Correctifs logiciels : mieux gérer le casse-tête
Le management des correctifs logiciels constitue une tâche stratégique pour la sécurité du système d'information. Et souvent fastidieuse... La multiplication des menaces contre la sécurité informatique exerce une pression constante sur les administrateurs de systèmes, contraints de déployer des correctifs de plus en plus rapidement. Extrait du magazine CIO n°31 d'Octobre 2007.
PublicitéDu fait du niveau d'informatisation atteint par les entreprises, les bogues logiciels affectent par définition, des parcs importants de machines et d'utilisateurs, d'autant que le niveau moyen de protection et de sécurité reste très moyen, pour ne pas dire nul, si l'on en croit les études régulièrement publiées sur l'insécurité informatique.. Par ailleurs, la plupart des postes de travail demeurent vulnérables même après l'application de correctifs. Ils constituent donc des menaces potentielles pour les autres machines auxquels ils se connectent. De fait, la gestion des correctifs joue un rôle crucial dans la sécurité des informations. Lorsque de nouvelles vulnérabilités sont identifiées dans un code existant ou lorsque de nouvelles menaces surviennent, les fournisseurs publient des correctifs permettant de mettre fin à ces vulnérabilités ou d'ajouter de nouvelles fonctions de sécurité. Il faut donc être capables d'identifier rapidement quels ordinateurs nécessitent quels correctifs, et de déployer les correctifs appropriés. Ce processus doit se faire de façon cohérente et répétée car quelques ordinateurs non protégés par les nouveaux correctifs suffisent à mettre en danger un réseau tout entier. Par ailleurs, le rétrécissement des délais entre l'annonce d'une vulnérabilité et son exploitation malveillante oblige les entreprises à revoir leurs procédures en faveur d'un déploiement accéléré. En réalité, une absence d'action dans ce domaine se traduit par des conséquences dommageables : l'arrêt ou l'interruption des systèmes, le temps de résolution des problèmes de sécurité, notamment pour la réinstallation des applications, les pertes d'intégrité des données, sans oublier les conséquences légales, par exemple en cas de perte ou de compromission de données nominatives, ainsi que des pertes d'image pour l'entreprise, avec la perte de clients par exemple. Le rôle de la direction des systèmes d'information et du responsable sécurité en particulier est donc multiple dans le processus de mise à jour des applications et des systèmes d'exploitation avec des correctifs. Il faut ainsi : - Répertorier si possible automatiquement les ordinateurs sur lesquels a été appliqué le correctif et ceux ne l'ayant pas reçu. - Réaliser des inventaires afin d'identifier immédiatement les ordinateurs sur lesquels manquent les correctifs spécifiés. - Réaliser automatiquement des analyses planifiées pour rechercher les correctifs installés, puis générer des rapports pouvant être mis à jour et suivis à long terme. - Installer un ou plusieurs correctif(s) sur des ordinateurs sélectionnés sans intervention de l'utilisateur, en minimisant, le cas échéant, le nombre de redémarrages nécessaires. - prendre en compte la diversité des sites, à travers des procédures homogènes, formalisées et mises à jour. L'approche de la gestion des correctifs se déroule en cinq phases. Première phase : l'analyse des environnements de production, des menaces et des failles de sécurité auxquelles le système d'information est exposé. Cette phase d'analyse est la plus importante dans la stratégie de management des correctifs. Concrètement, cette phase va consister à réaliser l'inventaire exhaustif des ressources, y compris les postes nomades et les périphériques : il faut pour cela collecter un certain nombre d'informations. L'inventaire des ressources doit être exhaustif, et inclure les postes nomades et les périphériques. Il faut pour cela collecter un certain nombre d'informations, en particulier : l'identification de toutes les versions, de toutes les applications, de qui fait quoi en matière de gestion des correctifs, les infrastructures réseaux et leur niveau de sécurité, l'identification des correctifs déjà installés et de ceux qui manquent, les fonctions exécutées par les systèmes et les applications, surtout si elles sont stratégiques, les actifs potentiellement impactés et la valeur de chacune des composantes du système d'information, les menaces connues et les processus mis en place pour identifier les nouvelles ou les changements de niveau de ces menaces, les vulnérabilités connues et les processus ont été mis en place pour identifier les nouvelles ou les changements de niveau de ces vulnérabilités et, enfin, les contre-mesures déployées. Seconde étape : l'identification (des nouvelles mises à jour de logiciels, de leur pertinence et de leur criticité). L'objectif est de détecter de nouvelles mises à jour de logiciels, de déterminer si des mises à jour de logiciels s'appliquent à l'environnement de production, d'obtenir des fichiers sources de mise à jour de logiciel et de confirmer qu'ils présentent un niveau de sécurité satisfaisant et de déterminer le degré d'urgence de la mise à jour (urgence ou non). La troisième phase est l'évaluation et la planification : étude de l'opportunité de déployer la mise à jour du logiciel, de la tester dans un environnement de production et de s'assurer qu'elle n'a pas d'impact négatif sur les systèmes et applications existants. Cette étape consiste à déterminer si un déploiement de mise à jour est nécessaire, d'en planifier la diffusion, et de conduire les tests. La dernière phase concerne le déploiement. Le passage à cette phase est déclenché lorsque le correctif est prêt au déploiement en production. Il faut déterminer le nombre d'ordinateurs présents, la définition de la façon dont les correctifs peuvent être mis en oeuvre sur chacun des postes des travail et des serveurs, et repérer les processus métiers affectés par la sélection des correctifs à appliquer. Cette phase permet notamment de décider quels sont les correctifs suffisamment importants pour nécessiter une application immédiate. La dernière phase est celle du déploiement des correctifs sur les systèmes qui en ont besoin, en vérifiant que tous les correctifs nécessaires ont bien été appliqués et que les systèmes ont bien été redémarrés lorsque cela était nécessaire. Jusqu'à la prochaine mise à disposition de nouveaux correctifs par les éditeurs de logiciels...
Article rédigé par
Philippe Rosé
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire