La gestion des correctifs au centre de la politique sécuritaire

La gestion des correctifs de sécurité (« patch management ») fait partie intégrante des politiques de Sécurité des Systèmes d¹Information.
La diffusion récurrente de programmes malveillants qui exploitent les vulnérabilités connues des systèmes et applications du marché contraignent les vendeurs à mettre régulièrement à disposition des utilisateurs des correctifs de sécurité qui empêchent de transformer serveurs et postes de travail en source de contamination du réseau ou de fuite d’information. Pour beaucoup d’entreprises, la problématique de la gestion des correctifs de sécurité semble évidente au premier abord : il « suffit » d’installer régulièrement les patches diffusés par les éditeurs pour corriger les vulnérabilités de leurs systèmes d’exploitation, produits et applications.

Mais la mise à jour d’un parc informatique reste complexe : les correctifs sont fréquents, ils peuvent poser des problèmes de compatibilité, les postes nomades sont difficiles à joindre, et les serveurs ne peuvent pas être arrêtés fréquemment. Il est donc nécessaire d’industrialiser le processus de gestion des correctifs dans le contexte de son entreprise : collecte d’information sur les correctifs publiés, qualification de cette information, applicabilité des correctifs, tests, déploiement puis vérification et suivi. Cette organisation impose la mobilisation de ressources. Il est donc nécessaire de sensibiliser et de convaincre le management de l’entreprise du bien fondé de la mise en place d’une gestion des correctifs. Une partie des opérations doit être automatisée de façon à assurer la faisabilité de ce processus, à réduire les coûts et diminuer la fenêtre d’exposition aux vulnérabilités. L’utilisation d’un outil de gestion des correctifs doit respecter un certain nombre de conditions, et s ‘inscrire dans le processus. Pour ce faire, il est nécessaire d’étudier les points suivants :

Qui intervient ? Il conviendra de bien définir les rôles de chacun dans le processus (administrateurs, développeurs, équipe sécurité, etc.) Seuls les administrateurs doivent avoir l’autorisation d’installer des patches sur une machine. Les utilisateurs ne doivent pas effectuer eux-mêmes ce type d’opération, notamment sur leurs postes de travail.

Quels correctifs choisir ? Une présélection automatique des correctifs peut être faite, en fonction de la sévérité des vulnérabilités ou des systèmes concernés par exemple. L’emploi d’un scanner de vulnérabilité peut aussi optimiser le choix en guidant une analyse de risque. Les administrateurs doivent ensuite tester et approuver les correctifs choisis avant leur diffusion.

Quand diffuser les correctifs ? Il importe de définir une fenêtre de diffusion en fonction de la sévérité des failles. Par exemple, Microsoft recommande d’appliquer les patches critiques sous 24 heures, ceux classés «importants » sous un mois, ceux concernant une faille d’importance «modérée » sous 4 mois et les autres (faible importance) sous un an.

Quels périmètres sont concernés ? L’ensemble du parc doit faire l’objet d’une étude de priorité, y compris les postes nomades. C’est la raison pour laquelle il est impératif qu’ils se reconnectent régulièrement au réseau de l’entreprise ou qu’il existe une possibilité pour les toucher via internet.
D’où les correctifs doivent-ils être téléchargés ? Il est important de définir les serveurs qui téléchargeront les correctifs sur les sites des éditeurs, ainsi que l’infrastructure qui optimisera les déploiements sur les postes (typiquement en utilisant des relais de communication sur les sites distants).

Comment les correctifs seront-ils appliqués ? Les patches sont appliqués automatiquement, en tâche de fond, de façon à ce que l’opération soit transparente pour l’utilisateur. Seul le redémarrage du système, si nécessaire, devra être contrôlé ou planifié par l’utilisateur. Des informations pertinentes doivent être enregistrées dans des logs pendant et après l’opération.

Combinant données organisationnelles et techniques, la gestion des correctifs se positionne donc comme un maillon clé de la sécurité du système d’information, toujours plus menacé par la fréquence de nouvelles attaques. Pour garantir une mise en conformité optimum du SI, l’automatisation semble donc de mise et permet de pallier aux difficultés d¹une gestion manuelle, synonyme de veille constante et de dangerosité pour le SI. Reste néanmoins à aborder le processus dans son ensemble et à placer l’automatisation dans un contexte organisationnel précis afin qu’elle soit couronnée de succès.

Qui est Criston ?
Créé en 1997, Criston est un éditeur de logiciels de gestion & sécurisation des systèmes informatiques.
La sécurité étant un composant indissociable des opérations informatiques, Criston est convaincu qu’il faut « gérer ses systèmes pour mieux les sécuriser » et aide les sociétés à évaluer l’état de leur infrastructure informatique, à anticiper les risques et réagir rapidement lorsqu’il le faut, et à mettre en place les contrôles et procédures nécessaires. Qu’il s’agisse de serveurs, de postes fixes ou de postes mobiles, leur infrastructure est plus sûre, plus disponible et compatible avec les normes applicables. Criston est basé en France, en Allemagne, au Royaume-Uni, au Japon et en Chine et dispose d’un réseau de partenaires dans plus de 20 pays. En mai Criston a lancé Precision 5.4 , ne suite logicielle de gestion et de sécurisation dotée d’un puissant scanner de vulnérabilités