ObjectifCyber

Chapitre 5 — Virtualisation, Conteneurs & IoT

La virtualisation et les conteneurs transforment l'infrastructure moderne. Ce module couvre les hyperviseurs, la sécurité des VMs, les conteneurs Docker/Kubernetes, et les considérations de sécurité IoT/OT.

Mémorisez ! Type 1 (bare-metal) = hyperviseur directement sur le matériel (VMware ESXi, Hyper-V, Xen). Type 2 (hosted) = hyperviseur sur un OS hôte (VirtualBox, VMware Workstation). Type 1 est plus performant et sécurisé pour la production.
HyperviseurFonctionnementSécuritéExemples
Type 1 (Bare-metal)Directement sur le matériel, pas d'OS hôteSurface d'attaque réduite, plus isoléVMware ESXi, Microsoft Hyper-V, Xen, KVM
Type 2 (Hosted)S'exécute sur un OS hôte (Windows, Linux, macOS)Surface d'attaque plus large (OS hôte compromis → VMs compromises)VirtualBox, VMware Workstation, Parallels

Risques de Virtualisation

Les conteneurs partagent le noyau OS de l'hôte (contrairement aux VMs qui ont chacune leur OS). Plus légers mais isolation plus faible.

Astuce Examen

VM vs Conteneur : VM = OS complet isolé → meilleure isolation, plus lourd. Conteneur = partage le noyau → plus léger, isolation moindre. Si une question mentionne "isolation maximale entre workloads", la réponse est les VMs (pas les conteneurs).

L'IoT (Internet of Things) et les systèmes OT (Operational Technology) posent des défis de sécurité uniques.

1. Quel est le risque d'une "VM Escape" ?

VM Escape est une des attaques les plus critiques en virtualisation. Si une VM peut "s'échapper", elle a potentiellement accès à l'hyperviseur (contrôle total) et à toutes les autres VMs sur l'hôte. Mise à jour régulière de l'hyperviseur est essentielle.

2. Quelle est la principale différence de sécurité entre un hyperviseur de Type 1 et de Type 2 ?

Hyperviseur Type 2 = si l'OS hôte (Windows, macOS) est compromis, toutes les VMs peuvent l'être aussi. Type 1 (bare-metal) n'a pas d'OS hôte sous-jacent — surface d'attaque réduite, meilleur pour la production.

3. Pourquoi les conteneurs offrent-ils une isolation plus faible que les VMs ?

Les VMs ont chacune leur propre OS complet — totalement isolées au niveau noyau. Les conteneurs partagent le noyau Linux de l'hôte. Une exploitation de vulnérabilité kernel (ex: dirty pipe) peut affecter tous les conteneurs en même temps.

4. Le "VM Sprawl" est un problème de sécurité lié à :

VM Sprawl = trop de VMs créées facilement, souvent abandonnées après un projet. Ces VMs oubliées ne sont plus patchées, deviennent vulnérables et représentent un vecteur d'attaque. Solution : inventaire VM, politiques de durée de vie, gouvernance du cloud.

5. Pourquoi les systèmes SCADA/ICS sont-ils difficiles à sécuriser dans les environnements modernes ?

Les systèmes SCADA ont été conçus dans les années 1970-80 pour la fiabilité et la disponibilité, sans considération pour la cybersécurité. Mise à jour difficile (arrêt de production requis), OS Windows XP non supporté encore courant, protocoles comme Modbus non chiffrés.

6. Quelle bonne pratique réduit le risque associé aux snapshots de VMs ?

Les snapshots contiennent l'état complet de la VM : mémoire, disque, clés de chiffrement actives. Mal sécurisés ou stockés trop longtemps, ils représentent un risque. Chiffrer le datastore, supprimer les snapshots devenus inutiles, contrôler qui peut créer/accéder aux snapshots.

7. La meilleure pratique pour sécuriser les appareils IoT sur un réseau d'entreprise est :

La segmentation via VLAN dédié est la pratique principale pour l'IoT. Les appareils IoT souvent non patchables deviennent une menace si compromis. Les isoler limite les mouvements latéraux potentiels vers le réseau interne.

8. Kubernetes (K8s) est principalement utilisé pour :

Kubernetes orchestre les conteneurs : déploiement automatique, mise à l'échelle (scaling), load balancing, rolling updates, self-healing. Il gère des clusters de milliers de conteneurs. La sécurité K8s inclut RBAC, Network Policies, Pod Security Standards.

9. Le "Firmware Security" pour les appareils IoT inclut :

La sécurité du firmware IoT comprend : vérification d'intégrité (hash/signature), désactivation des interfaces de débogage physiques (JTAG, UART, serial) qui permettent l'accès direct au système, et processus de mise à jour sécurisée (OTA avec signature).

10. Quelle est la principale recommandation lors de la réception d'un appareil IoT par défaut ?

La première action est toujours de changer les credentials par défaut. Les IoT souvent livrés avec admin/admin ou admin/password — ces credentials sont publics et les attaquants les essaient en premier. Le botnet Mirai s'est propagé en exploitant des credentials par défaut non changés.