Gestion des correctifs Windows : quelles sont les meilleures pratiques ?

La plupart des professionnels de l'IT et de la sécurité sont aujourd'hui conscients de l'importance de la gestion des correctifs Windows. Cependant, de nombreuses entreprises choisissent d'ignorer ceux destinés aux applications tierces, qui s'ajoutent aux correctifs des systèmes d'exploitation (OS) Windows. Or, ce sont ces applications qu'il est le plus risqué de ne pas patcher, pas les OS.

L'analyse des scores CVSS, c’est-à-dire le score de risque associé à chacune des vulnérabilités, montre qu'un grand nombre de produits parmi “les plus risqués” sont des applications tierces. C’est pourquoi vous devez mettre en place un processus de gestion des correctifs Windows ciblant tout autant les applications tierces que les OS Windows. En voici les meilleures pratiques.

Analysez tous vos postes client et serveurs au moins une fois par semaine 

Pourquoi tout analyser si vous ne prévoyez d'appliquer les correctifs qu’à un nombre réduit d'applications ? Tout simplement parce que seule une analyse complète peut vous assurer la visibilité sur l’ensemble de votre environnement.

N’oubliez pas que les cybercriminels se moquent de vos processus internes de gestion des correctifs. Ils cibleront simplement les applications qui n’ont pas été patchées. Connaître l'état des correctifs de toutes vos applications vous permet de mieux évaluer votre situation et de définir des axes d’amélioration.

Définissez l'ensemble des OS et applications tierces auquel vous souhaitez appliquer des correctifs

La plupart des entreprises alignent leurs campagnes de correctifs sur le Patch Tuesday de Microsoft. C'est logique, puisque la plupart des éditeurs publient leurs correctifs le même jour. L'essentiel ici est d'effectuer immédiatement le suivi des correctifs publiés et de s’assurer qu’ils sont bien ajoutés à votre file d'attente de gestion des correctifs Windows.

Veillez à appliquer les correctifs proactivement, selon une fréquence prédéfinie. N'attendez pas que votre équipe de sécurité trouve des vulnérabilités et vous demande de les corriger. Cette façon de procéder permet de gagner du temps, et l'équipe de sécurité pourra ainsi se concentrer sur d'autres problèmes de sécurité impossibles à automatiser.

Ce qu’il faut retenir, c’est que la moitié des exploitations se produisent 10 à 100 jours après la publication de la vulnérabilité*. Les pirates voient une opportunité dans chaque vulnérabilité divulguée et chaque mise à jour ou correctif publié. En examinant une note de divulgation ou une mise à jour, il peut déterminer l’intérêt ou non d’exploiter une vulnérabilité, par quel moyen, et comment en tirer le meilleur profit.

Commencez par déployer les correctifs vers des groupes pilotes

Certes, pour certaines entreprises, le délai d'application des correctifs va importer plus que tout. Elles préféreront donc les déployer sur tous leurs postes client avec un minimum de tests. Toutefois, la plupart des entreprises ont plus intérêt à trouver le juste équilibre entre risques de sécurité et risques opérationnels - en s’assurant notamment qu’un correctif n’affecte le fonctionnement d’aucune application avant de le déployer vers les postes client ou serveurs. 

Commencez donc par un petit groupe pilote de postes client où figure l'ensemble des applications susceptibles d'être impactées par les correctifs. Si les utilisateurs concernés ne signalent aucun problème, élargissez à un plus grand nombre d’utilisateurs. Si vous n'avez toujours aucun retour négatif, poursuivez et déployez les correctifs sur tous les postes client et serveurs. 

Notez que cette étape comporte d'autres défis. La plupart des entreprises définissent leur groupe pilote sur la base de “leurs amis IT”, généralement des collègues du service informatique prêts à servir de cobayes. La difficulté, c'est qu'il n'y a le plus souvent aucun moyen de savoir à l'avance si ces testeurs couvrent réellement toutes les dépendances du correctif concerné. Les professionnels de l'IT comptent donc sur leur expérience et tentent de deviner les utilisateurs/postes client qui doivent faire partie des groupes pilotes initiaux ou secondaires. Parfois, cela fonctionne, mais pas toujours. 

Heureusement, de nouvelles technologies de gestion des correctifs Windows ont été développées pour éviter de jouer aux devinettes et trouver automatiquement les meilleurs candidats pour chaque groupe pilote. Vous pouvez ainsi définir un cycle de tests plus précis, ce qui limite le risque que des applications métier soient endommagées par le déploiement d'un correctif d'application tierce.

Dernière astuce : vérifiez que toutes vos machines reçoivent bien les correctifs

Certains postes client ne sont pas toujours allumés et tous les postes client ne sont pas constamment connectés au réseau. L'une des meilleures pratiques consiste à s'assurer que ces terminaux reçoivent les correctifs dès qu'ils sont allumés ou qu’ils se connectent au réseau. Des outils de gestion des correctifs Windows existent pour gérer et contrôler cette situation.

* 2016 Data Breach Investigations Report, Verizon