« Avec la virtualisation, on donne des responsabilités supplémentaires à des collaborateurs qui ne sont pas forcément taillés pour les assumer », constate l’un des RSSI membre de SecurityVibes lors de ce quatrième petit-déjeuner débat. Et de fait un administrateur système à qui l’on confie les clés de l’hyperviseur devient également administrateur réseau… sans y être toujours préparé !

Un nouveau métier

C’est d’ailleurs un tout nouveau métier qui semble naître avec la virtualisation. « Le responsable l’hyperviseur doit connaître à la fois le système, le réseau et le stockage. C’est une nouvelle fonction qui exige de plus grandes compétences que celles qui étaient demandées jusqu’à présent », confirme un autre RSSI.

Mais cette nécessité peut aussi être vue comme une opportunité : « nous ne cherchons pas forcément à reproduire l’organisation existante, avec ses spécialistes isolés. Le passage à la virtualisation peut aussi être l’occasion d’optimiser ou de réduire les équipes », avance un autre participants. Ainsi, avec la consolidation des serveurs viendrait celle des équipes, contraintes de diminuer en taille et de monter en compétence ?

A noter toutefois, signale un membre de SecurityVibes, l’approche à contre courant adoptée par Xen, qui aurait plutôt tendance à dédier un environnement virtuel spécifique et séparé aux administrateurs du réseau virtuel, qui retrouvent alors leurs habitudes et conservent leur rôle.

Pour les plus optimistes, la consolidation des équipes, qui reste la tendance majoritaire, est toutefois bonne nouvelle : « c’est l’occasion de briser le cloisonnement entre les domaines des systèmes, du réseau et du stockage puisque le même expert sera désormais confronté aux contraintes de tous ces spécialistes à la fois », observe un RSSI.

Mais s’il n’est pas possible de trouver la perle rare multi-talents, quel profil privilégier ? « Si je devais recruter une seule personne pour gérer l’hyperviseur, je prendrais un profil réseau / sécurité. Car le reste, si les builds et le provisionning sont bien encadrés, ça marche tout seul », avance un autre participant.

Mais hormis le cumul des compétences exigé des équipes, la virtualisation change-t-elle vraiment quelque chose au quotidien du RSSI ? « Je n’ai pas cette impression : on ajoute certes un composant actif critique. Mais n’a-t-on pas déjà des processus pour garantir la sécurité de tels composants ? ». Une approche pleine de bon sens, mais que d’autres RSSI ont tout de même tempéré, notamment à cause de l’incapacité de nombreux éditeurs à assurer aujourd’hui encore le support de leurs solutions en environnement virtualisé. « Beaucoup d’entre nous subissent la roadmap des éditeurs qui ne supportent pas encore la virtualisation, et nous ne pouvons donc virtualiser comme nous le voudrions, ou en toute sécurité », ont fait remarqués deux participants. Les protections logicielles, et notamment les « dongles » physiques, par exemple, posent bien entendu les plus gros casse-tête dans ce domaine.

Et la conformité ?

La question de l’impact de la virtualisation sur les obligations réglementaires a également été abordée grâce à l’expérience de participants ayant eu maintenir leur conformité SOX et PCI-DSS alors que les systèmes cibles étaient virtualisés. « Pour SOX cela ne change pas grand chose », témoigne un participant. « Il faudra toutefois réécrire les procédures liées au stockage, notamment, car la virtualisation change la manière dont les données sont stockées ».

En ce qui concerne PCI-DSS en revanche les choses peuvent être différentes. « Parce que la virtualisation touche aux politiques d’accès et de journalisation, et donne beaucoup plus de pouvoir à l’administrateur, l’impact sur la norme peut être plus important selon les cas », met en garde un participant.

Et cela sans compter la segmentation des réseaux, une notion-clé dans PCI-DSS, qui pourra être modifiée par la virtualisation : si une seule machine virtuelle traite des données bancaires, faut-il alors considérer tout le châssis (et donc les autres machines virtuelles) comme faisant partie du périmètre PCI ? Personne n’a semblé avoir de réponse définitive à cette question lors de notre débat. Toutefois, selon Eric Domage, d’IDC a prévenu : « certains QSA en Angleterre commencent à demander une cartographie des machines virtuelles, même si le conseil PCI ne le demande pas encore ».

Cela pourrait cependant être bientôt le cas : le conseil PCI s’est penché sur le sujet de la virtualisation et il est censé rendre ses premières observations ce mois-ci.