Les 6 pré-requis à la gestion des correctifs de sécurité

Les programmes malveillants qui exploitent les vulnérabilités des systèmes d'exploitation ou des applications du marché contraignent les vendeurs à mettre régulièrement à disposition des utilisateurs des correctifs de sécurité. A priori, il « suffit » d'installer ces « patches » pour corriger les vulnérabilités. Sauf que la mise à jour d'un parc informatique est complexe :

- Les correctifs sont fréquents,
- Les correctifs peuvent poser des problèmes de compatibilité,
- Les postes nomades sont difficiles à joindre,
- Les serveurs ne peuvent pas être arrêtés fréquemment

Industrialiser la gestion des correctifs devient nécessaire avec une organisation, des ressources et des processus ad hoc :

- Collecte d'information sur les correctifs publiés,
- Qualification de cette information,
- Applicabilité des correctifs,
- Tests,
- Déploiement,
- Vérification,
- Suivi

Avant d'automatiser ce processus, il est nécessaire d'étudier les points suivants :

1. Qui intervient ? Ies rôles de chacun doivent être définis dans le processus : administrateurs, développeurs, équipe sécurité, ... Seuls les administrateurs doivent avoir l'autorisation d'installer des correctifs. Les utilisateurs ne doivent pas effectuer eux-mêmes ce type d'opération, notamment sur leurs postes de travail.

2. Quels correctifs choisir ? Une pré-sélection automatique des correctifs peut être faite, selon la sévérité des vulnérabilités ou des systèmes concernés par exemple. Un scanner de vulnérabilité peut optimiser le choix en guidant une analyse de risque. Les administrateurs doivent tester et approuver les correctifs choisis avant leur diffusion.

3. Quand diffuser les correctifs ? Il faut définir une fenêtre de diffusion selon la sévérité des failles. Microsoft recommande d'appliquer les patches « critiques » sous 24 heures, les « importants » sous un mois, les « modérés » sous 4 mois et les autres (faible importance) sous un an.

4.Quels périmètres sont concernés ? L'ensemble du parc doit faire l'objet d'une étude de priorité, y compris les postes nomades. C'est la raison pour laquelle il est impératif qu'ils se reconnectent régulièrement au réseau ou qu'il existe une possibilité de les joindre via internet.

5. Depuis où télécharger les correctifs ? Il faut définir les serveurs qui téléchargeront les correctifs depuis les sites des éditeurs, ainsi que l'infrastructure de déploiement sur les postes, typiquement en utilisant des relais de communication sur les sites distants.

6. Comment les correctifs seront-ils appliqués ? Les patches sont appliqués automatiquement, en tâche de fond, de façon à ce que l'opération soit transparente pour l'utilisateur. Seul le redémarrage du système, si nécessaire, devra être contrôlé ou planifié par l'utilisateur. Des informations pertinentes doivent être enregistrées dans des logs pendant et après l'opération.

Photo : Marc VAILLANT, PDG de Criston, fournisseur d'outil d'automatisation de procédures de sécurité et rédacteur de cet avis

. Web-profils.com, la place de marché du conseil et de l'ingénierie