MR - stock.adobe.com

Gestion des correctifs : cinq pratiques de référence

Ce n’est peut-être pas la plus passionnante des responsabilités, mais l’importance de la gestion des correctifs ne peut être niée. Voici quelques bonnes pratiques aidant à mettre en place un processus fluide d’application des patchs.

La gestion des correctifs en entreprise exige un juste équilibre entre préparation et rapidité. En l’absence de processus et d’outils appropriés, l’application des correctifs peut rapidement prendre du retard. Et le fait de ne pas se tenir régulièrement à jour des rustines peut entraîner une exposition inutile à des failles de sécurité ou à des indisponibilités de systèmes et services.

Voici donc cinq conseils pour assurer l’exécution sans heurts des processus de gestion des correctifs, et avec un risque d’imprévu aussi limité que possible.

Connaître ses responsabilités

Il convient tout d’abord de déterminer ses cibles et où elles se trouvent : les postes de travail, serveurs, applications et services pour lesquels le service informatique a la responsabilité des correctifs en constante évolution. Ceux-ci peuvent être déployés en interne, comme en environnement cloud. La connaissance du parc concerné est essentielle.

Bien qu’il soit possible d’assurer manuellement le suivi des ressources informatiques, il peut être très avantageux d’utiliser des outils dédiés à la supervision et l’inventaire en continu. Les outils de gestion de l’inventaire et d’analyse des configurations peuvent également détecter et suivre les hôtes auxquels doivent être appliquées des mises à jour critiques, garantissant ainsi que rien n’est oublié.

Des procédures différenciées selon l’urgence

Une stratégie d’entreprise de gestion des correctifs devrait comporter deux procédures : la procédure standard et la procédure d’urgence. La première détaille les processus d’application régulière des mises à jour planifiées. Elle intègre notamment des fenêtres de maintenance précises lors desquelles divers composants d’infrastructure recevront les « updates ». Ce calendrier permet de créer un rythme suivant avec lequel travailler de manière régulière et éviter que l’application des mises à jour prenne du retard. Il constitue également une base à partir de laquelle informer les utilisateurs à l’avance lorsqu’une fenêtre de maintenance est susceptible d’affecter leurs activités.

La seconde procédure concerne les cas où des correctifs doivent être appliqués d’urgence, en dehors des fenêtres de maintenance standard. De toute évidence, il convient d’essayer d’y recourir aussi peu fréquemment que possible. Et pour cela, il convient de déterminer avec grand soin les seuils devant être atteints pour ouvrir une fenêtre de maintenance d’urgence. Qui plus est, la procédure d’urgence doit intégrer les étapes et les voies de communication nécessaires pour aviser les utilisateurs et les clients qui seront affectés.

Suivre les chronologies de distribution de correctifs

Le nombre de systèmes d’exploitation, d’applications ou encore de firmwares présents dans l’environnement varie considérablement d’une organisation à l’autre, tout comme les calendriers de distribution de mises à jour des éditeurs et constructeurs concernés. Par exemple, Microsoft diffuse les siens de manière mensuelle, avec son Patch Tuesday. D’autres fournisseurs ont leur propre rythme de diffusion de mises à jour et correctifs. Il est nécessaire de tenir compte de ces chronologies dans le cadre des procédures normales d’application de correctifs, ainsi que dans les procédures d’urgence.

Concevoir et maintenir un environnement de test réaliste

Ce n’est pas parce qu’un correctif est disponible qu’il est possible de le déployer directement, en supposant qu’il n’aura pas d’effets secondaires indésirables. Ceux-ci sont quasiment inévitables, en particulier avec les systèmes et applications hautement personnalisés. Un environnement de test des correctifs et mises à jour vise à établir l’impact d’un patch dans l’environnement de production.

Cependant, concevoir et de maintenir cet environnement de test est plus facile à dire qu’à faire. Car il faut s’assurer que cet environnement suit les évolutions de celui de production. Heureusement, la virtualisation de serveur a rendu la création d’un environnement de test étroitement lié à l’environnement de production, beaucoup plus facile et moins coûteux.

Et bien sûr, il est nécessaire de s’accorder suffisamment de temps pour tester effectivement les nouveaux correctifs avant leur déploiement. Et là, les délais peuvent s’étendre lorsqu’une mise à jour ou une rustine affecte négativement la production.

Examiner les processus et leurs résultats

Une fois qu’un correctif a été appliqué avec succès, il convient de revenir sur le processus pour identifier les points d’amélioration potentiels, et faire évoluer les procédures en conséquence.

L’utilisation d’outils automatisés de gestion des correctifs peut aider. Ceux-ci permettent d’automatiser les tâches répétitives et fastidieuses afin de réduire les délais nécessaires à l’application de correctifs, entre leur diffusion initiale et leur déploiement.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)