Gestion des correctifs en entreprise : 7 bonnes pratiques
Si la responsabilité n’est pas des plus passionnantes, ne nions pas la valeur d’une stratégie de gestion des correctifs bien menée. Inspirez-vous de ces bonnes pratiques pour garantir la fluidité du processus.
La gestion des correctifs en entreprise exige un juste équilibre entre préparation, rapidité et agilité. Sans processus et outils adéquats à disposition, le déploiement des correctifs risque vite de prendre du retard. En cas de mauvaise gestion des correctifs, vous vous exposez inutilement à des failles de sécurité ou à un dysfonctionnement des systèmes, des applications et des services.
De nos jours, les points de terminaison à surveiller sont plus nombreux que jamais, des applications et serveurs à l’infrastructure et aux équipements IoT. En outre, les violations de données peuvent aboutir au vol ou à la perte d’informations confidentielles. En cas d’exposition prolongée de ces systèmes, il y a fort à parier que les interruptions de service s’intensifieront et que l’entreprise ne sera plus à même de servir correctement sa clientèle.
Il ne suffit plus de compter sur une protection du réseau et du périmètre, notamment sur des pare-feu, systèmes de prévention d’intrusion (IPS) et autres outils de cybersécurité. Des vulnérabilités inédites font constamment surface, et les outils de type périmétriques ne sont plus en mesure de vous protéger contre les nouvelles agressions. C’est pourquoi la mise à jour des logiciels et des firmwares s’avère une arme plus efficace contre les vulnérabilités de ce type.
C’est bien connu, la gestion des correctifs ne fait pas partie des attributions les plus fun ou les plus intéressantes des administrateurs informatiques. Mais si le travail est bien fait, les résultats n’ont pas de prix. Le temps et les efforts consacrés à l’apprentissage des bonnes pratiques du domaine en valent vraiment la peine.
Voici sept conseils à suivre pour garantir le bon déroulement de la gestion des correctifs et éviter quelques aléas imprévisibles.
1. Toujours savoir où déployer les correctifs
Identifiez les cibles et leur emplacement. Les points terminaux, les serveurs, les applications et les services que doit surveiller votre service informatique changent sans cesse. Ils peuvent se trouver sur site, dans le cloud ou sur Internet. Tous les responsables de la stratégie de déploiement des correctifs à l’échelle de l’entreprise doivent être systématiquement tenus informés des moindres modifications.
Bien qu’il soit possible de tracer les ressources informatiques manuellement, il est souvent préférable d’utiliser des outils pour surveiller en continu les équipements, le réseau et les applications, et en dresser l’inventaire. Grâce aux solutions de surveillance et d’inventaire de la gestion des correctifs, les entreprises peuvent détecter et tracer les équipements sur lesquels les mises à jour critiques ne sont pas déployées, afin de veiller à ce que rien ne passe à travers les mailles du filet.
2. Classer les systèmes en fonction de la criticité de chacun
Les applications, les systèmes et les plateformes ne sont pas tous égaux en matière de gestion des correctifs. Une vulnérabilité visant l’infrastructure réseau et serveur critique – par exemple – risque de faire beaucoup plus de dégâts que si elle porte sur des applications et des services non essentiels.
C’est pourquoi les entreprises doivent évaluer et classer soigneusement les systèmes en fonction de leur niveau critique, et commencer par déployer les correctifs sur les éléments les plus vitaux.
3. Créer des procédures de déploiement standard et d’urgence
La stratégie de gestion des correctifs d’une entreprise doit prévoir deux procédures : la procédure normale (ou standard) et la procédure d’urgence. Les procédures standard détaillent les mesures à prendre dans le cas d’un déploiement normal des correctifs, programmé à intervalles réguliers. On y prévoit les dates et les fenêtres de maintenance spécifiques pendant lesquelles le déploiement interviendra sur les différents composants d’infrastructure.
La procédure standard est d’une grande utilité, car elle permet aux administrateurs de respecter un calendrier et de ne prendre aucun retard. En outre, la programmation permet d’avertir les directeurs de service et les utilisateurs bien en avance par rapport à une intervention de maintenance susceptible de perturber leur travail.
Les procédures d’urgence s’appliquent lorsqu’il faut installer un correctif (un correctif de sécurité en général) en dehors de la fenêtre standard prévue. Utilisez les procédures d’urgence avec parcimonie et prenez grand soin de fixer les seuils à atteindre pour qu’une fenêtre soit approuvée. Les procédures d’urgence doivent aussi préciser les étapes et canaux de communication permettant de prévenir correctement les services, les utilisateurs et les clients concernés.
4. Comprendre le calendrier de publication des correctifs de chaque fournisseur
Le nombre et le type des systèmes d’exploitation, des applications et des firmwares des équipements terminaux varient considérablement d’une entreprise à l’autre. Il en va de même pour les annonces de correctifs et les calendriers de publication. Par exemple, Microsoft a pour règle de publier les correctifs logiciels tous les mois (le Patch Tuesday). Les autres fournisseurs adoptent leurs propres calendriers.
Les administrateurs informatiques doivent connaître la fréquence de publication habituelle des correctifs, et savoir comment ils seront informés en cas de diffusion de correctifs d’urgence.
5. Concevoir et gérer un environnement de test réaliste
Il ne suffit pas qu’un correctif soit publié pour l’appliquer et se dire que tout fonctionne comme si de rien n’était. Certains correctifs nuiront inévitablement au bon fonctionnement d’un outil, d’un processus ou de toute autre interaction dont dépend votre entreprise.
Il ne suffit pas qu'un correctif soit publié pour l'appliquer et se dire que tout fonctionne comme si de rien n'était.
L’environnement de test des correctifs sert justement à voir l’impact d’un correctif dans un environnement qui s’apparente étroitement à celui de votre production. Concevoir et gérer un tel environnement est plus facile à dire qu’à faire, car il faut absolument s’assurer que l’environnement de test suit l’évolution de celui de production. Il convient donc d’y reproduire tout changement d’architecture apporté à ce dernier et susceptible d’être affecté par des correctifs logiciels. La virtualisation des serveurs a rendu la chose beaucoup plus facile et moins onéreuse.
Les administrateurs doivent prendre le temps de tester les correctifs publiés avant de les déployer en production. En effet, lorsque l’application d’un correctif provoque un dysfonctionnement en production, il s’ensuit des retards considérables, puisqu’il faut revenir en arrière. Allouez le temps nécessaire pour tester correctement les effets indésirables des correctifs, avant de les déployer dans votre environnement de production.
6. Utiliser les outils adaptés pour automatiser la gestion des correctifs
Sans outils ni processus appropriés en place, gérer et installer « manuellement » des correctifs des logiciels et firmwares sur l’ensemble des serveurs, appliances et clouds de l’entreprise peut s’avérer infernal. Compte tenu du nombre d’équipements et de logiciels différents à mettre à jour, l’utilisation d’outils automatisés de gestion des correctifs s’impose souvent. De plus en plus sophistiqués et efficaces, ces outils permettent d’automatiser les tâches répétitives et fastidieuses pour réduire les délais nécessaires à l’application des correctifs, entre leur publication initiale et leur déploiement.
7. Examiner les processus et les résultats
Une fois qu’un correctif a été déployé avec succès, il convient d’analyser le processus afin d'identifier les points d’amélioration potentiels et ainsi faire évoluer les procédures dans un souci maximum d’efficacité.
La méthode la plus courante consiste à utiliser l’outil de reporting de la gestion des correctifs, afin de consigner automatiquement le résultat de chaque mise à jour dans un rapport où figureront notamment les éléments suivants :
l’inventaire et le nombre d’équipements et d’applications détectés sur le réseau d’entreprise ;
le nombre de correctifs installés ;
le nombre de correctifs manquants ;
les noms des systèmes qui restent vulnérables et la hauteur du risque ;
les correctifs qui ont été approuvés et programmés ;
les correctifs qui sont en attente d’approbation.
Grâce à ces informations, les administrateurs informatiques peuvent suivre les performances des procédures existantes, et les faire évoluer pour éviter les ralentissements et réduire les délais.
Plus que jamais, il faut agir vite
Compte tenu des nombreuses menaces qui pèsent aujourd’hui et de la dépendance technologique toujours plus forte qu’affiche l’entreprise moyenne, dans le cadre de ses activités, le risque impliqué par le fait de ne pas procéder rapidement à l’identification des problèmes, au déploiement des correctifs et à la surveillance des résultats des mises à jour de performance et de sécurité va croissant.
Il convient, par conséquent, d’accorder le plus grand soin à la mise en place des stratégies de gestion des correctifs, et de veiller à ce qu’elles garantissent la sécurité et le parfait fonctionnement des systèmes, tant aujourd’hui que demain.
Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)
