Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Marc Vaillant, Criston : La gestion des correctifs au centre de la politique sécuritaire

juin 2008 par Marc Vaillant, Président de Criston

La diffusion récurrente de programmes malveillants qui exploitent les
vulnérabilités connues des systèmes et applications du marché contraignent les vendeurs à mettre régulièrement à disposition des utilisateurs des correctifs de sécurité qui empêchent de transformer serveurs et postes de travail en source de contamination du réseau ou de fuite d’information.

Pour beaucoup d’entreprises, la problématique de la gestion des correctifs de sécurité* semble évidente au premier abord : il « suffit » d’installer régulièrement les patches diffusés par les éditeurs pour corriger les vulnérabilités de leurs systèmes d’exploitation, produits et applications. Mais la mise à jour d’un parc informatique reste complexe : les correctifs sont fréquents, ils peuvent poser des problèmes de compatibilité, les postes nomades sont difficiles à joindre, et les serveurs ne peuvent pas être arrêtés fréquemment.

Il est donc nécessaire d’industrialiser le processus de gestion des
correctifs dans le contexte de son entreprise : collecte d’information sur
les correctifs publiés, qualification de cette information, applicabilité
des correctifs, tests, déploiement puis vérification et suivi. Cette
organisation impose la mobilisation de ressources. Il est donc nécessaire
de
sensibiliser et de convaincre le management de l’entreprise du bien fondé
de
la mise en place d’une gestion des correctifs

Une partie des opérations doit être automatisée de façon à assurer la
faisabilité de ce processus, à réduire les coûts et diminuer la fenêtre d’
exposition aux vulnérabilités. L’utilisation d’un outil de gestion des
correctifs doit respecter un certain nombre de conditions, et s’inscrire
dans le processus. Pour ce faire, il est nécessaire d’étudier les points
suivants :

- Qui intervient ? Il conviendra de bien définir les rôles de chacun dans le
processus (administrateurs, développeurs, équipe sécurité etc). Seuls les
administrateurs doivent avoir l’autorisation d’installer des patches sur
une
machine. Les utilisateurs ne doivent pas effectuer eux-mêmes ce type d’
opération, notamment sur leurs postes de travail.

- Quels correctifs choisir ? Une pré-sélection automatique des correctifs
peut être faite, en fonction de la sévérité des vulnérabilités ou des
systèmes concernés par exemple. L’emploi d’un scanner de vulnérabilité
peut
aussi optimiser le choix en guidant une analyse de risque. Les
administrateurs doivent ensuite tester et approuver les correctifs choisis
avant leur diffusion.

- Quand diffuser les correctifs ? Il importe de définir une fenêtre de
diffusion en fonction de la sévérité des failles. Par exemple, Microsoft
recommande d’appliquer les patches critiques sous 24 heures, ceux classés
« importants » sous un mois, ceux concernant une faille d’importance « 
modérée » sous 4 mois et les autres (faible importance) sous un an.

- Quels périmètres sont concernés ? L’ensemble du parc doit faire l’objet d’
une étude de priorité, y compris les postes nomades. C’est la raison pour
laquelle il est impératif qu’ils se reconnectent régulièrement au réseau
de
l’entreprise ou qu’il existe une possibilité pour les toucher via
internet.

- D’où les correctifs doivent-ils être téléchargés ? Il est important de
définir les serveurs qui téléchargeront les correctifs sur les sites des
éditeurs, ainsi que l’infrastructure qui optimisera les déploiements sur
les
postes (typiquement en utilisant des relais de communication sur les sites
distants).

- Comment les correctifs seront-ils appliqués ? Les patches sont appliqués
automatiquement, en tâche de fond, de façon à ce que l’opération soit
transparente pour l’utilisateur. Seul le redémarrage du système, si
nécessaire, devra être contrôlé ou planifié par l’utilisateur. Des
informations pertinentes doivent être enregistrées dans des logs pendant
et
après l’opération.

Combinant données organisationnelles et techniques, la gestion des
correctifs se positionne donc comme un maillon clé de la sécurité du
système
d’information, toujours plus menacé par la fréquence de nouvelles
attaques.
Pour garantir une mise en conformité optimum du SI, l’automatisation
semble
donc de mise et permet de pallier aux difficultés d’une gestion manuelle,
synonyme de veille constante et de dangerosité pour le SI. Reste néanmoins
à
aborder le processus dans son ensemble et à placer l’automatisation dans
un
contexte organisationnel précis afin qu’elle soit couronnée de succès.


* La gestion des correctifs de sécurité (« patch management ») fait partie
intégrante des politiques de Sécurité des Systèmes d’Information.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants