Les derniers rapports continuent de le montrer : les incertitudes concernant la sécurité du cloud computing et des systèmes de virtualisation freinent leur adoption au sein des entreprises. Et elles ont plutôt raison, si l'on en croit le cabinet d'études Gartner, qui annonce qu'en 2012, 60% des serveurs virtualisés seront moins sécurisés que les serveurs physiques qu'il remplaceront.

Cette tendance tombera à 30% d'ici 2015 et la faute ne vient pas de la virtualisation elle-même mais des conditions dans lesquelles elle est déployée, tempèrent les analystes de Gartner, du fait d'un manque de finalisation des outils et du manque d'expérience des différents acteurs chargés de sa mise en place.

Gartner estime que nombre de projets de virtualisation sont menés sans impliquer la partie sécurité dès le début de la réflexion. Avec une forte montée en charge des flux de données d'entreprise traités par virtualisation, et à mesure que la notion de cloud mobile va s'étendre, cet aspect va pourtant prendre une importance capitale.

Gartner a donc identifié six zones de risques potentielles pour les projets de virtualisation :

  1. 40% des projets de virtualisation seraient menés sans impliquer l'équipe de sécurité dès les premières phases de développement. Cependant, des éléments comme l'hyperviseur ou le gestionnaire de machine virtuelle sont des éléments nouveaux que les équipes opérationnelles ne maîtrisent pas toujours complètement. Il vaudrait mieux prendre en compte les besoins dès le départ plutôt que d'ajouter par la suite des couches de sécurité.
  2. La couche de virtualisation n'est pas immunisée contre des failles qui ne sont pas encore mises en évidence et pourrait être exploitées par la suite. L'hyperviseur, du fait des droits qu'il donne au sein du système de virtualisation, est un élément que des hackers vont chercher à contrôler en priorité. Des politiques de sécurité strictes doivent en limiter les possibilités de modification.
  3. Les systèmes de communication entre machines virtuelles au sein d'un même hôte physique ne sont pas forcément repérables par les outils de monitoring distants. Gartner recommande de mettre en place le même type de monitoring que pour les serveurs physiques.
  4. Il faut penser à bien cloisonner les serveurs virtuels de niveaux de confiance différents lorsqu'ils sont présents sur le même serveur physique et utiliser les mêmes méthodes de séparation que celles des réseaux physiques.
  5. Les droits d'accès aux couches hyperviseur / VMM doivent être soigneusement contrôlés et les politiques de gestion encadrées pour savoir qui fait quoi au sein de quel environnement virtualisé.
  6. Gartner recommande que les équipes en charge de l'organisation de l'architecture des réseaux physiques soient aussi celles chargées de déployer les environnements virtuels, en utilisant les mêmes mécanismes et les mêmes politiques, de manière à éviter des accès inopportuns à des données sensibles.
Source : Gartner