Julien Raigneau

L’hyperviseur : un point faible à ne pas oublier

Notre monde est dominé par les applications : les services sont accessibles d’un clic et les données se cachent dans les nuages.

Alors, il est facile d’oublier que les infrastructures physiques telles que les datacenters, les serveurs et les équipements réseaux sont des rouages indispensables pour le fonctionnement des usines à services.

Les hyperviseurs sont précisément les serveurs-rouages qui soutiennent les machines virtuelles, containers[1] et services associés. Ils peuvent donc être de sérieux points faibles pour la chaîne de production de services, tant en termes de sécurité que de robustesse.

Les mécanismes d'hyperviseur sont complexes et les compétences rares

Passés les premiers moments avec un hyperviseur (n’importe qui[2] est capable d’en installer un), il apparaît rapidement que les différents mécanismes de fonctionnement nécessitent une maîtrise multifacettes. Celle-ci englobe les systèmes d’exploitation mais aussi les réseaux LAN et le stockage et est requise pour assurer la mise en oeuvre et surtout l’exploitation au quotidien.

En effet, un hyperviseur, bien plus que tout autre système informatique, doit bénéficier d’un suivi régulier comprenant le monitoring, les performances, la gestion des incidents, le « capacity planning », etc.

Les changements d'un hyperviseur sont à risque

Il est (relativement) simple de prévoir un changement sur une machine virtuelle ou un conteneur en se protégeant avec les mécanismes de robustesse des différentes technologies (par exemple les snapshots). La modification d’un hyperviseur, cependant, peut être bien plus risquée.

En effet, de multiples problèmes peuvent survenir : des incompatibilités de drivers matériel (cela existe encore !) ou encore, des configurations réseau ou système dysfonctionelles qui affectent l’ensemble des services, même avec la meilleure des préparations.

Et donc, les hyperviseurs ne sont pas toujours mis à jour

Dans la vie idéale de la Production Informatique, les mises à jour sont réalisées régulièrement en passant de version mineure en version mineure plutôt que de « sauter » d’un coup à une version majeure pour rattraper le retard.

Dans la vie réelle, maintenir à jour un hyperviseur est une activité risquée nécessitant organisation, compétences et tests complets… Autant dire qu’il s’agit là d’un exercice qui est souvent repoussé au fil des mois, avec un backlog de correctifs qui grossit au fur et à mesure. Ces retards augmentent d’autant les risques de dysfonctionnement en cas de mise à jour et un cercle vicieux s’installe.

Finalement, les rouages de base de votre infrastructure deviennent obsolètes, avec des vulnérabilités non remédiées et des bugs non corrigés. Soit, tous les ingrédients pour un futur incident majeur.

Ce n'est pas une fatalité

Toutefois, en appliquant avec soin les bonnes pratiques classiques de la production, la mise à jour des hyperviseurs peut être maîtrisée et régulière :

  • Tester systématiquement les mises à jour sur les infrastructures de recette ou non critiques pour s’assurer de la non-régression.
  • Rédiger, répéter et valider les procédures et chronogrammes de mises à jour.
  • Utiliser les mécanismes de déplacement des VM entre plusieurs hyperviseurs pour réaliser les opérations de façon séquentielle.
  • Prévoir des plans de retour en arrière et/ou s’assurer de la capacité de réinstaller rapidement en cas de problème.
  • Avoir des périodes d’observation post mise en production pour valider le bon fonctionnement et les performances de l’hyperviseur mis à jour.
  • Réunir une équipe pluridisciplinaire pour préparer les changements et capable de réagir efficacement en cas de problème.

Enfin, on ne le dira jamais assez : un retour d’expérience (RETEX) avec les équipes doit conclure chaque mise à jour, qu’elle soit réussie ou non, pour mieux mener les prochaines opérations.

Et vous, combien de fois par an mettez-vous à jour vos hyperviseurs ?

Articles associés

IoT : et la sécurité ?

10 novembre 2020
L’internet des objets (IoT) se développe au sein des foyers et de plus en plus dans les entreprises. On y trouve des détecteurs de présence, des tablettes de réservation de salle, des écrans de signalétique, des lecteurs de badge etc. Ces dispositifs sont souvent reliés à d’autres composants du SI diffusant des informations nécessaires aux […]

Sécurité des clés de chiffrement dans le Cloud

22 juillet 2019
La protection des données, et en particulier celles dans le cloud, est capitale aujourd'hui, d'une part à cause des attaques récurrentes sur lesdites données (cf. l'affaire EquiFax) et d'autre part car de nouvelles régulations telles que le GDPR sont apparues et obligent les entreprises à garantir la confidentialité des données sensibles.
Partager cet article
Derniers articles

Chronique d’une attaque annoncée : IOCs vs TTPs

Dans cet article je vous propose d’aborder le sujet de la détection des attaques informatiques et la manière de les contrer. La détection d’une attaque peut se faire en regardant les empreintes laissées par l’attaquant et ses outils, approche Indicateur de Compromission (IOC: Indicator Of Compromise), ou en s’appuyant sur une compréhension du comportement de […]

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]

La nouvelle gestion des ressources humaines

Tout le monde en parle : depuis la crise covid, plus rien n’est comme avant – mais concrètement, qu’est-ce qui a changé ?   Tout d’abord, le recrutement. Dans le secteur de l’IT, il est considéré comme difficile depuis toujours, mais depuis un an ou deux, tous les secteurs sans exception semblent rencontrer des difficultés à embaucher […]

Votre clé USB peut-elle donner l’accès à votre système d’information ?

D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]