La gestion des correctifs : un processus à ne pas négliger!

La gestion des correctifs joue un rôle essentiel dans la sécurité des systèmes informatiques. Généralement publiés par les éditeurs de logiciels pour corriger des vulnérabilités ou des failles de sécurité dans les systèmes d’exploitation, les correctifs font partie de leurs efforts internes pour résoudre les problèmes avec différentes versions de leurs logiciels. S’ils ne sont pas appliqués en temps opportun, les réseaux informatiques se mettent à risque et peuvent devenir gravement compromis.

Le processus de gestion des correctifs permet de les acquérir, tester et installer sur les applications existantes, afin que les systèmes restent à jour en matière de fonctionnalités ou de correction de failles liées à la sécurité. Un logiciel non corrigé peut faire d’un équipement réseau une cible vulnérable aux attaques informatiques ou aux virus logiciels.

%
des brèches de sécurité sont attribuables aux mises à jour manquantes selon le Ponemon Institute
Pourquoi est-ce important?

 

La gestion des correctifs est un processus nécessaire afin :

  • D’augmenter la sécurité de l’ensemble des équipements informatiques et de prévenir les brèches de sécurité.
  • Réduire les pannes et les bris logiciels.
  • Garder les systèmes à jour afin d’en assurer le bon fonctionnement.
  • Autoriser les appareils mobiles sur le réseau d’entreprise en ayant confiance qu’ils ne sont pas porteurs de logiciel malveillant.
  • Maintenir un état de conformité en tout temps des équipements et systèmes.
  • Avoir une visibilité et une perspective des forces et faiblesses du parc informatique.

Le problème le plus courant associé au processus de gestion des correctifs est l’introduction d’une défaillance qui n’était pas présente à l’origine. Ce problème peut apparaître immédiatement après la mise à jour ou parfois plus tard dans une application logicielle ayant une interdépendance avec un logiciel récemment corrigé. Étant donné que les correctifs peuvent parfois introduire des problèmes dans un système qui fonctionnait auparavant correctement, il est important que les administrateurs testent les correctifs avant de les déployer à l’échelle de l’organisation.

L’autre problème courant associé à la gestion des correctifs est que les systèmes déconnectés peuvent ne pas recevoir de correctifs rapidement. Si un utilisateur mobile ne se connecte que rarement au réseau de l’entreprise, alors l’appareil de cet utilisateur peut fonctionner pendant de longues périodes sans être mis à jour. Dans de tels cas, il peut être préférable de configurer l’appareil pour une gestion autonome des correctifs plutôt que de procéder par une gestion centralisée.

La gestion des correctifs est un des 10 principaux problèmes de sécurité à résoudre. Téléchargez notre livre électronique pour en savoir plus! 
Comment s’y prendre?

 

Mettre en œuvre une gestion des correctifs demande de respecter certaines étapes :

  • Documenter la politique de gestion des correctifs.
  • Obtenir une vision claire de l’état de la situation actuelle en effectuant une découverte des systèmes.
  • Catégoriser les systèmes en fonction de leurs niveaux de risque.
  • Confirmer les systèmes ayant besoin de mises à jour en standardisant et regroupant ceux-ci sous un même thème.
  • Déterminer les outils, pratiques et méthodes de mise à jour des systèmes : tests, configurations, déploiement, rapports d’état
  • Effectuer une surveillance des mises à jour manquantes ou de vulnérabilités sur le réseau.
  • Apprendre des expériences et modifier les politiques, procédures ou directives suite au premier bilan.

La gestion des correctifs logiciels est un processus répétitif qui peut s’avérer fastidieux, mais qui s’avère un outil de plus pour préserver la sécurité de vos actifs.

En l’absence de ressources internes disponibles pour prendre en charge cette gestion, faites appel à un partenaire de confiance, vous en tirerez de nombreux avantages et prolongerez la durée de vie de vos équipements!

 

Patrick Boucher
CISSP, CEH, CGEIT, CISA
Chef de la sécurité de l’information
ESI Technologies

0

Qu’en pensez-vous?