Le patch management, un impératif pour la sécurité des entreprises

Publié le 04-01-2022

Le patch management, un impératif pour la sécurité des entreprises

“2021, l’année record des failles zero day”. C’est ce que titrait Le Monde Informatique en septembre 2021. Ce n’était même pas la fin de l’année. Les failles zero day sont des vulnérabilités inhérentes aux logiciels ou aux produits commercialisés et utilisés par les entreprises. C’est malheureusement une tendance qui devrait continuer les prochains mois.

Quant aux vulnérabilités de tous types, elles sont plus de 23 000 à être signalées publiquement sur toute l’année. C’est un volume important que peu d’entreprises peuvent prendre en charge en assurant le déploiement de mises à jour ou de correctifs.

Les DSI doivent faire preuve d’une vigilance accrue pour ne pas compromettre les données et le bon fonctionnement de l’entreprise. Le développement du travail hybride vient fragiliser la sécurité de votre environnement informatique.

Pour éviter les intrusions, le vol, le chiffrement des données ou encore les demandes de rançons, les entreprises ont tout intérêt à mettre en place une politique de patching solide et pérenne. Quand on sait qu’il s’écoule plus de 100 jours en moyenne entre la publication d’un correctif de sécurité et le déploiement par l’entreprise, le chemin est encore long.

Dans cet article, nous allons vous exposer le processus idéal élaboré par Wixalia pour gérer le patching au sein de votre entreprise. C’est ce qu’on appelle plus communément le patch management.

 

Les pré-requis pour un patch management optimal

Le patch management ou la gestion des correctifs, n’est rien d’autre qu’un processus qui doit être bien pensé et bien exécuté. Le manque de rigueur de toute l’équipe informatique à ce niveau-là peut compromettre la sécurité de l’entreprise. Mais avant de parler du processus en tant que tel, vous devez réunir plusieurs éléments.

Tout d’abord, l’entreprise doit disposer d’un inventaire complet et à jour de son parc informatique. Cela concerne la liste de tous les équipements IT mais également toutes les imbrications entre les composants. À quels équipements votre switch est-il relié dans le bureau A ? Est-il relié à un autre switch ?

La topologie de votre réseau se définit de deux manières :

  • comment vos équipements sont interconnectés et leur localisation spatiale (topologie physique).
  • comment les données transitent dans les lignes de communication (topologie logique).

Autant la liste des équipements est globalement maîtrisée par les entreprises alors que l’interaction entre ces derniers et la gestion des flux sont souvent plus nébuleuses.

Et pourtant, cette cartographie fonctionnelle est la base de l’analyse d’impacts et la criticité d’une intervention dans le cadre du déploiement d’un patch. Comment déterminer les perturbations engendrées lors d’une intervention si la cartographie de vos équipements IT est inexistante ou incomplète ?

Afin de ne pas fortement perturber les équipes métiers et le business, il convient de prévenir en amont d’un reboot ou d’une période d’indisponibilité. Pour cela, il faut savoir quels équipements, quel périmètre, quels logiciels seront impactés.

Une mauvaise connaissance de sa cartographie peut entraîner :

  • une perte financière pour l’entreprise
  • une perte de confiance chez les clients et un déficit de notoriété
  • une tension sociale au sein de vos collaborateurs

Si aujourd’hui, les interruptions de services sont souvent mal maîtrisées au sein des entreprises, nous souhaitons attirer votre attention sur les pré-requis à mettre en place pour vous améliorer.

 

Automatiser n’est pas automatique

De nos jours, tout le monde ne jure que par l’automatisation. La gestion des correctifs n’est pas épargnée. La plupart des éditeurs de logiciels proposent une automatisation des mises à jour afin que leurs clients gagnent du temps.

Dans le cas des applications open source, la gestion automatisée des correctifs permet de garantir que les inventaires des ressources soient mis à jour dès que possible. Mais dans d’autres cas, il est risqué de faire une confiance aveugle à l’éditeur de logiciel par exemple.

Rappelez-vous début 2020 : Microsoft déploie la mise à jour KB4532693 qui a provoqué chez certains utilisateurs la disparition de leurs fichiers mis sur le bureau et une remise à zéro de leur menu “Démarrer” et de la barre de tâches. L’éditeur a mis en place une solution temporaire en attendant la nouvelle mise à jour.

Les conséquences d’une telle erreur, même temporaire, peuvent être importantes auprès des utilisateurs et des entreprises.

Chez Wixalia, nous vous préconisons de minimiser les mises à jour automatiques afin d’en évaluer l’impact sur votre activité. Si le correctif touche une partie critique de votre activité et son déploiement ne se passe pas comme prévu, il vaut peut-être mieux attendre qu’il soit déployé à grande échelle par l’éditeur et ainsi s’assurer de sa stabilité.

Les 5 étapes du patch management

La bonne approche du patch management suit les étapes suivantes :

  1. Attendre un peu et respecter la politique standard (sauf si le RSSI déclenche un cas de force majeure car le risque est trop élevé pour suivre le cycle habituel)
  2. Déployer le patch dans un environnement hors production (une réplique de votre système à petite échelle) et effectuer des tests de non-régression
  3. Déployer sur une population test (10 personnes clés représentatives des différentes activités) puis attendre une période pour observer les éventuels impacts
  4. Si tout s’est bien déroulé jusque-là, il est temps de déployer à grande échelle.
  5. Enfin, effectuer un reboot automatisé ou manuel

Quelle que soit la situation, il est important d’évaluer la balance bénéfice risque avant chacune de vos opérations.

 

Conduite du changement : le cœur du sujet pour un patch management réussi

Le déploiement d’un patch en tant que tel n’est pas difficile. Ce qui l’est davantage c’est la gestion des procédures permettant de le faire dans les meilleures conditions. Le patch management s’inscrit pleinement dans la conduite du changement. Et c’est l’enjeu le plus important pour le DSI et son équipe.

S’appuyer sur la méthode ITIL

La méthode ITIL très répandue dans le monde concerne la gestion des services informatiques. C’est une approche globale qui prend en compte l’ensemble des services business (et pas seulement les services d’infrastructure). Le but ? Satisfaire l’exigence du client (même interne) et le niveau de service.

Les processus ITIL sont efficaces et adaptables tout en reposant sur un modèle qui lui-même évolue au fil du temps pour suivre les évolutions du marché et les nouvelles pratiques.

Concrètement, les processus ITIL constituent un recueil de bonnes pratiques visant à améliorer le management des systèmes informatiques (ITSM). Ils permettent d’organiser efficacement les systèmes d’information tout en plaçant les utilisateurs au centre de l’action. En optimisant la gestion des services informatiques, les équipes gagnent du temps, assurent une meilleure traçabilité et un suivi complet de leurs actions.

Enfin les processus ITIL placent les activités dans une démarche d’amélioration continue qui augmente la qualité globale du service informatique et donc la satisfaction des utilisateurs.

Zoom sur la gestion d’une mise à jour

Dans cette démarche, une fiche de changement est créée dans le cadre de chaque déploiement de patch. Ce document répond aux grandes questions : quoi, pourquoi, quand, combien de temps, qui informer… Il est soumis au comité de changement qui est apte à juger de sa qualité et de sa pertinence, constitué de représentants de l’équipe informatique mais aussi des experts métier.

Pendant l’exécution de la mise à jour, la bonne pratique veut que l’on crée une page de maintenance avec un message clair et précis pour informer les usagers sur une application web par exemple. Il est important de prévenir les équipes de supervision pour empêcher le déclenchement des procédures de niveau 1 à la vue d’une anomalie.

Enfin, il est facile d’oublier de planifier une interruption de service auprès de vos clients. Pourtant, cela peut vous coûter cher si vous dépassez le temps défini dans votre contrat. Si ce paramètre est inscrit noir sur blanc dans vos procédures, vous éviterez de faire l’impair.

Gestion de l’obsolescence

L’obsolescence de logiciels ou de matériel induit une démarche proactive de la part de l’équipe informatique afin d’éviter tout risque de cybersécurité.

Vous pouvez faire face à deux grands types d’obsolescence :

  • l’obsolescence logicielle notamment avec la fin de support sur une ancienne version d’un logiciel ou la fin d’un contrat de maintenance
  • l’obsolescence du parc informatique

Les risques d’une mauvaise gestion peuvent avoir un impact important sur l’activité de l’entreprise : cybersécurité, difficultés d’interconnexion avec d’autres éléments du SI, non-respect des normes réglementaires en vigueur ou encore la baisse de compétitivité face aux concurrents.

 

Le patch management n’est rien d’autre qu’un processus qui doit être bien maîtrisé malgré l’investissement en temps et en argent que cela peut représenter. Voyez-le comme votre assurance contre des défaillances majeures au sein de votre SI et pouvant ébranler l’activité de votre entreprise. Les équipes de Wixalia accompagnent tous les jours des entreprises sur la gestion des patchs afin qu’elles gagnent en sérénité. Pourquoi pas vous ?