"La gestion des correctifs au centre de la politique sécuritaire", une tribune de Marc Vaillant

Marc Vaillant
Publié le 09 juin 2008 à 16h13
00623892-photo.jpg
La gestion des correctifs de sécurité (patch management) fait partie intégrante des politiques de sécurité des systèmes d'information.

La diffusion récurrente de programmes malveillants qui exploitent les vulnérabilités connues des systèmes et applications du marché contraignent les vendeurs à mettre régulièrement à disposition des utilisateurs des correctifs de sécurité qui empêchent de transformer serveurs et postes de travail en source de contamination du réseau ou de fuite d'informations.

Pour beaucoup d'entreprises, la problématique de la gestion des correctifs de sécurité semble évidente au premier abord : il « suffit » d'installer régulièrement les patches diffusés par les éditeurs pour corriger les vulnérabilités de leurs systèmes d'exploitation, produits et applications. Mais la mise à jour d'un parc informatique reste complexe : les correctifs sont fréquents, ils peuvent poser des problèmes de compatibilité, les postes nomades sont difficiles à joindre, et les serveurs ne peuvent pas être arrêtés fréquemment.

Il est donc nécessaire d'industrialiser le processus de gestion des correctifs dans le contexte de son entreprise : collecte d'informations sur les correctifs publiés, qualification de cette information, applicabilité des correctifs, tests, déploiement puis vérification et suivi. Cette organisation impose la mobilisation de ressources. Il est donc nécessaire de sensibiliser et de convaincre le management de l'entreprise du bien fondé de la mise en place d'une gestion des correctifs. Une partie des opérations doit être automatisée de façon à assurer la faisabilité de ce processus, à réduire les coûts et diminuer la fenêtre d'exposition aux vulnérabilités. L'utilisation d'un outil de gestion des correctifs doit respecter un certain nombre de conditions, et s'inscrire dans le processus. Pour ce faire, il est nécessaire d'étudier les points suivants :

Qui intervient ? Il conviendra de bien définir les rôles de chacun dans le processus (administrateurs, développeurs, équipe sécurité, etc). Seuls les administrateurs doivent avoir l'autorisation d'installer des patches sur une machine. Les utilisateurs ne doivent pas effectuer eux-mêmes ce type d'opération, notamment sur leurs postes de travail.

Quels correctifs choisir ? Une pré-sélection automatique des correctifs peut être faite, en fonction de la sévérité des vulnérabilités ou des systèmes concernés par exemple. L'emploi d'un scanner de vulnérabilité peut aussi optimiser le choix en guidant une analyse de risque. Les administrateurs doivent ensuite tester et approuver les correctifs choisis avant leur diffusion.

Quand diffuser les correctifs ? Il importe de définir une fenêtre de diffusion en fonction de la sévérité des failles. Par exemple, Microsoft recommande d'appliquer les patches critiques sous 24 heures, ceux classés « importants » sous un mois, ceux concernant une faille d'importance «
modérée » sous 4 mois et les autres (faible importance) sous un an.

Quels périmètres sont concernés ? L'ensemble du parc doit faire l'objet d'une étude de priorité, y compris les postes nomades. C'est la raison pour laquelle il est impératif qu'ils se reconnectent régulièrement au réseau de l'entreprise ou qu'il existe une possibilité pour les toucher via internet.

D'où les correctifs doivent-ils être téléchargés ? Il est important de définir les serveurs qui téléchargeront les correctifs sur les sites des éditeurs, ainsi que l'infrastructure qui optimisera les déploiements sur les postes (typiquement en utilisant des relais de communication sur les sites distants).

Comment les correctifs seront-ils appliqués ? Les patches sont appliqués automatiquement, en tâche de fond, de façon à ce que l'opération soit transparente pour l'utilisateur. Seul le redémarrage du système, si nécessaire, devra être contrôlé ou planifié par l'utilisateur. Des informations pertinentes doivent être enregistrées dans des logs pendant et après l'opération.

Combinant données organisationnelles et techniques, la gestion des correctifs se positionne donc comme un maillon clé de la sécurité du système d'information, toujours plus menacé par la fréquence de nouvelles attaques. Pour garantir une mise en conformité optimum du SI, l'automatisation semble donc de mise et permet de pallier aux difficultés d'une gestion manuelle, synonyme de veille constante et de dangerosité pour le SI. Reste néanmoins à aborder le processus dans son ensemble et à placer l'automatisation dans un contexte organisationnel précis afin qu'elle soit couronnée de succès.

Marc Vaillant, président directeur général, Criston.
Marc Vaillant
Par Marc Vaillant

Aucun résumé disponible

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles