7 pratiques de référence pour la gestion des correctifs
Ce n’est pas la responsabilité la plus gratifiante. Mais la valeur d’une stratégie de gestion des correctifs bien concrétisée ne peut pas être niée. Ces pratiques de référence aident à établir un processus fluide.
La gestion des correctifs en entreprise nécessite un bon équilibre entre préparation, rapidité et agilité. Si les processus et les outils appropriés ne sont pas prêts, l’application des correctifs peut rapidement prendre du retard. Et si vous ne parvenez pas à maîtriser les correctifs, vous risquez de vous exposer inutilement à des failles de sécurité ou à des systèmes, applications et services inopérants.
De nos jours, il y a plus d’hôtes à surveiller que jamais, des applications et serveurs à l’infrastructure et aux appareils IoT, et les violations de données peuvent entraîner le vol ou la perte d’informations sensibles. De plus, si ces systèmes sont laissés exposés, les risques d’interruption de service augmentent considérablement, et l’entreprise pourrait ne pas être en mesure de servir correctement sa clientèle.
Il ne suffit plus de se fier à la sécurité du réseau et du périmètre, avec pare-feu, systèmes de prévention des intrusions (IPS) et autres outils de cybersécurité. Des exploits de type zero-day apparaissent régulièrement, et la capacité des outils périmétriques à protéger les vulnérabilités de sécurité nouvellement identifiées diminue de jour en jour. Il est donc préférable de traiter directement ces types de vulnérabilités en appliquant des correctifs au plus vite.
Bien que la gestion des correctifs ne soit pas connue pour être la responsabilité la plus amusante ou la plus intéressante des administrateurs informatiques, si elle est bien faite, les résultats peuvent s’avérer inestimables. L’apprentissage des pratiques de référence de gestion des correctifs en entreprise vaut bien le temps et l’effort.
Voici sept conseils pour assurer que votre processus de gestion des correctifs se déroule sans heurts et avec un risque d’imprévus minimum.
1. Sachez toujours ce que vous êtes chargé de patcher
Identifiez les cibles et leur emplacement. Les terminaux, les serveurs, les applications et les services que votre service informatique est chargé de corriger sont en constante évolution.
Ils peuvent se trouver on-prem, dans le cloud ou sur Internet. Les personnes chargées d’élaborer une stratégie de gestion des correctifs à l’échelle de l’entreprise doivent toujours être au courant des changements.
S’il est possible de suivre manuellement les ressources informatiques, il est avantageux d’utiliser divers outils de surveillance des hôtes, des réseaux et des applications pour une surveillance et un inventaire continus.
Les outils d’inventaire et d’analyse de la gestion des correctifs peuvent également détecter et suivre les appareils pour lesquels les mises à jour critiques n’ont pas été installées, afin de s’assurer que rien ne passe à travers les mailles du filet.
2. Classer les systèmes en groupes en fonction de leur criticité
Toutes les applications, tous les systèmes et toutes les plateformes ne sont pas égaux du point de vue de la gestion des correctifs. Les infrastructures critiques de réseaux et de serveurs, par exemple, sont susceptibles de causer beaucoup plus de dommages, si une vulnérabilité est exploitée, que les applications et services non critiques. Les organisations doivent donc évaluer et classer soigneusement les systèmes en fonction de leur criticité et appliquer les correctifs aux systèmes les plus critiques avant tous les autres.
3. Créer des procédures de correction standard et d’urgence
Une stratégie de gestion des correctifs en entreprise doit comporter deux procédures : la procédure standard et la procédure d’urgence. Les procédures de patching standard détaillent ce qui se passe pendant le patching normal, régulièrement programmé. Elle intègre des dates calendaires spécifiques et des fenêtres de maintenance, au cours desquelles les différents composants de l’infrastructure recevront des mises à jour de correctifs.
La planification standard est utile, car elle crée un calendrier sur lequel les administrateurs peuvent s’appuyer pour éviter tout retard dans l’application des correctifs. Il permet également d’informer les chefs de service et les utilisateurs finaux bien à l’avance de la survenue d’une fenêtre de maintenance affectant leur travail.
Les procédures d’application des correctifs urgents sont utilisées lorsqu’un correctif, généralement un correctif de sécurité, doit être installé en dehors de la fenêtre de maintenance standard. Utilisez ces fenêtres aussi rarement que possible et déterminez avec soin les seuils qui doivent être atteints, pour qu’une fenêtre soit approuvée. Les processus d’urgence doivent également inclure les étapes et les canaux de communication permettant de notifier correctement les départements, les utilisateurs finaux et les clients concernés.
4. Comprendre le calendrier de publication des correctifs de chaque fournisseur
Le nombre et les types de systèmes d’exploitation, d’applications et de micrologiciels de terminaux varient considérablement d’une organisation à l’autre. Il en va de même pour les annonces de correctifs et les calendriers de diffusion des fournisseurs. Par exemple, Microsoft utilise un calendrier mensuel – connu sous le nom de Patch Tuesday – pour diffuser ses correctifs logiciels. D’autres fournisseurs ont leur propre calendrier. Les administrateurs informatiques doivent savoir quand les correctifs réguliers sont publiés, ainsi que le processus de chaque fournisseur pour les informer des correctifs d’urgence.
5. Concevoir et maintenir un environnement réaliste de test des correctifs
Une fois qu’un correctif est publié, vous ne pouvez pas simplement l’appliquer et supposer qu’il fonctionnera sans effets secondaires. Il est inévitable que certains correctifs cassent une fonctionnalité, un processus ou une autre interaction dont votre entreprise dépend.
L’objectif d’un environnement de test des correctifs logiciels est de voir l’impact d’un correctif dans un environnement qui correspond étroitement à celui de votre production.
La conception et la maintenance de cet environnement sont toutefois plus faciles à dire qu’à faire. La clé est de s’assurer que l’environnement de test est mis à jour en même temps que la production.
Tout changement d’architecture apporté à celle-ci et susceptible d’être affecté par des correctifs logiciels doit être reproduit dans l’environnement de test.
Heureusement, la virtualisation des serveurs a rendu beaucoup plus facile et moins coûteuse la création d’un environnement de test qui correspond étroitement à l’environnement de production.
Les administrateurs ont besoin de suffisamment de temps pour tester les correctifs récemment publiés avant de les déployer en production. Les délais de gestion des correctifs peuvent dérailler lorsqu’un correctif casse quelque chose en production et doit être annulé. Allouez le temps nécessaire pour tester correctement les correctifs, afin de détecter les effets indésirables avant de les intégrer à votre environnement réel.
6. Utilisez les bons outils pour automatiser la gestion des correctifs
La gestion manuelle de l’installation des correctifs logiciels et micrologiciels sur un large éventail de serveurs, d’appareils et de clouds d’entreprise peut rapidement devenir écrasante sans les bons outils et processus en place.
En raison du nombre considérable d’appareils et de logiciels différents qui doivent être maintenus à jour avec le dernier code, des outils de gestion automatisée des correctifs sont souvent utilisés. Ces outils, qui gagnent régulièrement en sophistication, peuvent automatiser les tâches répétitives et fastidieuses afin de réduire le délai entre la publication d’un correctif et son déploiement.
7. Examiner le processus et les résultats du correctif
Une fois qu’un correctif a été appliqué avec succès, il est important de regarder en arrière pour voir où des améliorations peuvent être apportées au processus de déploiement. Les processus et procédures d’application des correctifs doivent toujours évoluer vers une plus grande efficacité.
La méthode la plus courante pour rester au fait des résultats de la gestion des correctifs consiste à utiliser la fonction de rapport de l’outil de gestion des correctifs, qui enregistre les résultats de chaque mise à jour dans un rapport généré automatiquement. Les détails d’un rapport peuvent inclure les éléments suivants :
- un inventaire et un décompte des appareils et des applications détectés sur le réseau de l’entreprise ;
- le nombre de correctifs installés ;
- le nombre de correctifs manquants ;
- le nom des systèmes qui restent vulnérables, et dans quelle mesure ;
- les correctifs qui ont été approuvés et programmés ; et
- les correctifs en attente d’approbation.
Grâce à ces informations, les responsables informatiques peuvent suivre les performances des procédures existantes et procéder à des ajustements pour supprimer les goulets d’étranglement ou améliorer les délais d’exécution.
La rapidité est plus importante que jamais
Compte tenu des nombreuses menaces qui existent aujourd’hui et de la dépendance toujours plus grande des entreprises à l’IT pour conduire ses activités, le risque de ne pas pouvoir identifier, appliquer des correctifs et contrôler rapidement les résultats des mises à jour de performances et de sécurité augmente de jour en jour.
Par conséquent, il convient d’accorder une attention particulière à la mise en œuvre de stratégies de gestion des correctifs qui permettront aux systèmes de fonctionner de manière sûre et optimale aujourd’hui et à l’avenir.