Chapitre 5 — Virtualisation, Conteneurs & IoT
La virtualisation et les conteneurs transforment l'infrastructure moderne. Ce module couvre les hyperviseurs, la sécurité des VMs, les conteneurs Docker/Kubernetes, et les considérations de sécurité IoT/OT.
Mémorisez ! Type 1 (bare-metal) = hyperviseur directement sur le matériel (VMware ESXi, Hyper-V, Xen). Type 2 (hosted) = hyperviseur sur un OS hôte (VirtualBox, VMware Workstation). Type 1 est plus performant et sécurisé pour la production.
| Hyperviseur | Fonctionnement | Sécurité | Exemples |
|---|---|---|---|
| Type 1 (Bare-metal) | Directement sur le matériel, pas d'OS hôte | Surface d'attaque réduite, plus isolé | VMware ESXi, Microsoft Hyper-V, Xen, KVM |
| Type 2 (Hosted) | S'exécute sur un OS hôte (Windows, Linux, macOS) | Surface d'attaque plus large (OS hôte compromis → VMs compromises) | VirtualBox, VMware Workstation, Parallels |
Risques de Virtualisation
- VM Escape : une VM parvient à s'échapper de son environnement isolé et à accéder à l'hyperviseur ou à d'autres VMs. Attaque critique mais rare.
- VM Sprawl : prolifération non contrôlée de VMs. Des VMs oubliées et non patchées créent des vulnérabilités.
- Resource Contention : une VM consomme trop de ressources, affectant les autres (déni de service interne).
- Snapshot Security : les snapshots contiennent l'état complet de la VM (y compris les clés de chiffrement en mémoire). Doivent être sécurisés et supprimés régulièrement.
- VM Data Remanence : données résiduelles dans les fichiers VM même après suppression — chiffrement des disques VM recommandé.
Les conteneurs partagent le noyau OS de l'hôte (contrairement aux VMs qui ont chacune leur OS). Plus légers mais isolation plus faible.
- Docker : plateforme de conteneurisation. Les images Docker doivent être scannées pour les vulnérabilités.
- Kubernetes (K8s) : orchestration de conteneurs — gère le déploiement, la mise à l'échelle, la mise en réseau des conteneurs.
- Risques conteneurs : image non sécurisée, configuration permissive (root dans conteneur), exploitation du noyau partagé.
- Image Scanning : scanner les images Docker avant déploiement (Trivy, Snyk, Clair).
- Runtime Security : surveiller le comportement des conteneurs en production (Falco).
- Namespace Isolation : Linux namespaces isolent les conteneurs (PID, réseau, filesystem) — l'isolation est moins stricte qu'une VM.
Astuce Examen
VM vs Conteneur : VM = OS complet isolé → meilleure isolation, plus lourd. Conteneur = partage le noyau → plus léger, isolation moindre. Si une question mentionne "isolation maximale entre workloads", la réponse est les VMs (pas les conteneurs).
L'IoT (Internet of Things) et les systèmes OT (Operational Technology) posent des défis de sécurité uniques.
- SCADA (Supervisory Control and Data Acquisition) : systèmes de contrôle industriels (centrales électriques, usines, eau). Souvent conçus sans sécurité cyber.
- ICS (Industrial Control Systems) : englobe SCADA + DCS + PLCs. Critique pour les infrastructures nationales.
- PLC (Programmable Logic Controller) : automatisent les processus industriels. Vulnérables si connectés à des réseaux IP.
- Défis IoT : mises à jour rares/impossibles, mots de passe par défaut, protocoles propriétaires, ressources limitées (pas de chiffrement).
- Segmentation IoT : isoler les appareils IoT dans un VLAN dédié — limiter leur accès au reste du réseau.
- Firmware Security : vérifier l'intégrité du firmware (signature), désactiver les interfaces de débogage (JTAG, UART).