{ "uuid": "4b9bbfb85f049aa163eeacb340163f9a", "slug": "virtualization-host-equipment", "lang": "fr", "audience": null, "count": 6, "conseils": [ { "uuid": "79f93d91bcfe40dd828ca08ce16c70cb", "category": "maintenance", "audience": [ "technician" ], "severity": "critical", "title": "Appliquer les correctifs ESXi / Proxmox / Hyper-V rapidement", "content": "Les hyperviseurs sont des cibles strategiques : une CVE critique permet souvent de compromettre toutes les VM du host. Les vagues ESXiArgs et autres ransomware ciblant directement les hyperviseurs montrent l'urgence. Appliquer les correctifs critiques sous 7 jours, tester en préprod si possible. Maintenir un inventaire a jour des versions déployées." }, { "uuid": "c3c9c460812e4ca9b881ffd862df5392", "category": "operational", "audience": [ "technician", "manager" ], "severity": "mandatory", "title": "Isoler le réseau d'administration de l'hyperviseur", "content": "L'interface de management (vCenter, Proxmox UI, SCVMM) ne doit jamais etre joignable depuis le LAN utilisateurs. Le guide d'hygiene ANSSI mesure 18 impose une segmentation réseau. Deployer un VLAN d'administration dedie, accessible uniquement via bastion avec MFA. Tracer chaque connexion dans le SIEM." }, { "uuid": "edb14f589ee34db194c737736358d903", "category": "operational", "audience": [ "technician" ], "severity": "critical", "title": "Sauvegarder les VM avec une copie hors ligne", "content": "Un ransomware moderne cible directement les volumes des hyperviseurs et les sauvegardes connectees. La règle 3-2-1 (3 copies, 2 supports, 1 hors ligne) est impérative. La copie hors ligne (bande, snapshot immutable, repository air-gapped) doit etre testee chaque mois par une restauration reelle. ISO 27001 A.12.3 et RGPD art. 32." }, { "uuid": "eb604bd4148e44eab1685e44807be2e9", "category": "operational", "audience": [ "technician" ], "severity": "recommended", "title": "Limiter la surallocation de ressources", "content": "Surallouer agressivement CPU, RAM ou stockage entraine un effet domino en cas de pic : toutes les VM ralentissent en meme temps. Respecter un ratio de surallocation raisonnable (CPU 3:1 maximum, RAM 1:1 pour la production, stockage avec marge de 20 a 30%). Monitorer en permanence l'utilisation reelle." }, { "uuid": "ea3d10cfed744a09bafd4a3097df4af8", "category": "safety", "audience": [ "technician", "manager" ], "severity": "recommended", "title": "Eviter de cohabiter VM critiques et VM exposées sur le meme host", "content": "Une vulnerabilite VM escape (sortie de VM vers l'hyperviseur) reste rare mais existe (Spectre, L1TF, MDS, CVE Xen). Pour limiter le risque, ne pas heberger sur le meme host physique une VM exposée sur internet et une VM contenant des données critiques. Utiliser des hosts dedies par niveau de criticite quand c'est possible." }, { "uuid": "653d23ca4345471788cb5a94a2d76d35", "category": "regulatory", "audience": [ "manager", "auditor" ], "severity": "recommended", "title": "Tenir une cartographie des VM avec proprietaire et données", "content": "ISO 27001 A.8.1 et le guide d'hygiene ANSSI mesure 1 imposent un inventaire des actifs. Pour chaque VM, documenter : OS, version, proprietaire métier, type de données hebergees (sensibles RGPD ou non), criticite, date de derniere revue. Cette cartographie est indispensable pour orienter les efforts de sécurité et pour repondre aux audits." } ] }