LackyVis - stock.adobe.com
Comment Toyota Financial Services industrialise la gestion des correctifs
L’organisme de financement du constructeur automobile a drastiquement réduit les délais d’application des correctifs logiciels en s’appuyant sur les outils d’Ivanti.
Lorsqu’il est arrivé chez Toyota Financial Services, Pierre NG devait « courir » d’un poste de travail à l’autre pour appliquer manuellement les mises à jour. Puis est venue la virtualisation : le processus restait largement manuel mais, au moins, il pouvait se faire à distance, via le réseau, en intervenant sur les machines virtuelles. Mais depuis le début de l’année, les choses ont bien changé.
Le RSSI de Toyota Financial Services utilise depuis lors la solution Patch for Endpoint Manager d’Ivanti. La découverte de celle-ci, basée sur la technologie de LANDesk, à l’automne 2017, a constitué une véritable « révélation ». Pierre NG décrit ainsi une « interface ultra-simplifiée qui recense les mises à jour manquantes sur chaque hôte détecté sur le réseau », avec une centaine d’applications et de systèmes supportés. De quoi couvrir l’ensemble de son inventaire logiciel. « Je peux sélectionner les serveurs et les postes de travail que je souhaite traiter, avec les mises à jour que je veux déployer. Et le tout peut être planifié à l’avance pour ne pas bloquer la production ».
Cela concerne donc environ 350 postes de travail et autant de serveurs, entre production et environnement de test. Certains postes sont encore physiques – comme les portables des commerciaux et ceux connectés à certains périphériques spécifiques, comme des scanners –, mais la plupart sont virtualisés, en s’appuyant sur les mécanismes de clones liés offerts via l’infrastructure VDI, à raison d’un pool, avec son image maîtresse, par service dans l’entreprise.
La virtualisation simplifie considérablement la phase de test des mises à jour : « cela permet de faire des sauvegardes et des retours en arrière rapidement. Mais la gestion des correctifs reste tout de même chronophage ». Dans la pratique, Pierre NG estime qu’il lui fallait consacrer 3 jours par semaine, en moyenne, à la gestion des correctifs de son infrastructure.
La solution d’Ivanti lui permet de ramener cette contrainte à une seule journée par semaine : « un gain de temps énorme ! ». De quoi se consacrer à d’autres tâches, mais aussi à améliorer la posture de sécurité globale de l’entreprise. Car lorsque la gestion des correctifs était encore largement artisanale, il fallait compter en moyenne une semaine de délai entre la sortie des correctifs de Microsoft et la généralisation de leur déploiement sur l’ensemble du parc de Toyota Financial Services.
Aujourd’hui, ce délai a été ramené à trois jours, car il convient de rester prudent et de procéder à de vérifier notamment que les applications métiers restent pleinement fonctionnelles après les mises à jour. Dès lors, le déploiement se fait graduellement, par extension progressive du périmètre concerné.
Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)
-
Ivanti : des vulnérabilités inédites exploitées en chaîne
-
Ivanti : de nouvelles vulnérabilités activement exploitées
-
Rapid7 met en garde contre les tendances lourdes en matière de vulnérabilités de type zero-day
-
Victime d’une faille d’Ivanti, le Mitre dénonce l’agression par un acteur de type État-nation