Ce livre blanc vous donne des conseils, pour procéder à l’évaluation des infrastructures virtualisées
"1. La virtualisation est omniprésente
L’utilisation de la technologie de virtualisation x86 a régulièrement progressé depuis le début des années 2000. En 2011, la société Veeam a suivi l’adoption de la virtualisation dans les entreprises et a constaté que 39,4% des serveurs d’entreprise étaient des systèmes virtuels, un chiffre qui est probablement encore en hausse.
De plus, 91,9% des entreprises ont opté pour une technologie de virtualisation sous une forme ou une autre, ce qui indique son adoption massive et générale.1 Selon l’étude réalisée par Cisco en 2013, les principales motivations de son adoption sont la plus grande efficacité et les économies engendrées.
Son plus grand point fort : une meilleure évolutivité du système, en particulier dans le cas des nouveaux déploiements.2 La virtualisation ne présente toutefois pas que des avantages. La mise en place de cette technologie peut facilement se traduire par des incompatibilités avec la technologie de sécurité installée, des problèmes de gestion et de cryptage des fichiers et des pertes de performances liées à l’utilisation des solutions antimalwares traditionnelles, entre autres.
2. L’évaluation de l’ampleur du problème selon le PCI Standards Council (2011)
En juin 2011, le Conseil des normes de sécurité PCI (Payment Card Industry) a publié un supplément informatif attendu depuis très longtemps, qui complète la norme de sécurité des données (DSS) et qui se nomme PCI DSS Virtualization Guidelines.
Ce guide collaboratif, réalisé par un groupe d’experts en sécurité et en conformité, regroupe des conseils à l’intention des équipes informatiques, en particulier des experts, pour procéder à l’évaluation des infrastructures virtualisées qui rentrent dans le champ d’application des obligations de mise en conformité des cartes de paiements.
Deux parties essentielles de ce document se démarquent : la première présente les risques de la virtualisation ; la seconde formule des recommandations de contrôle.
Elles sont toutes les deux pertinentes pour atteindre l’objectif visé, la protection des données dans les environnements virtualisés."