Retour

Virtualisation et sécurité dans le prétoire

 

La salle d’audience contient avec peine une foule bigarrée associant presse, professionnels du sujet et badauds à l’avis fécond sur chaque sujet du monde. Tous attirés par la promesse de la condamnation lourde d’une accusée dont ils commentent les signes de fébrilité, meilleure preuve de sa culpabilité. Si ce n’était la certitude d’un beau spectacle, ils s’offusqueraient presque du temps gaspillé par la justice tant les charges semblent lourdes. La partie civile ne semble pas pour autant tirer gloire de sa position de victime, probablement le poids des responsabilités qu’elle assume qui la voit régulièrement être sous les fourches caudines des uns et des autres en lui reprochant de ne pas être à la hauteur.

–  Madame la Virtualisation, avant d’exposer les faits qui nous rassemblent aujourd’hui, je suis étonné à la lecture de votre dossier : vous semblez récidiver. J’ai là sous les yeux un rapport du Gartner de 2010, le titre suffit à lui seul pour expliquer vos relations avec la victime : « les risques majeurs de sécurité pour les projets de virtualisation ». En résumé, en délaissant Madame la Sécurité, vous faites prendre un risque à tous !

–  Monsieur le Juge, j’étais jeune. A 20 ans, on est encore insouciant. Avec la fougue de mes jeunes années, on fonce, on expose ses plus beaux atours et on oublie l’essentiel.

– Je ne vous le fais pas dire, je cite « 40 % de vos projets n’impliquent pas la sécurité ». Certes on parle de 2010, mais c’est énorme.

– Oui et sans vouloir me défausser, il y a aussi des explications. La virtualisation serveur fonctionne avec des hyperviseurs qui reposent sur des serveurs physiques. Dans certains cas, on oublie de convoquer la sécurité simplement parce que les serveurs physiques sont déjà sécurisés. L’erreur est de ne pas considérer que cette couche hyperviseur a sa propre logique et contient donc ses propres faiblesses, vulnérabilités.

– Justement, puisque vous parlez de serveurs physiques, je lis dans le même rapport, vous facilitez l’association des torchons et des serviettes. Quelle drôle d’idée d’avoir sur un serveur physique, une machine virtuelle qui va gérer l’administration et une autre la sécurité. Un peu comme si je mettais dans la même cellule Jack l’éventreur et Mme Claude, cela pourrait mal finir…

– Si je peux me permettre, je ne facilite pas cette association, je la permets fonctionnellement. La différence est importante et c’est tout l’enjeu de ce que l’on fait du pouvoir que j’apporte. Cela pose la question de la formation et de la mise en place de nouveaux outils adaptés. Aujourd’hui, cela a changé aussi parce que je suis partout, sur les réseaux, les serveurs, les applications et les équipes sécurité montent en compétence et se sont appropriées ma technologie. La segmentation est adaptée à la réalité fonctionnelle et inclut la sécurité. De même de nouveaux outils de sécurité sont apparus pour m’intégrer. Par exemple, aujourd’hui dans une machine virtuelle, on peut contrôler et même enregistrer tout ce que fait l’utilisateur.  En résumé, si on pouvait me reprocher voici quelques années de ne pas m’intéresser à la sécurité, c’est bien aujourd’hui la sécurité qui s’est intéressée à moi. Que je sache, faire sa diva, cela peut se soigner mais en tout cas, ce n’est pas répréhensible !

–  Vous avez raison sauf si vous faites les poches de la victime ! Venons-en justement à l’objet de cette audience. Vous êtes accusée par une étude parue cet été de Xerfi. Je peux y lire que la virtualisation et la migration vers le cloud dont vous êtes la principale technologie facilitatrice se portent très bien et justement captent une partie des budgets au détriment notamment de la sécurité. Détournement de fonds…

– J’apporte une réponse en termes de productivité et cette productivité se mesure sur la capacité de faire plus avec les mêmes moyens ou bien en diminuant les coûts. Indiscutablement la virtualisation serveurs est une réduction de coût mais également la virtualisation d’applications et de postes de travail. Sur ce segment, Gartner évoque de 40 à 70 % d’économies réalisées sur la gestion du poste informatique. Cela se mesure sur la rationalisation de l’infrastructure, la capacité à gérer des parcs plus importants sans augmentation  de la taille des équipes ou encore la diminution des supports utilisateurs. Sans évoquer le choix d’un équipement en clients légers qui peut être une réduction de coût.

– Si vous permettez des économies, il devrait rester des budgets pour la sécurité ?

– Théoriquement oui mais au final, la virtualisation adresse une problématique de productivité, d’amélioration des coûts. En période économique tendue, ce sont des objectifs prioritaires pour une entreprise. Ils sont gérés en anticipation. Personne ne conteste l’importance de la sécurité mais pour certaines dépenses, on se pose toujours la question tant que l’on n’a pas été confronté au problème. La sécurité est souvent gérée en réaction. Le mieux est de disposer de produits de virtualisation comprenant des éléments actifs de sécurité, traçabilité, contrôle des utilisateurs.

– A vous entendre, vous allez finir par me dire que vous rendez service à la sécurité !

– Et bien, vous ne pensez pas si bien dire, une étude de la fin du mois d’août de KPMG, réalisée auprès de 223 centres hospitaliers aux Etats-Unis, évoque certains risques de sécurité qui sont aujourd’hui au cœur de la réalité de ces établissements. Il me semble que certains pourraient être diminués par une approche de virtualisation. Je prends un seul exemple : les applications métier de la santé peuvent être anciennes pour certaines et ne sont plus toujours adaptées pour un environnement moderne qui a considérablement évolué. Virtualiser ces applications est une façon simple de les positionner dans un cadre maîtrisé, supervisé, contrôlé et sécurisé !

 

Pièces du dossier

Addressing the Most Common Security Risks in Data Center Virtualization Projects – Gartner – janvier 2010 – http://www.gartner.com/DisplayDocument?ref=clientFriendlyUrl&id=1288115

Le marché de la cybersécurité en France et dans le monde – Xerfi – juillet 2015 – http://www.xerfi.com/presentationetude/Le-marche-de-la-cybersecurite-en-France-et-dans-le-monde_5SAE24

HEALTH CARE AND CYBER SECURITY: Increasing Threats Require Increased Capabilities – KPMG – août 2015 – http://advisory.kpmg.us/content/dam/kpmg-advisory/PDFs/ManagementConsulting/2015/KPMG-2015-Cyber-Healthcare-Survey.pdf