Comment gérer les mises à jour et à niveau de macOS en entreprise

Quand déployer les mises à jour, et encore plus les mises à niveau de macOS auprès de ses utilisateurs finaux, en entreprise ? Chaque organisation a ses propres politiques. Mais beaucoup souhaitent garder la main sur le processus. Fondateur de Gete.net Consulting, Guillaume Gete est fort de plus de 30 ans d’expérience dans l’administration des parcs d’équipements Apple en entreprise. Il nous livre son regard.

LeMagIT : Comment, concrètement, contrôler la mise à disposition des mises à jour et des mises à niveau de macOS auprès de ses utilisateurs finaux ? 

Guillaume Gete : Pour maîtriser la gestion des mises à jour et des mises à niveau, il faut d’ores et déjà prévoir une solution non pas MDM, mais DDM, c’est-à-dire capable de faire du Declarative Device Management. Le DDM, c’est un peu la version survitaminée du MDM qu’Apple pousse depuis plusieurs années. C’est une solution plus efficace en termes de ressources et plus résiliente. Jamf Pro est une excellente solution exploitant le DDM depuis plusieurs années, mais ce n’est cependant pas la seule du marché. En fait, nous sommes tous un peu des « Monsieur Jourdain », on utilise parfois du DDM sans forcément le savoir.

On peut coupler à ces solutions des outils open source, comme effectivement SUPERMAN, mais après avoir utilisé Nudge durant pas mal d’années, nous avons choisi de mettre en place un nouvel outil beaucoup plus simple à configurer. L’utilisateur se voit alors notifié de façon bien plus efficace de la nécessité d’installer une mise à jour.

Dans tous les cas, les méthodes qui s’appuient uniquement sur des scripts sont à proscrire : Apple a très clairement annoncé que cette méthode sera dépréciée, et seules les mises à jour via DDM seront gérées dans la prochaine version de macOS. Si votre outil de MDM ne sait pas gérer les Mac via le canal DDM… il va être temps de changer de crèmerie.

LeMagIT : Quels délais de mise à disposition observez-vous et recommandez-vous ?

Guillaume Gete : C’est assez variable, mais en moyenne, on est plutôt pour les mises à jour dans la quinzaine de jours. C’est toujours délicat de laisser des délais trop courts : les retours de vacances peuvent être compliqués quand survient immédiatement une mise à jour…

Il faut quand même noter que depuis quelques versions de macOS, Apple a fait du bon travail pour raccourcir le délai d’installation des mises à jour, surtout sur les Mac Apple Silicon. Une semaine à quinze jours ; ça offre un bon compromis ; il faut juste que les utilisateurs voient bien les notifications, d’où l’intérêt des outils tierce-partie.

En revanche, si une faille inédite, ou zero-day, est annoncée comme activement exploitée, là, on force avec des délais bien plus courts.

Ce qui importe surtout, c’est de tester en amont, de faire un petit pool d’utilisateurs de test, et de faire un déploiement graduel, pour limiter la casse en cas de souci important.

LeMagIT : Que penser de délais pour les montées de version majeures (genre macOS 26) qui repoussent sa disponibilité générale au premier trimestre de l’année suivant sa release ?

Guillaume Gete : C’est un débat intéressant. De plus en plus de sociétés libèrent la nouvelle version de macOS dès qu’elle est disponible, parce qu’Apple dit clairement que ça reste la version la plus sûre, avec tous les correctifs intégrés, tout en conservant des mises à jour pour les versions précédentes à N+1 et N+2. Cela voudrait dire qu’à partir de macOS Tahoe, les deux versions précédentes de macOS pourraient ne pas avoir tous les correctifs disponibles. Donc, il vaudrait mieux basculer rapidement sur le dernier macOS.

Cependant, une nouvelle version d’un OS majeur, ce sont aussi des changements… majeurs, et parfois des bugs logiciels conséquents sur les applications tierces. Par exemple, macOS Tahoe a eu beaucoup de soucis avec les applications s’appuyant sur le moteur Electron. Et elles sont tout de même très nombreuses. Et cela même si les applications majeures, comme Slack, ont publié des correctifs. A priori, ça ne sera définitivement corrigé qu’avec la prochaine version.

Et puis l’interface Liquid Glass s’est avérée plutôt… clivante. D’ailleurs, Apple l’a revue et permet d’ajuster son degré de transparence désormais… Cela semble bien confirmer le vieil adage qu’il vaut mieux attendre la version x.2 voire x.3 pour un déploiement en masse.

Dans tous les cas, même en appliquant une restriction via MDM/DDM, la limite maximale où l’on pourra bloquer une version majeure sera de 90 jours après la sortie de macOS. Après ce délai, la nouvelle version sera disponible pour tous. Petite astuce, d’ailleurs : il faut penser à supprimer le profil de restriction, sinon les utilisateurs ne verront que la première version, et pas les versions corrigées sorties plus tard…

Le plus important, cependant, c’est de tester en amont. C’est pour cela qu’il est important de participer aux programmes de bêta-test qu’Apple propose sur le site AppleSeed for IT. On peut télécharger les bêtas, faire des évaluations… et c’est très important de le faire. Si vous travaillez pour une grosse entreprise, vous aurez encore plus d’écoute de la part d’Apple.

LeMagIT : L’hétérogénéité induite par de telles approches – lorsque de nouveaux Mac sont déployés sans downgrade – ne risque-t-elle pas d’induire des complexités dans l’administration du parc ?

Guillaume Gete : Oui, cela peut parfois compliquer un peu la tâche… Mais pas tant que ça non plus. Dans les parcs que je gère, que ça soit des petits parcs ou des grands comptes, les évolutions sont finalement assez maîtrisées, et les changements induits par une nouvelle version de macOS ne sont pas non plus systématiquement bouleversants pour les utilisateurs.

Ça peut l’être de temps en temps : par exemple quand Apple a changé les Préférences Système par les Réglages Système dans macOS Ventura, ça a pas mal compliqué les choses, car le changement d’interface était très conséquent.

Mais ça reste plutôt en surface, là où chez Microsoft, on n’hésite pas à bouleverser complètement certaines habitudes (cf. les diverses versions de la barre des tâches ou d’interface, imbriquées dans Windows). L’interface du Mac, elle, n’a pas bougé depuis 25 ans : Dock en bas de l’écran, menu Pomme, barre des menus, Finder… Les différences sont parfois subtiles, mais le socle reste très solide. Et si impact il y a, cela reste limité à quelques mois après la sortie de macOS, donc le dernier trimestre de l’année.

Dans le cadre de l’entreprise, il se pose cependant la question des outils de sécurité : est-ce qu’ils sont prêts pour la nouvelle version de macOS le jour J… ou pas ? Il y a pas mal d’années, quand on avait des outils qui se greffaient directement au noyau (les fameuses kernel extensions), on avait de quoi frissonner à chaque mise à jour.

Désormais, ces outils fonctionnent à un niveau plus éloigné du noyau, sont plus stables et moins « agressifs ». Pareil pour les outils de type VPN, filtrage réseau… De nombreux éditeurs proposent désormais des politiques de disponibilité zéro-day pour les plateformes Apple ; cela peut orienter le choix vers un outil ou un autre.

Vouloir utiliser le même outil que pour Windows n’a pas forcément de sens, à part pour faire de jolis chiffres dans un « single pane of glass » qu’on nous vend tant. Mais si l’outil ne sait pas gérer les spécificités liées à Apple, ça n’est pas vraiment pertinent.