La virtualisation constitue l’un des piliers de l’informatique moderne, mais elle n’est pas sans défis de sécurité. Le premier problème : le nombre d’instances de serveurs virtualisés (machines virtuelles, ou VM) que les administrateurs doivent désormais défendre, ce qui crée une surface d’attaque constamment croissante pour les cybercriminels.
Un second point : les serveurs d’aujourd’hui sont presque toujours physiquement éloignés. Dans un environnement sur site, cela signifie que les machines se trouvent dans un autre bâtiment. À l’inverse, dans le cas des services cloud, elles peuvent être à des milliers de kilomètres. Bien que cela ne soit pas nécessairement moins sécurisé, cela accroît la probabilité qu’un serveur soit un jour « oublié ».
Pour rester protégées, les organisations ont besoin de contrôles d’accès robustes. L’authentification multifacteur (MFA) et des politiques d’accès contextuelles sont indispensables.
Mais dans un environnement Microsoft, la mise en œuvre de ces mesures se complique rapidement.
Le défi de mettre en place la MFA pour les VM
La manière dont les équipes IT implémentent des contrôles d’accès robustes dépend de l’état de l’organisation : majoritairement sur site, migrée vers Entra ID, ou sur un modèle hybride combinant les deux.
Et lorsqu’il s’agit d’appliquer la MFA à l’accès aux VM Windows Server, les options se restreignent encore davantage.
Le problème : la MFA n’est pas intégrée à l’infrastructure des serveurs virtuels ; elle constitue toujours une couche supplémentaire. Le système d’authentification doit prendre en charge la MFA sur plusieurs types de VM Windows, qu’elles soient dans le cloud ou sur site.
Malheureusement, cela signifie souvent que les équipes investissent en temps et en argent dans une infrastructure supplémentaire qui complexifie leur travail.
Le dilemme de l’authentification : les VM d’aujourd’hui peuvent être partout
À l’origine, un serveur était une machine physique exécutant un seul système d’exploitation sur un matériel dédié. Aujourd’hui, pour des raisons de scale et d’efficacité, presque tous les serveurs fonctionnent sur des VM dans lesquelles plusieurs copies de l’OS coexistent sur le même matériel. Le clustering permet d’exécuter plusieurs VM comme une seule unité logique, la charge étant répartie à l’aide de load‑balancing.
Ce concept a permis l’émergence du cloud car il autorise d’importants volumes de serveurs dans des centres de données gérés par des fournisseurs de services. Les organisations peuvent ainsi consommer des ressources serveur sans se soucier de leur provisionnement physique, illustrant le concept de plateforme‑en‑tant‑que‑service (PaaS).
Le revers : les organisations gèrent désormais deux environnements ou plus :
- des serveurs VM traditionnels avec leurs applications sur site,
- et d’autres à distance, dans le cloud.
Inévitablement, cela a un impact massif sur la sécurité : les organisations doivent choisir si l’authentification est gérée depuis leur propre réseau via Active Directory ou via un fournisseur de services tiers.
Mettre en place la MFA pour les VM exige une surveillance rigoureuse
Sécuriser les VM nécessite une surveillance bien conçue. La MFA n’est pas une technologie « installer et oublier » — elle requiert une vigilance constante. Cela s’applique à tout accès utilisateur, et encore plus aux connexions serveur qui protègent un actif central.
C’est pourquoi l’un des critères les plus importants pour une plateforme MFA est la façon dont les événements sont remontés aux administrateurs. Si quelque chose de suspect ou inhabituel survient, les administrateurs doivent toujours être les premiers informés. Le système MFA doit pouvoir leur fournir le contexte complet autour de l’alerte.
MFA pour VM : choisir la bonne option
Il n’existe pas de réponse unique.
Une option : les outils et services natifs de Microsoft.
- Pour les clients orientés cloud : IAM Entra ID avec MFA et contrôle d’accès basé sur les rôles (RBAC).
- Pour les environnements sur site ou hybrides : cette même option, enrichie par des outils supplémentaires tels que Active Directory Federated Services (AD FS), Entra Connect Sync et Entra Cloud Sync selon l’architecture.
Beaucoup d’organisations constatent que l’inconvénient de ces outils est qu’ils ajoutent de la complexité et, dans bien des cas, un surcoût.
Vérifier l’accès aux serveurs VM sans accroître la complexité
La vraie question : comment les organisations dotées d’une infrastructure sur site ou hybride peuvent-elles sécuriser au mieux leurs VM Windows Server ? La majorité souhaite instaurer la MFA et les contrôles d’accès sans refaire toute l’infrastructure ni augmenter la charge de gestion.
Une approche simple consiste à superposer la MFA et des contrôles d’accès granulaires à ce qui est déjà défini dans Active Directory. Cela permet aux équipes IT de sécuriser les VM Windows Server à partir des utilisateurs, groupes et UO AD existants, sans reconstruire l’infrastructure d’identité.
Le même modèle peut ensuite être étendu au cloud. En étendant l’authentification sécurisée des identités AD sur site vers le cloud, les équipes maintiennent un contrôle centralisé, peu importe où l’infrastructure est hébergée.
Cela signifie que les organisations qui privilégient le contrôle sur site peuvent avoir le meilleur des deux mondes : mettre en œuvre des contrôles MFA sur leurs VM, où qu’elles soient.
Surveiller les connexions aux VM pour détecter les activités suspectes
La MFA est indispensable, mais ce n’est qu’une partie du tableau. La visibilité sur les activités d’authentification – réussies et échouées – est tout aussi importante.
Même lorsque les VM sont gérées via Entra ID, une surveillance centralisée garantit que les violations de règles sont immédiatement signalées aux administrateurs. L’accès peut aussi être restreint selon le contexte : emplacement, horaire, etc.
Une surveillance efficace fait partie intégrante de la gestion. Gardez à l’esprit que si la gestion bas‑niveau des VM est réservée aux administrateurs, les applications qui y sont hébergées peuvent être accessibles par tout utilisateur. Les cybercriminels ne ciblent pas seulement les comptes d’administrateur ; les comptes « humbles » sont eux aussi une cible populaire.
Simplifier la MFA pour VM
L’expansion rapide de l’infrastructure VM a posé plusieurs problèmes aux organisations.
Elles savent que leur surface d’attaque a grandi, ce qui rend la MFA désormais indispensable.
Pourtant, la mise en œuvre peut s’avérer complexe. Gérer des VM dans des environnements hybrides implique de combler les écarts d’identité et d’authentification entre l’on‑premises et le cloud.
Les plateformes ont tendance à supposer que toutes les organisations migrent ou ont déjà migré vers un fournisseur d’identité cloud (IdP). Or, ce n’est pas toujours le cas, et cela peut poser problème pour celles qui valorisent le contrôle et la certitude qu’offre l’Active Directory sur site.
Des solutions comme UserLock proposent de simplifier la sécurité des VM Windows Server. Elles permettent de continuer à utiliser la base d’authentification sur site déjà en place : Active Directory. Et ce, sans perdre la capacité de gérer et de surveiller les VM hébergées dans le cloud via Entra ID.
