Pour le technicien qui intervient.
Les hyperviseurs sont des cibles strategiques : une CVE critique permet souvent de compromettre toutes les VM du host. Les vagues ESXiArgs et autres ransomware ciblant directement les hyperviseurs montrent l'urgence. Appliquer les correctifs critiques sous 7 jours, tester en préprod si possible. Maintenir un inventaire a jour des versions déployées.
Un ransomware moderne cible directement les volumes des hyperviseurs et les sauvegardes connectees. La règle 3-2-1 (3 copies, 2 supports, 1 hors ligne) est impérative. La copie hors ligne (bande, snapshot immutable, repository air-gapped) doit etre testee chaque mois par une restauration reelle. ISO 27001 A.12.3 et RGPD art. 32.
L'interface de management (vCenter, Proxmox UI, SCVMM) ne doit jamais etre joignable depuis le LAN utilisateurs. Le guide d'hygiene ANSSI mesure 18 impose une segmentation réseau. Deployer un VLAN d'administration dedie, accessible uniquement via bastion avec MFA. Tracer chaque connexion dans le SIEM.
Surallouer agressivement CPU, RAM ou stockage entraine un effet domino en cas de pic : toutes les VM ralentissent en meme temps. Respecter un ratio de surallocation raisonnable (CPU 3:1 maximum, RAM 1:1 pour la production, stockage avec marge de 20 a 30%). Monitorer en permanence l'utilisation reelle.
Une vulnerabilite VM escape (sortie de VM vers l'hyperviseur) reste rare mais existe (Spectre, L1TF, MDS, CVE Xen). Pour limiter le risque, ne pas heberger sur le meme host physique une VM exposée sur internet et une VM contenant des données critiques. Utiliser des hosts dedies par niveau de criticite quand c'est possible.
Pour le responsable / gestionnaire.
L'interface de management (vCenter, Proxmox UI, SCVMM) ne doit jamais etre joignable depuis le LAN utilisateurs. Le guide d'hygiene ANSSI mesure 18 impose une segmentation réseau. Deployer un VLAN d'administration dedie, accessible uniquement via bastion avec MFA. Tracer chaque connexion dans le SIEM.
Une vulnerabilite VM escape (sortie de VM vers l'hyperviseur) reste rare mais existe (Spectre, L1TF, MDS, CVE Xen). Pour limiter le risque, ne pas heberger sur le meme host physique une VM exposée sur internet et une VM contenant des données critiques. Utiliser des hosts dedies par niveau de criticite quand c'est possible.
ISO 27001 A.8.1 et le guide d'hygiene ANSSI mesure 1 imposent un inventaire des actifs. Pour chaque VM, documenter : OS, version, proprietaire métier, type de données hebergees (sensibles RGPD ou non), criticite, date de derniere revue. Cette cartographie est indispensable pour orienter les efforts de sécurité et pour repondre aux audits.
Pour l'auditeur et le contrôle de conformité.
ISO 27001 A.8.1 et le guide d'hygiene ANSSI mesure 1 imposent un inventaire des actifs. Pour chaque VM, documenter : OS, version, proprietaire métier, type de données hebergees (sensibles RGPD ou non), criticite, date de derniere revue. Cette cartographie est indispensable pour orienter les efforts de sécurité et pour repondre aux audits.