Security Patch Management [2/3] : problématique et écueils à éviter

Suite à la publication d'un correctif de sécurité réputé très critique, vous avez sans doute déjà vu un responsable opérationnel tourner en rond en répétant sans cesse: "si j'installe ce correctif, je risque de planter ma production, mais si je ne l'installe pas je reste vulnérable..."

Telle est la problématique liée à la gestion des correctifs de sécurité:

  • ignorer un correctif ou oublier une machine vulnérable peut ouvrir une faille de sécurité importante sur le SI d'une entreprise,
  • déployer un correctif, testé par l'éditeur dans un contexte spécifique, peut présenter des risques d'effets de bord important comme l'instabilité des systèmes ou des applications.

Dans les deux cas, l'impact sur le business de l'entreprise peut être très important !

A ces deux problèmes, s'ajoute également la contrainte liée aux aspects juridiques et réglementaires qui sont de plus en plus exigeants (réglementation française, normes ISO, SMSI, PCI-DSS, Sarbanes-Oxley...).

Cette contrainte peut elle aussi avoir un impact business très important pour l'entreprise en cas de non-respect des règlementations.

La mise en place d'un processus de gestion des correctifs de sécurité doit donc nécessairement prendre en considération ces trois points. Toutefois, la connaissance de la problématique ne suffit pas pour définir un processus efficace et évolutif, dans lequel on puisse avoir confiance. En effet, les principales lacunes que l'on peut rencontrer en entreprise dans un processus type de gestion des correctifs de sécurité sont les suivantes:

  • Avoir plusieurs processus de gestion des correctifs : il est courant de voir plusieurs processus distincts, chacun prenant en charge un environnement ou une technologie spécifique. Ceci conduit généralement à des prises de décisions inégales, et rend très difficile la démarche d'amélioration de ces processus.
  • Prendre des décisions de déploiement non documentées : il est fréquent de trouver une machine soit en manque de correctifs (les correctifs ne sont pas compatibles avec l'application par exemple), soit ayant tous les derniers correctifs (l'utilisateur est administrateur de la machine et déploie lui-même les correctifs sans en avertir les administrateurs officiels). Si l'état de cette machine n'a pas été documenté, cela peut se révéler très dangereux (la machine est supposée avoir été oubliée dans le premier exemple et les correctifs sont déployés en urgence), et à minima faire perdre du temps aux administrateurs pour leurs investigations (pourquoi les correctifs ne s'installent pas dans le second exemple ?).
  • Prendre des décisions de déploiement risquées : il est très important d'évaluer correctement le risque lié au déploiement d'un correctif de sécurité. En effet, ce n'est pas après le déploiement du correctif et de l'apparition d'erreurs sur la machine qu'il faut s'apercevoir que le risque de déploiement était plus élevé que le risque de laisser la vulnérabilité présente sur la machine.
  • Valider hâtivement et mal préparer les retours arrière : il n'est pas rare que l'installation d'un correctif de sécurité provoque des effets de bord sur le système ou sur l'application. Si le correctif n'est pas suffisamment testé et que la procédure de retour arrière est négligée, les impacts du déploiement du correctif peuvent être considérables pour l'entreprise.

Par conséquent, pour s'assurer de la réussite de la mise en place d'un processus de gestion des correctifs de sécurité, il est important de tenir compte des points clés suivants :

  • Avoir un unique processus de gestion des correctifs : un processus unique conduit à des prises de décision plus uniformes, et permet une démarche d'amélioration continue et efficace de ce processus.
  • Avoir des données fiables et accessibles sur les biens (assets), les vulnérabilités et les correctifs : les bonnes données permettent de prendre de bonnes décisions, et il est impératif que toutes les équipes puissent accéder à ces données.
  • Avoir une définition claire du processus : l'efficacité du processus repose sur la clarté de sa définition, et il est impératif que les employés suivent toujours le processus défini. Un processus confus est source de plus de problèmes que l'absence de processus elle-même.
  • Améliorer le niveau de confiance envers les équipes informatiques : l'activité d'une entreprise repose en grande partie sur les moyens informatiques et ses administrateurs. Un processus de gestion des correctifs efficace contribue à l'amélioration de la confiance des acteurs métiers envers les équipes informatiques. Ceci est indispensable pour établir de bonnes relations de travail inter équipes.

Article écrit par Alexandre Lauga

Nicolas Jacquey
Hervé Troalic

Edit from the Orange Business team: Hervé left the Orange Group since he wrote his last posts.