Technologies

6 étapes pour un processus solide de gestion des correctifs logiciels

6 étapes pour un processus solide de gestion des correctifs logiciels
Le patching devrait être plus programmatique et intégré dans un effort planifié, lance Brian Contos (photo DR).

En apparence simple, la gestion des correctifs n'est pas un processus facile pour la plupart des organisations.

PublicitéLa criticité des correctifs logiciels est un sujet une fois de plus à l'honneur, les responsables de la cybersécurité dans le monde font face à Spectre et Meltdown, un ensemble de failles de sécurité affectant la plupart des puces informatiques fabriquées au cours des 20 dernières années. Les correctifs logiciels disponibles peuvent corriger les failles. Cette situation  fait écho à celle de l'année dernière autour des rançongiciels WannaCry et Petya, qui exploitaient tous les deux des logiciels qui n'avaient pas été mis à jour avec des correctifs disponibles.

Ces exemples montrent les complexités de la gestion des correctifs, une discipline dans laquelle l'informatique et la cybersécurité doivent comprendre les risques de sécurité et les peser contre les risques d'interruptions d'activité et de dysfonctionnements de l'infrastructure informatique.

Qu'est-ce que la gestion des correctifs ?

La gestion des correctifs consiste simplement à mettre à jour des logiciels avec de nouveaux éléments de code, le plus souvent pour résoudre des vulnérabilités qui pourraient être exploitées par des pirates, mais aussi pour résoudre d'autres problèmes sur le programme existant ou y ajouter de nouvelles fonctionnalités.

Bien que la pratique semble simple, la gestion des correctifs n'est pas un processus facile pour la plupart des organisations informatiques. L'application de correctifs logiciels dans les entreprises modernes qui ont des environnements complexes, souvent personnalisés avec de multiples points d'intégration, pourrait ralentir le matériel ou les logiciels, comme c'est le cas des correctifs conçus pour corriger les vulnérabilités Spectre et Meltdown. Les correctifs peuvent fermer les ports, désactiver les éléments critiques de l'infrastructure, bloquer les systèmes ou supprimer les scénarios de disponibilité qui pourraient priver  les entreprises des systèmes dont elles ont besoin pour gérer les transactions.

«Lorsque vous avez une grande organisation ou des réseaux diversifiés, l'application d'un correctif peut entraîner beaucoup de choses différentes pour beaucoup de systèmes différents. Oui, le correctif pourrait corriger une faille de sécurité, mais il y a beaucoup de conséquences imprévues qui peuvent en découler », déclare Frank Downs, directeur et expert en matière de cybersécurité à l'ISACA, une association professionnelle internationale axée sur la gouvernance informatique.

Les organisations doivent également composer avec le temps et les ressources nécessaires pour implémenter les correctifs. Les collaborateurs ont besoin de temps pour tester, déployer et documenter les correctifs, ce qui les éloigne des activités à plus forte valeur ajoutée. Les employés ont besoin de temps pour démonter et redémarrer les systèmes afin de mettre en oeuvre les correctifs, ce qui peut également entraîner une perte de productivité pour les autres membres de l'entreprise

PublicitéLes 6 étapes d'un processus de gestion des correctifs

La récente vague d'attaques visant à exploiter des systèmes non corrigés a accru la pression sur les entreprises pour qu'elles déploient plus rapidement des correctifs sur les serveurs, les terminaux, les bases de données et les applications. « Certes, développer un solide processus de gestion des correctifs pourrait ne pas sembler aussi passionnant que la mise en oeuvre de nouvelles défenses en matière de cybersécurité, mais cela reste très payant », affirme Terrence Cosgrove, analyste au sein du groupe de recherche IT Service Automation de Gartner.

« Nous pensons que la chose la plus importante que vous pouvez faire est d'améliorer vos correctifs », explique-t-il. « Il s'agit de bien faire les choses de base, c'est là que vous pouvez vraiment bouger l'aiguille en réduisant vos risques. » Selon Terrence Cosgrove, Frank Downs et d'autres responsables de la cybersécurité et de l'informatique, un solide processus de gestion des correctifs implique plusieurs étapes clés. Six pour être précis :

1. Faites de la gestion des correctifs une priorité. Les employés des opérations informatiques appliquent généralement les correctifs, mais ils sont tirés dans des directions multiples par des demandes et des priorités concurrentes, assure Terrence Cosgrove. Les chefs d'entreprise qui souhaitent développer chez eux une discipline de gestion des correctifs doivent donc la reconnaître en priorité, élaborer un calendrier de correction et allouer les ressources requises pour celà.

2. Avoir un inventaire précis. Le service informatique doit connaître tous les actifs de son environnement afin d'identifier les correctifs nécessaires lorsque les fournisseurs les mettent à disposition. « Vous ne pouvez pas rectifier ce que vous ne savez pas que vous avez », explique Scott Laliberte, directeur général de Protiviti et chef de la pratique mondiale de la sécurité de l'information du cabinet de conseil. Cet objectif peut être impossible, en particulier dans les grandes organisations, mais les chefs d'entreprise devraient travailler dans ce sens en normalisant le moins de plateformes possible pour les aider à atteindre cet objectif. La cartographie réseau et l'automatisation peuvent également aider à créer un inventaire le plus précis possible.

3. Développer une procédure de test. « Vous devez regarder tous les systèmes avant de patcher et vous assurer que le patch ne cassera rien. Testez le, suivez toutes les étapes et assurez-vous qu'il n'y a pas de conséquences néfastes avant de l'appliquer », explique Franck Downs. Brian Contos, RSSI et vice-président de l'innovation technologique chez Verodin, une société de technologie, recommande la mise en place d'un laboratoire d'essais emblématique de l'environnement de production. Il reconnaît que cette approche peut être coûteuse et longue, mais elle coûte moins cher que de casser quelque chose dans votre environnement de production.

4. Soyez engagé. Les complexités de l'informatique moderne, avec ses nombreux points d'intégration, ses pièces personnalisées, ses add-ons, etc., qui sont souvent répartis entre plusieurs sites, ainsi que les terminaux mobiles, compliquent les correctifs. « L'informatique doit accepter qu'il y aura des problèmes et de travailler sur ces problèmes plutôt que de les éviter », explique Scott Laliberte.

5. Attribuez les responsabilités clairement. Un département informatique typique a de nombreux employés qui appliquent des correctifs dans le cadre de leur portefeuille de responsabilités. En conséquence, la gestion des correctifs peut devenir une tâche accomplie par beaucoup mais détenue par personne, disent les experts en informatique et en cybersécurité. Mais il est difficile pour une entreprise d'avoir un solide processus de gestion des correctifs sans une responsabilité claire. « Ce n'est pas que vous avez besoin d'embaucher un gestionnaire de correctifs, sauf si vous êtes une grande multinationale. Mais il devrait y avoir un individu, au moins un, pour qui la gestion des patchs fait officiellement partie de ses responsabilités », explique Franck Downs.

6. Soyez documenté. Une discipline solide de gestion des correctifs doit inclure, en plus d'un inventaire documenté des ressources, un moyen d'identifier et de documenter les correctifs tels qu'ils sont publiés par les fournisseurs : quand ils doivent être testés et déployés dans l'entreprise. Scott Laliberte recommande également de développer des métriques et des tableaux de bord pour créer une visibilité sur la discipline de gestion des correctifs, afin que la direction sache où les vulnérabilités ont déjà été adressées, combien de temps le système peut fonctionner sans correctif et où des vulnérabilités subsistent.

Utilisation de logiciels de gestion de correctifs

Les organisations plus petites ayant des environnements informatiques moins complexes peuvent être en mesure de suivre, tester, appliquer et documenter des correctifs sans aucun outil de gestion des correctifs. Certains grands départements informatiques continuent parfois à suivre cette voie, en utilisant des scripts et des processus manuels conçus pour corriger certains systèmes.

Cependant, les leaders de la cybersécurité affirment que les entreprises ont aujourd'hui besoin d'investir dans un logiciel de gestion des correctifs qui leur permet d'appliquer rapidement et régulièrement des correctifs sur les diverses plates-formes qu'ils ont dans leurs environnements informatiques. Il n'existe pas d'outil unique capable de gérer chaque correctif sur l'ensemble des technologies de la plupart des organisations. Les outils de gestion des correctifs peuvent faire partie de suites de gestion du cycle de vie plus étendues, de plug-ins qui augmentent ces suites ou de solutions autonomes.

La plupart des entreprises déploient plus d'un type de correctif, en sélectionnant celui qui répond le mieux à leurs besoins en fonction des systèmes logiciels et matériels spécifiques qu'ils utilisent, de la vitesse à laquelle ils souhaitent déployer les correctifs, de leurs risques commerciaux et d'autres facteurs.

Politique de gestion des correctifs

Suivre ces étapes peut aider les entreprises à garantir une discipline solide en matière de gestion des correctifs. Pourtant, les dirigeants des entreprises IT ou de la cybersécurité sont bien servis en élaborant une politique globale de gestion des correctifs et en adaptant cette politique à une stratégie plus large de cybersécurité, estime Brian Contos.

« Tout le monde a besoin d'un patch, mais il devrait être plus programmatique, s'intégrer dans un effort planifié, où les choses sont évaluées et testées avant d'entrer en production. Nous avons ignoré cela au cours des dernières années car nous avons eu beaucoup d'événements à gérer ».

En raison des complexités et des risques de l'application des correctifs, et parce que les responsables informatiques et sécurité ont de nombreuses autres responsabilités concurrentes, les organisations ont tendance à adopter une approche réactive plutôt que systématique pour s'attaquer aux correctifs. Cela ne fait qu'accroître le risque que les deux attaques ciblent des systèmes non corrigés ainsi que les complications résultant d'un patch mal exécuté.

Brian Contos conseille aux chefs d'entreprise d'élaborer une politique de gestion des correctifs qui tienne compte des risques commerciaux et de la position de sécurité globale de l'organisation afin de déterminer au mieux la fréquence et le calendrier des correctifs. « Ce n'est pas très glamour », concède-t-il, « et quand tout fonctionne bien, personne ne sait que vous avez fait quoi que ce soit. C'est seulement quand quelque chose ne va pas que quelqu'un se soucie de la gestion des correctifs. Mais la gestion des correctifs correctement effectuée est une gestion des correctifs validée au fil du temps. Ce n'est pas une réaction instinctive.»

Mary K. Pratt / IDG News Service (traduit et adapté par Didier Barathon).

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis