MENU
  1. Accueil
  2. Windows
  3. Windows Server
  4. Windows Server 2022 : état de la certification Common Criteria PP‑VIRT (Hyper‑V) et plan d’action conformité

Windows Server 2022 : état de la certification Common Criteria PP‑VIRT (Hyper‑V) et plan d’action conformité

Windows Server

Faut‑il attendre une certification Common Criteria PP‑VIRT (« Hyper‑V ») pour déployer Windows Server 2022 ? Voici l’état des lieux, les différences PP‑GPOS/PP‑VIRT, et un plan d’action concret pour rester conforme sans bloquer vos projets.

Sommaire

Vue d’ensemble

La question revient souvent dans les équipes d’architecture et de conformité : Windows Server 2022 obtiendra‑t‑il, comme Windows Server 2019, la certification Common Criteria selon le Protection Profile for Virtualization (PP‑VIRT, parfois appelée « certification Hyper‑V ») ? À ce jour, le produit est annoncé comme conforme au General Purpose Operating Systems Protection Profile (PP‑GPOS), sans annonce officielle supplémentaire quant à PP‑VIRT. Ce billet expose clairement le statut, les implications concrètes pour vos projets et un plan d’action détaillé pour rester conforme.

Rappel : Common Criteria, PP, EAL et portée d’évaluation

Common Criteria (CC, ISO/CEI 15408) est un cadre d’évaluation de sécurité fondé sur des Profils de Protection (Protection Profiles, PP) et, le cas échéant, des niveaux d’assurance (Evaluation Assurance Levels, EAL). En pratique, pour les systèmes modernes, on parle surtout de conformité à un PP donné (p. ex. PP‑GPOS, PP‑VIRT) plutôt que de « chasser » un EAL élevé. L’important est la portée fonctionnelle : quoi est évalué et selon quels critères.

TermeDéfinition opérationnelleÀ retenir pour vos projets
Protection Profile (PP)Exigences types imposées à une famille de produits (OS, hyperviseurs, VPN…).Conditionne la portée : PP‑GPOS couvre un OS généraliste, PP‑VIRT cible spécifiquement l’infrastructure de virtualisation.
Security Target (ST)Document où l’éditeur déclare les fonctionnalités évaluées et les hypothèses d’usage.Vos contrôles compensatoires s’alignent sur les hypothèses du ST lorsqu’un PP n’est pas (encore) visé.
EALNiveau d’assurance (méthodologie et profondeur de tests).Souvent secondaire face au PP dans les politiques d’agrément modernes.

Statut actuel de Windows Server 2022 vis‑à‑vis de PP‑VIRT

  • Statut : Windows Server 2022 est communiqué comme conforme à PP‑GPOS.
  • Absence d’annonce publique : aucune communication officielle n’indique une évaluation PP‑VIRT en cours ou achevée pour 2022.
  • Point de comparaison : Windows Server 2019 dispose d’une évaluation PP‑VIRT couvrant Hyper‑V (isolation des invités, plan de contrôle, sécurité de l’hyperviseur).
  • Délai typique : historiquement, les cycles d’évaluation PP‑VIRT s’étalent sur ~12–24 mois après la disponibilité générale.

Note : l’état des certifications peut évoluer. En contexte réglementaire, vérifiez systématiquement la liste officielle des produits certifiés (« Certified Product List ») et la documentation éditeur la plus récente avant de prendre un engagement de conformité.

PP‑GPOS vs PP‑VIRT : ce que cela change pour Hyper‑V

Les deux profils répondent à des objectifs différents. PP‑GPOS atteste que le système d’exploitation répond à un socle de sécurité attendu pour un OS généraliste. PP‑VIRT, lui, vise l’infrastructure de virtualisation et ses surfaces d’attaque spécifiques (hyperviseur, isolation, gestion des VMs, canaux d’administration, etc.).

AspectPP‑GPOS (Windows Server 2022)PP‑VIRT (ex. Windows Server 2019)Impact projet
PortéeFonctions OS : authentification, audit, durcissement, services de base.Fonctions de virtualisation : hyperviseur, isolation VM, gestion, I/O virtuels.Avec PP‑GPOS seul, l’hyperviseur Hyper‑V n’est pas au cœur de l’évaluation.
Artefacts testésComposants OS et politiques de sécurité générales.Chemins critiques hyperviseur/VM : mémoire, vSwitch, stockage, migration.Des preuves spécifiques « virtualisation » sont exigées pour PP‑VIRT.
Effort d’intégrationConformité de base plus simple à démontrer.Contrôles et procédures plus fines autour d’Hyper‑V.Sans PP‑VIRT, prévoir des contrôles compensatoires documentés.

Implications réglementaires et scénarios d’acceptation

Selon votre autorité d’agrément (internationale, nationale, sectorielle), l’exigence peut être : « OS conforme PP‑GPOS ou solution de virtualisation conforme PP‑VIRT », ou bien « PP‑VIRT requis pour les hôtes d’exécution d’environnements sensibles ». Trois scénarios se présentent :

  1. PP‑VIRT strictement requis : privilégier Windows Server 2019 pour l’hyperviseur tant que 2022 n’est pas listé PP‑VIRT.
  2. PP‑VIRT recommandé mais substituable : déployer 2022 avec un ensemble de contrôles compensatoires traçables et approuvés.
  3. PP‑GPOS suffisant : 2022 répond au besoin si les hypothèses d’usage (partitionnement, durcissement, journalisation) sont respectées.

Options opératoires tant que PP‑VIRT n’est pas disponible pour 2022

  1. Conserver Windows Server 2019 comme hôte Hyper‑V pour les environnements réglementés nécessitant PP‑VIRT.
  2. Déployer Windows Server 2022 en produisant une preuve de sécurité équivalente : mise en œuvre d’un durcissement renforcé, cartographie des contrôles aux exigences PP‑VIRT et approbation formelle par l’autorité d’agrément.
ObjectifMesures concrètesÉvidences à fournir
Réduire la surface de l’hyperviseurRôle Hyper‑V minimal, suppression des rôles non nécessaires, isolation des workloads sensibles.Liste des rôles/features, captures de configuration, scripts d’installation.
Renforcer l’isolation VMVBS/HVCI, Shielded VMs, vTPM, Secure Boot invités, chiffrement disques invités.Paramétrage GPO/PowerShell, inventaire des VMs, preuve de chiffrement.
Sécuriser le plan de gestionAdmin tiering, comptes JIT/JEA, bastion de management, accès RBAC, journalisation centralisée.Diagrammes d’accès, rôles, journaux d’audit, procédures d’élévation contrôlée.
Protéger données en transitSMB 3/QUIC chiffré, migration live sécurisée, IPsec intra‑cluster si requis.Politiques réseau, captures de paquets, configuration de migration.
Durcir l’hôteSecure Boot UEFI, TPM 2.0, virtualisation‑based security, Credential Guard, Windows Defender, WDAC.Rapports matériels, état Secure Boot/TPM, export Device Guard/WDAC.

Guide de mise en œuvre : durcissement Hyper‑V sur Windows Server 2022

Pré‑requis matériels et firmware

  • Serveurs avec UEFI + Secure Boot activé, TPM 2.0 présent et activé.
  • Désactiver l’hyper‑threading si exigé par votre politique de séparation forte.
  • Mettre à jour microcodes/BIOS et activer les extensions de virtualisation matérielle (Intel VT‑x/EPT ou AMD‑V/RVI).

Configuration du noyau et des protections mémoire

  • Activer la Virtualization‑Based Security (VBS) et l’intégrité de la mémoire (HVCI) sur l’hôte.
  • Activer Credential Guard pour protéger les secrets d’authentification de l’hôte.
  • Implémenter Windows Defender Application Control (WDAC) pour réduire l’exécution de code non approuvé.

Paramètres Hyper‑V clés

  • Utiliser des vSwitchs distincts (management / production / live‑migration) avec isolation L2 (port ACLs, VLANs) et journalisation.
  • Chiffrer la Live Migration et restreindre les hôtes autorisés à y participer.
  • Déployer Shielded VMs et Host Guardian Service (HGS) lorsque la ségrégation des administrateurs invités/hôtes est requise.
  • Activer vTPM et Secure Boot pour les invités modernes ; forcer le chiffrement des VHDX sensibles.
  • Restreindre les integrations services aux fonctionnalités strictement nécessaires.

Plan de contrôle (management plane)

  • Mettre en place un bastion d’administration isolé (saute‑mouton) avec accès Just‑In‑Time et Just‑Enough‑Administration.
  • Segmenter AD et appliquer un tiering des administrateurs (Tier 0 pour les hôtes Hyper‑V).
  • Signer et versionner tous les scripts PowerShell d’exploitation.
  • Centraliser les journaux (sécurité, Hyper‑V, pare‑feu, cluster) et définir des rétentions alignées sur les exigences d’audit.

Stockage, cluster et reprise

  • Chiffrer les volumes (BitLocker, y compris Clustered Shared Volumes).
  • Isoler les réseaux de storage et de quorum, limiter les protocoles exposés.
  • Tester régulièrement la restauration (Bare‑Metal Restore, restauration VM) et documenter les RPO/RTO.

Exemples de vérifications rapides (PowerShell)

# État Secure Boot et TPM
Confirm-SecureBootUEFI
Get-Tpm

# Rôle Hyper-V et fonctionnalités de base

Get-WindowsFeature *Hyper-V*

# VBS / Credential Guard / HVCI

Get-CimInstance -ClassName Win32_DeviceGuard

# Liste des vSwitch et leur type

Get-VMSwitch | Format-Table Name,SwitchType

# Live Migration (extrait)

(Get-VMHost).VirtualMachineMigrationEnabled

Cartographie des exigences PP‑VIRT vers des contrôles concrets

Sans prétendre reproduire l’intégralité des exigences, voici une cartographie utile pour bâtir votre dossier d’acceptation :

Exigence typique PP‑VIRTContrôles proposés sur 2022Preuves/Indicateurs
Isolation mémoire entre VMsVBS/HVCI sur l’hôte, Shielded VMs, vTPM pour invités.États DeviceGuard, configuration HGS, inventaire vTPM.
Chaîne de confiance au démarrageUEFI Secure Boot, attestation TPM, Secure Boot invité.Captures firmware, attestation TPM, policies Secure Boot.
Plan d’administration sécuriséBastion, JIT/JEA, RBAC Hyper‑V, séparation des rôles.Schémas d’accès, rôles, journaux d’élévation.
Protection des données en transitChiffrement Live Migration, SMB chiffré, IPsec intra‑cluster.Paramétrages, captures réseau, politiques IPsec.
Audit et journalisationLogs centralisés (sécurité/Hyper‑V), alertes corrélées.Tableaux de bord SIEM, volumes et rétentions.

Procédure d’acceptation et dossier d’audit

  1. Définir la portée : hôtes Hyper‑V concernés, environnements (prod/QA/dev), données traitées, exigences réglementaires.
  2. Élaborer un ST‑lite : document interne explicitant les hypothèses d’usage et le périmètre évalué.
  3. Cartographier vos contrôles à PP‑VIRT (table ci‑dessus), identifier les écarts et formaliser des PoA&M (Plans d’action et jalons).
  4. Collecter les preuves : exports de configuration, rapports d’audit, journalisation, résultats de tests.
  5. Valider : revue par la sécurité, puis présentation à l’autorité d’agrément pour acceptation des contrôles compensatoires.

Modèles prêts à l’emploi

Clause de « contrôle compensatoire » (exemple)

Dans l’attente d’une éventuelle publication de la certification Common Criteria PP‑VIRT pour Windows Server 2022, l’organisation met en œuvre des mesures équivalentes d’assurance : VBS/HVCI, HGS avec Shielded VMs, bastion d’administration, segmentation réseau, chiffrement des flux de migration et journalisation centralisée. Ces mesures sont évaluées trimestriellement et revues lors de tout changement de périmètre.

Critères de « sortie de dérogation »

  • Disponibilité d’un certificat PP‑VIRT officiellement publié pour Windows Server 2022 (ou version ultérieure retenue).
  • Achèvement d’un test de régression sécurité : comparaison de la posture avant/après.
  • Mise à jour du référentiel de configuration standard (build standard, GPO, scripts).

Plan de veille pratique

  • Vérifier périodiquement la liste des produits certifiés Common Criteria (filtre : « Microsoft », « Operating Systems » ou « Virtualization »).
  • Suivre la documentation de l’éditeur concernant les certifications Windows Server 2016/2019/2022.
  • Programmer un contrôle de rafraîchissement semestriel de votre dossier d’acceptation.

FAQ

Un environnement Hyper‑V basé sur Windows Server 2022 est‑il « interdit » sans PP‑VIRT ?

Non. Tout dépend de votre cadre d’agrément. Certaines autorités exigent PP‑VIRT pour l’hyperviseur ; d’autres acceptent PP‑GPOS avec des contrôles compensatoires. La décision repose sur l’évaluation des risques et les preuves fournies.

Windows Server 2019 doit‑il rester la référence pour les workloads les plus sensibles ?

Si votre politique impose formellement PP‑VIRT pour l’hôte, 2019 reste l’option la plus simple à justifier tant que 2022 n’est pas publié PP‑VIRT. Sinon, 2022 peut être déployé avec un renforcement robuste et une documentation irréprochable.

HGS et Shielded VMs sont‑ils obligatoires ?

Ils ne sont pas « obligatoires » partout, mais ils constituent des arguments forts pour démontrer l’isolation invités/hôte et la maîtrise du plan de contrôle, particulièrement lorsqu’on compense l’absence de PP‑VIRT.

Quelles sont les erreurs fréquentes lors des audits ?

  • Absence d’évidences (captures, exports, journaux) alors que les contrôles existent.
  • Mauvaise séparation des rôles administratifs entre hôte, cluster et invités.
  • Live Migration non chiffrée ou ouverte à des nœuds non approuvés.
  • vSwitch de management mutualisé avec la production.

Checklist rapide d’éligibilité

  • UEFI + Secure Boot + TPM 2.0 activés et attestés.
  • VBS/HVCI et Credential Guard opérationnels.
  • WDAC ou stratégie d’exécution contrôlée déployée.
  • vSwitchs séparés ; migration live chiffrée.
  • Bastion d’administration, JIT/JEA, audit centralisé.
  • Shielded VMs/HGS pour les workloads sensibles.
  • Procédures de sauvegarde/restauration testées.
  • PoA&M et ST‑lite à jour, preuves collectées.

Résumé exécutif

Ce que l’on sait : Windows Server 2022 est communiqué comme certifié PP‑GPOS ; aucune annonce publique ne signale PP‑VIRT pour 2022 au moment d’écrire ces lignes. Ce que cela implique : si PP‑VIRT est une exigence formelle pour l’hyperviseur, maintenez Windows Server 2019 pour ces périmètres. Sinon, 2022 peut être exploité de manière conforme via des contrôles compensatoires solides, une architecture d’isolation stricte et des preuves structurées. Votre plan d’action : durcir l’hôte (VBS/HVCI, WDAC), sécuriser le plan de gestion (bastion, JIT/JEA, RBAC), isoler et chiffrer (vTPM, Shielded VMs, Live Migration), centraliser l’audit, et tenir un dossier d’acceptation vivant. Enfin, surveillez régulièrement les canaux officiels pour capturer toute évolution du statut de certification.

Annexes : où et comment vérifier le statut

  • Common Criteria Certified Product List : filtrer « Microsoft » et « Operating Systems » / « Virtualization » pour repérer les produits et profils concernés.
  • Documentation éditeur : rechercher la page « Common Criteria certifications for Windows Server 2016/2019/2022 » et ses mises à jour.
  • Métier & conformité : aligner vos jalons projets sur une revue semestrielle du statut de certification.

Conclusion

La « certification Hyper‑V » (PP‑VIRT) reste un outil précieux de démonstration pour les environnements où la virtualisation est une cible d’attaque centrale. En l’absence de PP‑VIRT annoncé pour Windows Server 2022, vous avez néanmoins deux trajectoires maîtrisées : conserver 2019 pour les périmètres PP‑VIRT obligatoires, ou déployer 2022 en construisant une équivalence d’assurance documentée et auditable. Dans les deux cas, le succès dépend d’un durcissement rigoureux, d’une isolation défensive (Shielded VMs, vTPM, Live Migration chiffrée), d’un plan d’administration discipliné et d’une traçabilité irréprochable.

Points clés à emporter

  • Windows Server 2022 : conformité PP‑GPOS communiquée ; pas d’annonce publique PP‑VIRT à la date de rédaction.
  • Windows Server 2019 : référence PP‑VIRT pour Hyper‑V si l’exigence est impérative.
  • Contrôles compensatoires possibles sur 2022 : VBS/HVCI, HGS/Shielded VMs, RBAC/JIT/JEA, chiffrement, segmentation, audit.
  • Préparez un dossier d’acceptation solide et mettez‑le à jour semestriellement.
Windows Server
Conformité Hyper-V Windows Server 2022 PP-VIRT PP-GPOS Common Criteria
Sommaire