 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| DSI : piloter la gestion des patchs face à l'urgence |
| Tâche incontournable mais consommatrice en temps, le déploiement des correctifs doit de plus en plus souvent s'effectuer dans des délais réduits. Dès lors, quelle méthode appliquer et quels outils choisir ?
(27/06/2006) |
|
La gestion des correctifs, malgré son importance, ne serait-ce que pour des raisons de sécurité, est loin d'être un domaine de la gestion de parc maîtrisé par tous les responsables informatiques.
"Les entreprises ne font pas toujours preuve de réactivité dans le déploiement des correctifs, avec des délais moyens d'un mois, 10 jours étant la durée minimale pour elles, compte tenu de leurs contraintes", estime Sergio Ribeiro, consultant chez LANDesk.
Selon une étude publiée en avril par McAfee, consacrée aux patchs et à leur gestion en entreprise, un tiers des 600 décideurs informatiques interrogés ignoraient le nombre de mises à jour déployées durant les six derniers mois. 58 % d'entre eux avouaient être incapables d'estimer le coût de déploiement de ces correctifs. Enfin, 50 % déclaraient ne pas savoir quelles applications il leur fallait prioritairement mettre à jour.
Autant de lacunes qui rendent flou, voire obscur, l'état applicatif du parc de l'entreprise, et parallèlement l'exposent à d'importants risques de sécurité tout en alourdissant les tâches d'administration. Un danger encore plus vrai avec l'augmentation du nombre de failles affectant les logiciels et la grande réactivité dont font preuve les créateurs de virus pour les exploiter.
Un constat inquiétant appuyé par les résultats d'une étude de Cortina. D'après la société spécialisée dans la protection de données, la moitié des failles publiées en 2005 étaient exploitées dans la semaine suivant leur publication. Ce délai était de 6,8 jours selon Symantec France, entre juillet et décembre 2005.
De plus, les systèmes d'exploitation ne monopolisent plus l'entière attention des pirates, d'après le SANS Institute, notamment en raison d'une gestion automatisée des patchs qui a rendu plus difficile la chasse aux systèmes vulnérables. La tendance serait en revanche à la recrudescence des attaques exploitant des failles d'applications tierces (bases de données, sécurité, multimédias) et réseau (matériel ou système).
La planification des opérations de mise à jour des applications doit par conséquent être rigoureusement définie et suivre un déroulement bien rodé, afin de réduire le temps d'administration qui y est consacré. La finalité est également de faire preuve de plus de réactivité dans l'éventualité de l'apparition d'une nouvelle faille jugée critique.
| Des failles exploitées dans des délais plus brefs |
Plusieurs étapes précédent le déploiement des correctifs sur les postes de travail et les serveurs. Il s'agit tout d'abord de connaître précisément l'état des mises à jour du parc, poste par poste, afin de savoir quoi déployer et où. Mais aussi d'établir précisément la liste des applications installées en procédant à un inventaire.
Des outils de gestion de parc peuvent s'avérer indispensables dès lors que le nombre d'utilisateurs le justifie. Il n'y a pas ici de règle pré-établie, mais au-delà de 100 postes, on peut estimer qu'ils présentent un intérêt non négligeable.
Il s'agit d'analyser le réseau et d'identifier tous les équipements IP afin de disposer d'une image précise des biens informatiques. L'ensemble - ou une partie des données d'inventaire - seront collectées : données détaillées sur les matériels, les logiciels et la configuration du système d'exploitation. "La visibilité est primordiale dans la gestion des mises à jour", rappelle le consultant de LANDesk.
Parallèlement à cet inventaire, il convient de centraliser l'ensemble des alertes émises par les éditeurs et les divers organismes de sécurité recensant les failles logicielles. Plusieurs filtres pourront être mis en uvre afin d'établir une classification des vulnérabilités selon leur niveau de dangerosité. Classification qui permettra ensuite de hiérarchiser les différents déploiements de correctifs.
Ainsi, une application plus exposée, critique pour l'activité de l'entreprise, sera prioritairement mise à jour. Au contraire, un logiciel non connecté à Internet ou peu dépendant du réseau de l'entreprise, ne nécessitera a priori pas que le correctif soit appliqué aussi rapidement.
La criticité du poste ou du serveur nécessitant un correctif doit également être prise en compte. "On ne procédera pas à la mise à jour des caisses dans la grande distribution durant la journée", note Sergio Ribeiro. De la même manière, des précautions devront être prises dans le cas d'un serveur supportant une application métier critique pour l'entreprise. Le niveau de dangerosité de la faille n'est donc pas le seul élément à entrer en ligne de compte.
| Inventorier, prioriser, tester et déployer |
Passage obligé pour l'entreprise, une fois les correctifs téléchargés auprès des éditeurs, reste encore à procéder à des tests avant tout déploiement. L'application prématurée d'un patch peut parfois avoir des effets aussi désastreux que ceux d'une attaque exploitant une faille de sécurité.
Des tests de compatibilité et de non régression devront par conséquent être effectués. Une étape dont les entreprises s'affranchissent pourtant parfois, en dépit des conséquences que cela peut avoir pour elles. "Pour des raisons de temps, elles ne procèdent pas systématiquement à des tests", explique Sergio Ribeiro.
La désinstallation d'un correctif demeure toujours possible, néanmoins, "il ne faut pas se reposer sur cette alternative, même si c'est une possibilité", poursuit le spécialiste.
Les tests validés, les administrateurs système pourront procéder à un premier déploiement sur des postes représentatifs. Si aucune instabilité n'est constatée à l'issue de cette seconde phase, les correctifs pourront être étendus à 20% ou directement à l'ensemble du réseau.
La gestion des correctifs ne peut toutefois pas être définie dans l'absolu. Sa mise en uvre est étroitement dépendante des spécificités de chaque entreprise. Sa complexité sera corrélée à la fois à la taille du parc, à son hétérogénéité, aux compétences et aux effectifs du service informatique, ainsi qu'à sa réactivité face à l'apparition de nouvelles failles.
L'hétérogénéité est certainement, et assez logiquement, une source d'accroissement de la complexité dans la gestion des mises à jour, voire globalement dans l'administration du parc informatique. Elle expose à de plus nombreux risques d'incompatibilité des patchs et alourdit la phase de test et de déploiement. Elle imposera plus encore l'obligation de posséder un inventaire à jour des postes et serveurs. Homogénéiser ses environnements systèmes réduira donc le temps d'administration et le coût total de possession.
Que l'on ait recours ou non à un outil d'automatisation, la définition d'une procédure claire de gestion des mises à jour est garante à la fois d'une meilleure réactivité et gage de sécurité. C'est également pour l'entreprise l'opportunité de réduire le temps d'administration qui y sera alloué et son coût total de possession.
|
| |
| |
|
|
|
|
|
|
Dossier 
