboutir à un ralentissement du réseau, par congestion. En effet, si une douzaine de VM lancent simultanément un contrôle, toutes les autres applications fonctionnant sur le même hyperviseur seront ralenties, et ce principe vaut pour toutes les fonctions de sécurité. Ainsi, si un malware est détecté sur le réseau et que les règles de sécurité imposent alors une analyse de toutes les machines, le réseau virtuel finira par être paralysé. De la même manière, une opération de routine consistant à mettre à jour une centaine de bases de données antimalware peut congestionner le trafic si elle est réalisée sur toutes les machines virtuelles en même temps.

Idée reçue n°4 : L’utilisation de machines virtuelles non persistantes est un moyen efficace de sécuriser le réseau

En théorie, le recours à des machines virtuelles non persistantes paraît en effet pouvoir être efficace pour sécuriser le réseau. En effet, selon ce principe, toute VM en contact avec un malware peut être effacée puis réinitialisée. Cependant, des malwares conçus pour survivre à ce type de réinitialisations commencent à apparaître. Par ailleurs, la multiplication de machines virtuelles ainsi recréées peut engendrer des oublis, de telle sorte qu’un poste de travail virtuel peut se retrouver sans surveillance, ce qui crée inévitablement une nouvelle faille de sécurité.

Idée reçue n°5 : Une solution dédiée suffit pour gérer toute la sécurité des environnements virtualisés

Ce serait trop simple ! les environnements virtualisés ont le plus souvent besoin d’une combinaison des plusieurs solutions. Il existe des appliances virtuelles, des agents légers et même des solutions sans agent. Le bon usage de ces différents outils dépend de l’architecture virtualisée et de la politique de sécurité de l’entreprise. Par exemple, le plus souvent, un serveur non connecté au Web ne nécessitera pas une sécurisation de même type qu’un poste de travail virtuel ou qu’un serveur qui gère des informations clients.

Le cloud computing est désormais largement adopté par les entreprises. Pourtant, nous observons tous les jours sur le terrain que sa sécurisation est un sujet qui soulève encore énormément de questions. Dépasser les idées reçues permet d’y répondre efficacement.




Voir les articles précédents

    

Voir les articles suivants