L'application des correctifs à distance ne s'improvise pas
La pandémie de COVID-19 a entraîné un recours massif au télétravail et un grand nombre d'entreprises n'y étaient pas préparées sur le plan de la sécurité. Plus précisément, concernant la gestion des correctifs, elles ont très vite compris que leurs solutions actuelles seraient très difficiles à faire fonctionner dans ce nouveau monde du télétravail.
Voici certaines des difficultés constatées par les entreprises :
Le casse-tête des mises à jour au travers du VPN
De nombreuses solutions, comme WSUS ou SCCM, entre autres, sont contraintes de communiquer avec l'infrastructure sur site pour pouvoir effectuer des mises à jour centralisées. Vous trouverez de multiples articles et fils de discussion sur des sites tels que reddit ou technet, portant des titres comme "Maîtriser les limitations de bande passante de Configuration Manager pour les clients connectés par VPN" ou "Forcer les clients Configuration Manager connectés par VPN à se procurer des correctifs via Microsoft Updates". En d'autres termes, vous devez consacrer du temps et des efforts à adapter votre trafic VPN pour permettre les mises à jour par ce biais.
Cependant, si votre précieuse bande passante VPN est saturée par le trafic de mises à jour ou si vous devez reconfigurer les systèmes pour les forcer à se procurer les mises à jour directement via Windows Update, vous risquez de perdre le contrôle et la visibilité sur les correctifs dans votre environnement.
Les mises à jour tierces limitées dans Microsoft InTune
Les détenteurs d'un accord de licence d’entreprise (ELA) Microsoft ont pu se sentir obligés d’accélérer leur calendrier et de basculer les utilisateurs distants dans InTune plus tôt que prévu. Même si vous avez résolu le problème de la couverture Microsoft, celle des mises à jour tierces perdure, car il faut garantir que vos produits Adobe, Google, Mozilla, etc. sont mis à jour correctement.
Malheureusement, InTune offre une option de mise à jour très limitée, uniquement par MSI, qui restreint sensiblement la majorité des programmes d'installation tiers. Microsoft propose une API qui étend ces fonctions, mais elle n'existe encore qu'en version bêta et l'on déconseille à ce stade aux fournisseurs de l'utiliser hors environnement de test.
Tout le monde n’est pas rodé au BYOD
Certains d'entre vous ont dû passer, de façon extrême et brutale, au BYOD (Bring Your Own Device). Certaines entreprises avaient certes adopté le BYOD depuis des années. Pour les autres, les défis à relever se sont avérés très complexes, du jour au lendemain. Désormais, les données de l’entreprise sont consultées sur des terminaux hors de votre contrôle, sans parler des autres contrôles de sécurité. Comment, dès lors, garantir une gestion correcte des correctifs sur ces terminaux ?
La bonne nouvelle, c'est que des solutions existent
Ces solutions permettent de résoudre un grand nombre de ces problèmes. Celles de gestion des correctifs cloud ou hybrides peuvent, par exemple, garantir qu’un agent en dehors du réseau pourra communiquer avec sa console de gestion sur site. Il utilisera des services cloud sécurisés pour obtenir les politiques de mise à jour et renvoyer les résultats, mais ils se procurera les mises à jour proprement dites directement auprès du centre de téléchargement du fournisseur. Cela permet d'économiser la bande passante VPN et assure la cohérence de reporting pour les terminaux, afin que vous puissiez continuer à les gérer correctement. De nombreux fournisseurs proposent aussi une couverture à court terme pour gérer la soudaine prolifération des terminaux en BYOD. Cela permet d'étendre vos licences pour les couvrir à court terme, et vous aide à les gérer et à assurer conformité et sécurité.
À long terme, il faudra vérifier que les fournisseurs que vous sélectionnez supportent les infrastructures cloud et hybrides, pour les outils de gestion des systèmes comme Remote Control, les outils de dépannage et les solutions de sécurité. Il est également conseillé de vous assurer que vous pouvez prendre en charge à la fois les systèmes de vos réseaux et ceux des environnements de vos utilisateurs en télétravail, ainsi que les datacenters sur site et ceux en cloud privé ou public. Si vous ne pouvez pas obtenir une couverture transparente qui n'exige pas de VPN, les outils que vous utilisiez jusqu'à présent ne sont peut‑être plus adaptés à cette nouvelle ère du télétravail.