Spécial sécurité : virtualiser n'est pas sécuriser

Tout au long du mois d’août, LeMagIT vous propose de découvrir en avant première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira en septembre. Dans cette édition, la rédaction de CNIS signale un guide de référence pour sécuriser ses machines virtuelles (VM) en environnement Microsoft.

cnis logosnoirSommaire :

- 1 - Un premier guide MS sur la protection des VM

- 2 - Best Western : à l’Ouest, du nouveau

1) Un premier guide MS sur la protection des VM

La semaine dernière, Microsoft assouplissait considérablement sa politique de licence, autorisant la copie d’applications serveur d’une machine à l’autre afin d’optimiser les répartitions de charge. Mais cette nouvelle façon de travailler et d’organiser une infrastructure d’applications d’entreprise ne va pas sans poser de très gros problèmes de sécurité. Mouvance des programmes, caractéristiques un peu trop « spéciales » des capsules virtuelles qui hébergent lesdits programmes, mécanismes de sauvegarde et de réplication parfois à l’opposé des méthodes traditionnelles, il fallait bien qu’un jour les équipes de Corp commencent à travailler sur une procédure sérieuse de sécurisation.

C’est désormais une chose bien entamée avec la publication d’un document du Technet intitulé «  Security Considerations with Forefront Edge Virtual Deployments ». Il s’agit là d’une procédure pas à pas destinée à guider le RSSI dans l’installation des VM d’une part, de Forefront et ISA Server d’autre part, afin que cet ensemble puisse fonctionner sans offrir le flanc à d’éventuelles attaques extérieures. Le seul chapitre portant sur les mesures de restriction relatives aux réseaux virtuels et réels reliant les différentes applications Serveur justifie à lui seul la lecture de ces quelques 17 pages. Tout comme celui relatif aux hiérarchisations des signatures de sécurité. Certains points peuvent paraître évidents… mais sont-ils toujours strictement observés ? A lire donc, à modéliser ensuite.

2) Best Western : à l’Ouest, du nouveau

La chaîne Best Western revoit à la baisse, nous apprend le Security Focus, l’envergure du vol d’identités dont elle aurait été victime (voir article du 25 août dernier). L’affaire, « surmédiatisée », estime la direction de l’entreprise, se limiterait à la présence d’un Troyen dans les machines d’un établissement berlinois, lequel aurait permis trois tentatives successives d’accès aux données locales. Pas de panique donc, nous ne sommes qu’à moitié hackés, les propos de ces journalistes sont irresponsables et nuisent à notre image de marque, déclarent en substance les patrons de Best Western.

Comme mentionné au fil de nos précédents articles, l’ampleur d’un vol d’identités n’est pas le fait le plus important. Ni même l’intrusion elle-même, compte-tenu du polymorphisme des attaques possibles et de la quasi impossibilité de mettre en œuvre un système informatique inviolable. Ce qui est peut-être plus condamnable, c’est qu’il soit possible d’atteindre ne serait-ce qu’une seule donnée de réservation. Car, si l’intrusion doit faire partie du « probable quotidien », la première des prudences est de mettre en œuvre des procédures systématiques de chiffrement. Sans cette précaution élémentaire, une seule fuite est une fuite de trop, une fuite coupable. L’unique façon de minimiser les pertes d’un champ de bataille, c’est d’éviter que ne se déroule la bataille en question, soit par la diplomatie, soit par la ruse.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)