D'ici 2012, environ deux serveurs virtualisés sur trois seront moins sécurisés que les serveurs physiques qu'ils remplacent, estime le Gartner. Les analystes du cabinet d'études se veulent davantage optimistes à plus long terme, prévoyant que ce taux tombera à un serveur virtualisé sur trois d'ici à la fin 2015. Ceci dit, les analystes pointent du doigt le fait que beaucoup de projets de déploiement de la virtualisation sont mis en oeuvre sans l'implication des équipes en charge de la sécurité informatique lors de la définition de l'architecture initiale. La virtualisation n'est pas une technologie faillible par nature, explique Neil McDonald, le vice-président de Gartner. Mais la plupart des charges virtualisées (ou workloads, c'est à dire le couple constitué par un système d'exploitation et les applications qui s'exécutent dans cet environnement) sont déployées sans une réelle prise en compte des questions de sécurité. Cet état de fait résulte de l'immaturité des outils et des modes opératoires employés, ainsi que de la formation limitée des équipes des entreprises, des consultants et des revendeurs. Photo : Neil McDonald, vice-président de Gartner (D.R.) [[page]] Si Gartner tire la sonnette d'alarme, c'est parce qu'à la fin de l'année 2009, seules 18% des "workload" des centres informatiques qui pouvaient être virtualisées l'ont été. En 2012, cette proportion devrait atteindre 50%. Or, puisque de plus en plus de workloads sont virtualisées, et que des workloads de niveaux de fiabilité différents sont combinées, et que les workload deviennent de plus en plus mobiles, les problèmes de sécurité doivent être surveillés de bien plus près. Selon le cabinet d'études, les risques de sécurité majeurs liés à la virtualisation sont au nombre de six : - Les équipes dédiées à la sécurité informatique ne sont pas assez impliquées en amont des projets de virtualisation, - Une mise en péril de la couche de virtualisation peut aboutir à une mise en péril de toutes les "workload" hébergées, - Le manque de visibilité et de contrôle sur les réseaux virtuels internes créés pour permettre aux machines virtuelles de communiquer entre elles rend inopérant les mécanismes existants de mise en oeuvre des politiques de sécurité, - Des workloads offrant différents niveaux de confiance sont consolidées sur un seul serveur physique, - sans les contrôles adéquats sur les accès à l'hyperviseur, - Il existe une perte potentielle de séparation entre les tâches de contrôle liées à la sécurité et celles liées aux réseaux.