Pavel Ignatov - Fotolia
Les DSI comprennent-ils bien la sécurité des environnements virtualisés ?
Une étude de Kaspersky donne à penser que les DSI ne comprennent pas vraiment les enjeux de la sécurisation des environnements virtualisés. Au cœur du sujet : le coût des incidents de sécurité.
L’édition 2015 de l’étude de Kaspersky sur la sécurité des environnements virtualisés présente des résultats surprenants. Mais certains experts estiment que les données relatives au coût des brèches de sécurité dans ces environnements ne sont pas présentées de manière très équitable.
Kaspersky a sondé 5 500 entreprise, dans le monde entier, pour réaliser son étude. Selon celle-ci, les PME font état d’un coût moyen de 26 000 $ pour une brèche de sécurité de leur infrastructure informatique physique, contre près de 60 000 $ lorsque des systèmes virtualisés sont affectés.
Dans son rapport, Kaspersky a utilisé le terme de « dommages attendus », ce qui, pour certains experts, tend à indiquer des estimations. Mais Andrey Pozhogin, directeur senior du marketing produit de Kaspersky, explique que les chiffres « ont été calculés à partir de coûts réels rapportés par les entreprises sondées ».
Pour Kaspersky, la principale raison pour ces coûts plus élevés en cas de brêche dans des environnements virtualisés, est que les entreprises tendent à utiliser ces environnements pour leurs activités les plus critiques.
Des comparaisons discutables
Jon Oltsik, analyste principal sénior chez Enterprise Strategy Group, estime toutefois que la manière dont les données sont présentées est susceptible d’induire en erreur : « le rapport indique que les coûts associés à une brèche de données dans une infrastructure virtuelle pourraient être plus importants parce que celle-ci est souvent utilisée pour des applications critiques. C’est comme comparer des oranges avec des pommes. Pour savoir si les coûts d’une brèche de données sont plus élevés sur une infrastructure virtualisée que sur une infrastructure physique, ne faudrait-il pas mesurer ces coûts sur les traitements eux-mêmes ? »
Pour Pozhogin, la comparaison est valide au moins en partie par que Kaspersky considère que « toutes les parties de l’infrastructure de l’entreprise méritent la même attention en termes de sécurité », mais également parce que la valeur des données protégées est la seule raison pour laquelle les coûts sont plus élevés.
Des environnements plus complexes
Et Pozhogin d’expliquer avoir observé que « 56 % des entreprises ne sont pas pleinement préparées pour gérer les risques de sécurité dans un environnement virtuel. Seules 52 % indiquent avoir pleinement compris les risques associés avec les environnements virtualisés ». D’où une véritable prise en tenaille de ces entreprises qui, d’un côté, « confient souvent leurs activités critiques à leur infrastructure virtuelle », mais en parallèle sont confrontées à des questions de sécurité spécifiques « plus difficiles à comprendre ». Dès lors, pour lui, c’est à cette combinaison de facteurs que « les entreprises devraient prêter attention ».
Et de souligner que le but n’est pas là de sous-entendre que les environnements virtualisés sont moins sûrs : « mais la sécurité de n’importe quel type d’infrastructure dépend de la qualité de la protection ».
Selon l’étude de Kaspersky, 34 % des entreprises n’utilisent pas de services de sécurité conçus spécifiquement pour les environnements virtualisés, et n’ont pas conscience des différences entre ces services spécialisés et les services de sécurité traditionnels. Qui plus est, selon l’étude, 39 % des entreprises sont conscientes des différences, mais n’utilisent malgré tout pas ces services dédiés. Pour autant, Pozhogin estime que ces services pourraient tout à la fois réduire les coûts de possession que le risque d’une brèche de sécurité.
Peu protections dédiées à la virtualisation
Si Oltsik estime que les résultats de l’étude de Kaspersky sont biaisés, il reconnaît que la sécurité des infrastructures virtualisées nécessite des outils et des compétences spécifiques : « si vous savez comment configurer proprement les choses et que vous utilisez des outils adaptés à la virtualisation au Cloud, vous pouvez effectivement améliorer les défenses de sécurité. Malheureusement, ces compétences sont relativement ésotériques. Dès lors, de nombreuses organisations se replient sur ce qu’elles savent et essaient d’utiliser leurs outils existants d’une manière pour laquelle ils n’ont pas été conçus. Cela crée un problème, et le point principal de l’étude discutable de Kaspersky ».
Pour Oltsik, la clé de la sécurité des environnements virtuels est l’utilisation d’outils « conscient de la virtualisation », et d’outils de supervision qui utilisent les API des hyperviseurs pour maintenir la visibilité. Reste que ces outils sont souvent jeunes, et nécessitent, encore une fois, de nouvelles compétences. Sans compter des API qui ne sont pas parfaitement complètes : Xen a récemment pris de l’avance en la matière sur ESXi avec l’introduction de capacités avancées d’introspection de la mémoire.
Le problème classique des ressources face à la complexité
De son côté, Larry Ponemon, président et fondateur de l’institut Ponemon, souligne que ses recherches l’ont souvent conduit à trouver que la sécurité se résume en définitive à deux problèmes : la complexité et les ressources. Et cela vaut aussi pour les environnements virtualisés : « l’environnement IT est très complexe lorsqu’il s’agit de réduire le risque. Dès lors, il faut s’attendre à ce que sa sécurité gagne en difficulté alors qu’il gagne en complexité ».
Et si la virtualisation peut donner l’impression de réduire la complexité, notamment en exploitation, prétendre qu’elle n’en induit pas serait une erreur. Pour Oltsik, la virtualisation induit une certaine complexité « puisque vous partagés une boîte physique au travers d’un hyperviseur, de commutateurs virtuels, d’interfaces réseau virtuels, de ressources de stockage virtualisées, etc. On ne peut pas prétendre que tout cela n’existe pas et configurer la sécurité de ses VM comme on le ferait pour une machine physique. Et c’est là que Kaspersky soulève un point clé : beaucoup d’organisations font malheureusement cela ».
Ce qui se traduit alors par une perte de visibilité sur le trafic réseau et sur le comportement du système, ou encore par des outils de sécurité fortement consommateurs de ressources.
Avec nos confrères de SearchSecurity.com.