 |
|
|
| |
|
|
|
| Pourquoi les outils de patch management vont vous servir |
| Une solution de gestion automatisée des mises à jour contribue à réduire les risques de sécurité et d'indisponibilité des applications, mais aussi à dégager du temps pour les équipes d'exploitation.
(18/09/2006) |
|
"C'est un domaine encore relativement récent. La gestion de patch ne concerne pas uniquement le déploiement d'une solution technique, il s'agit également de sensibiliser et de former les utilisateurs. Les entreprises ont encore assez peu conscience des risques que peut représenter une mise à jour Microsoft par exemple", précise avant tout Haissam Hassan, responsable produit chez Criston.
Il y a globalement deux écoles distinctes parmi les outils de patch management : avec ou sans agents. Les deux solutions présentent leurs avantages, mais aussi leurs inconvénients. Ainsi une application ne disposant pas d'agents n'offrira pas le même périmètre fonctionnel. La contrepartie est un gain au niveau des ressources, les agents étant généralement plus exigeants.
Pour l'outsourcer Ornis, qui héberge plus de 500 serveurs et assure l'infogérance applicative de ses clients, dont beaucoup d'applications métiers critiques, le choix s'est porté sur une autre alternative, à savoir un boîtier d'émulation à la volée de patchs.
"Le boîtier va simuler le correctif. Il n'est donc plus nécessaire de l'appliquer directement sur les machines concernées, ce qui nous affranchit de la contrainte de déployer des patchs dans l'urgence avec les risques inhérents", explique Sylvain Mouly, directeur technique d'Ornis.
La diminution de l'impact de l'hétérogénéité sur la gestion des mises à jour est un premier bénéfice des outils de patch management. Beaucoup d'entreprises ont en effet construit leur système d'information par couches successives, sans conserver une relative d'homogénéité de leur parc.
|
L'hétérogénéité impose de posséder un inventaire du parc
|
"Avec un environnement très hétérogène, tant sur le plan des systèmes que des applications, le patching devient vite complexe lorsque l'on souhaite en automatiser les tâches. Or nous n'avons pas de configurations homogènes de nos clients", décrit Sylvain Mouly.
"Nous avons souvent des clients qui amènent des serveurs avec des préconisations fortes de leur intégrateur. Se sont souvent des applications métiers ou des machines pour lesquelles on ne peut pas appliquer des patchs facilement, comme par exemple Windows NT 4 ou RedHat 7.3. Le boîtier nous permet d'adresser ces problématiques là", poursuit-il.
L'hétérogénéité impose de posséder un inventaire à jour des postes et serveurs afin de définir la politique de gestion des correctifs. Inventaire qu'assurent notamment les solutions de patch management. Néanmoins, pour disposer de données plus détaillées, il peut être nécessaire d'ajouter un second module dédié à la gestion d'inventaire qui procédera à l'analyse des biens informatiques et à la supervision des licences logicielles.
Pour le directeur technique d'Ornis, le boîtier Blue Lane permettait en outre de répondre à deux problématiques : "D'abord, bénéficier d'une réactivité optimale par rapport à l'application de patch afin de maintenir le niveau de sécurité. Et une problématique de disponibilité, soit ne pas prendre le risque d'appliquer des patchs lorsque ceux-ci peuvent faire tomber un serveur."
|
"La composante sécurité est quasiment oubliée pour ne garder que la partie opérationnelle"
(S. Mouly - Ornis)
|
Côté utilisateur, le gain de productivité est en règle générale nul, la mise à jour des postes étant pour eux totalement transparente. Cependant, une meilleure réactivité pourra permettre de corriger une faille avant qu'elle ne soit exploitée. Pour les employés, les bénéfices sont donc avant tout relatifs à la disponibilité de leur poste et des applications métiers nécessaires à leur travail quotidien.
Concernant d'ailleurs les applications critiques, l'émulation de patchs évite de se lancer dans un déploiement hâtif qui presque immanquablement aura des effets de bord, comme l'allongement des temps de réponse ou un comportement anormal.
Enfin, pour les administrateurs et les cellules sécurité des départements informatiques, le gain est évident. Ces derniers disposent à tout moment d'une visibilité quant à l'état des postes. Une visibilité qui leur permettra ainsi de définir rapidement la liste des correctifs à appliquer et les machines concernées.
"Entre un traitement manuel et automatisé, le retour sur investissement est évident, ne serait-ce qu'en termes de ressources humaines. Une personne unique, grâce à la console centralisée de l'application pourra assurer la gestion de patch là où auparavant plusieurs techniciens pouvaient être sollicités", déclare Haissam Hassan.
Pour Sylvain Mouly, "la composante sécurité est quasiment oubliée pour ne garder que la partie opérationnelle. Nous sommes en train de repenser notre façon de déployer des patchs. Auparavant, cela nous contraignait à mobiliser une bonne partie de l'équipe à une fréquence indéterminée. On a donc libéré du temps que l'on va pouvoir utiliser pour s'organiser sur le déploiement et planifier des séances de patching."
"Le patch management n'est toutefois pas la panacée" prévient Sergio Ribeiro, consultant chez LANDesk. Il reste en effet un outil et n'affranchit pas d'un certain nombre de contraintes et d'erreurs, l'utilisateur n'étant pas exempt d'interventions manuelles.
|
|
|
|
|
|
|
Dossier 