> Cloud > Dossier Sécurité : Retours d’expériences sur le terrain (2/3)

Dossier Sécurité : Retours d’expériences sur le terrain (2/3)

Cloud - Par Philippe Gillet - Publié le 03 mai 2011
email

La virtualisation est sûrement l’enjeu majeur de ces prochaines années, notamment avec l’arrivée du Cloud Computing.

Ces derniers mois, de nombreux CSO (RSSI) ainsi que de nombreuses entreprises spécialisées sur la sécurité des systèmes d’informations, ont jeté un pavé dans la marre en affirmant que la virtualisation allait à l’encontre de nombreux principes de sécurité.

Dossier Sécurité : Retours d’expériences sur le terrain (2/3)


De nombreux RSSI, pour faire face à cet inconnu qu’est la virtualisation, se sont donc rapprochés d’experts afin de réaliser des analyses de risques. Mais au-delà des résultats, les méthodologies d’analyses de risques sont elles valides avec la virtualisation ?

Beaucoup diront que les méthodologies sont adaptables à n’importe quelle situation et ils ont partiellement raison ! Les méthodologies sont bien souvent souples et utilisées de manière intelligente par les analystes. Cependant, il conviendra d’être particulièrement prudent sur les points suivants :

1. L’analyse de risque considère qu’une donnée possède un caractère de criticité à un moment précis et que celle-ci est susceptible d’évoluer dans le temps. Mais que se passe-t-il si la donnée change sans arrêt de criticité ? Par exemple, un serveur physique peut posséder plusieurs machines critiques à l’instant T, et n’en posséder aucune à l’instant T + 1.
2. L’analyse de risques considère qu’une vulnérabilité est présente dès lors qu’elle a été considérée comme établie par un processus humain ou automatisé (scanner de vulnérabilité par exemple). Cette vulnérabilité est exploitable suivant divers facteurs comme l’exploitabilité, l’exposition et l’environnement (de manière non exhaustive). Cependant, la virtualisation brise les frontières d’exposition car cela peut changer d’un seul coup (la machine virtuelle peut se retrouver à tout moment sur un réseau complètement différent pour diverses raisons… par exemple un PRA….). L’environnement est lui aussi susceptible de changer car les machines virtuelles se « baladent » de manière plus ou moins libre… (qui n’a jamais été étonné de voir une machine virtuelle apparaître à un endroit où elle n’était pas censée être ?)
3. L’analyse de risque a toujours considéré deux éléments distincts : la donnée et le système qu’il l’héberge. Aujourd’hui la frontière est mince. Les systèmes ne sont en fait que de simples fichiers comme les autres (si ce n’est plus gros…).
4. Les applications deviennent également virtualisées, ce qui signifie qu’on ne pourra plus faire d’association système/applicatif dans un avenir proche. Cela va générer des problématiques totalement nouvelles. Nous aurons par exemple des applications « on demand », c’est-à-dire des applications non installées mais utilisables à tout moment, ce qui est très pratique en soit mais signifie également que nous aurons des vulnérabilités non installées mais bien présentes…Le résultat des outils automatisés (type scanner de vulnérabilités) risque d’être largement mis à mal…

Téléchargez gratuitement cette ressource

Guide de Survie aux Incidents IT

Guide de Survie aux Incidents IT

Découvrez le Top 100 des termes essentiels à une communication claire et précise lors d'un incident informatique. Classés en fonction des 5 phases du cycle de vie des incidents, ce guide de survie exclusif a été créé pour améliorer la communication de crise des équipes IT. Un Must Have !

Cloud - Par Philippe Gillet - Publié le 03 mai 2011