Comment gérer les correctifs de sécurité avec les administrateurs systèmes ?
Quel rôle joue le RSSI lorsqu’il s’agit de faire appliquer les correctifs de sécurité ? L’expert Mike O. Villegas se penche sur la meilleure façon de partager là les responsabilités.
L’un des points les plus préoccupants de la posture de sécurité des entreprises touche à gestion des vulnérabilités. C’est du moins l’un des enseignements de l’étude annuelle de Symantec sur les menaces de sécurité. En particulier, selon celle-ci, depuis trois ans, plus de 75 % des sites Web analysés par l’éditeur sont affectés par des vulnérabilités non corrigées. Que devraient faire les RSSI pour accorder une importance plus grande à la gestion des correctifs ? Peuvent-ils travailler avec les administrateurs de systèmes pour traiter le problème, et si oui comment ?
L’application des correctifs est une mesure préventive qui protège les systèmes contre les accès non autorisés, les logiciels malveillants, ou encore les erreurs susceptibles d’affecter les processus normaux. Les produits tels que Microsoft Office, les antivirus, les équipements réseau, les serveurs, les grands systèmes ou les postes de travail ont tous besoin de correctifs de sécurité, de rustines temporaires ou de mises à jour. Ces dernières sont différentes des correctifs, mais il reste important de les évoquer parce qu’elles n’apportent pas que des améliorations fonctionnelles, mais également éliminent erreurs et potentielles vulnérabilités. La gestion des correctifs de sécurité peut être automatisée, mais beaucoup d’organisations choisissent d’appliquer les correctifs de manière sélective en raison de contraintes de temps ou de disponibilité des systèmes. Là, il s’agit généralement d’appliquer les correctifs manuellement au cours de périodes d’indisponibilité planifiées.
Certaines organisations font preuve de diligence dans l’application des correctifs, mais d’autres attendent parfois plusieurs mois. La plupart des organisations fournissent toutefois tous les efforts nécessaires pour déployer les correctifs dans les 30 jours qui suivent leur diffusion. Mais il reste néanmoins un nombre significatif d’entreprises qui ne considèrent pas l’application des correctifs comme une priorité avant que les vulnérabilités correspondantes ne soient effectivement exploitées et ne conduisent à des indisponibilités ou à des brèches. Ou alors jusqu’à le déploiement soit nécessaire pour maintenir la conformité avec des standards tels que PCI DSS. Les scanners de vulnérabilités sont des outils utiles pour identifier les correctifs les plus critiques et en améliorer la gestion.
L’application des correctifs de sécurité peut et devrait être assurée par les administrateurs système. Mais les équipes de sécurité peuvent être chargées de la veille en matière de correctifs critiques. Elles peuvent également demander à ce que les correctifs soient testés et appliqués dans le délai standard de 30 jours. En l’absence d’automatisation de l’application des correctifs, leur déploiement devrait suivre les procédures de contrôle du changement en place.
Pour renforcer leurs processus de gestion des correctifs, les RSSI peuvent engager plusieurs initiatives. Et cela commence par la définition d’une politique de gestion des vulnérabilités et des correctifs précisant les rôles et responsabilités de chacun, les sources d’identification des vulnérabilités, et celles d’identification des correctifs nécessaires. Un comité de gestion des correctifs peut également être installé, avec les équipes d’administration et celles chargées de l’identification des vulnérabilités, pour assurer que les correctifs requis ou les actions de remédiation nécessaires sont bien hiérarchisés et appliqués.
Il est également conseillé de mettre à jour les outils d’administration qui assurent l’installation automatique des correctifs de sécurité sur les postes de travail, portables, et équipements des utilisateurs. Par ailleurs, souscrire à un service d’alerte fournira des informations sur les nouvelles vulnérabilités et les correctifs associés.
Enfin, si l’entreprise est soumise à PCI DSS, il convient de s’assurer de sa conformité avec la règle 6.2 du standard qui requiert que tous les composants et logiciels des systèmes profitent des correctifs de sécurité dans un délai d’un mois après leur diffusion.
La gestion des correctifs de sécurité peut être fastidieuse et donner l’impression de n’apporter que peu de bénéfices. Mais rester à jour des correctifs, c’est se protéger à titre préventif des principales vulnérabilités. Et si cela s’avère négligé, cela peut conduire à de coûteuses interruptions de service à l’issue d’une brèche ou d’une indisponibilité.
Adapté de l’anglais.