Qu’est-ce que la gestion des correctifs ?

En pratique, la gestion des correctifs consiste à trouver l’équilibre entre la cybersécurité et les besoins opérationnels de l’entreprise. Les pirates informatiques peuvent exploiter les vulnérabilités de l’environnement informatique d’une entreprise pour lancer des cyberattaques et diffuser des logiciels malveillants. Les fournisseurs publient des mises à jour, appelées « correctifs », pour corriger ces vulnérabilités. Il faut noter que le processus d’application des correctifs peut interrompre les workflows et créer des temps d’arrêt dans l’entreprise. La gestion des correctifs vise à minimiser ce temps d’arrêt en rationalisant le déploiement des correctifs.

La gestion des correctifs crée un processus centralisé pour appliquer de nouveaux correctifs aux actifs informatiques. Ces correctifs peuvent améliorer la sécurité, les performances et augmenter la productivité.

Les correctifs de sécurité ont pour objet des risques de sécurité spécifiques et corrigent souvent une vulnérabilité particulière.

Les pirates informatiques ciblent souvent des actifs auxquels des correctifs n’ont pas encore été appliqués, de sorte que la non-application des mises à jour de sécurité peut exposer une entreprise à des violations de sécurité. Par exemple, le ransomware WannaCry 2017 s’est propagé via une vulnérabilité de Microsoft Windows pour laquelle un correctif avait été publié. Les cybercriminels ont attaqué des réseaux dont les administrateurs avaient négligé d’appliquer le correctif et ont infecté ainsi plus de 200 000 ordinateurs dans 150 pays.

Certains correctifs apportent de nouvelles fonctionnalités aux applications et aux appareils. Ces mises à jour peuvent améliorer les performances des actifs et la productivité des utilisateurs.

Les corrections de bugs ont pour objet des problèmes mineurs liés au matériel ou aux logiciels. En règle générale, ces problèmes ne créent pas de risques de sécurité, mais affectent les performances des actifs.

Pour la plupart des entreprises, il est peu commode de télécharger et d’appliquer chaque correctif à chaque actif dès qu’il est disponible. Pourquoi ? Tout simplement parce que l’application de correctifs nécessite un temps d’arrêt. Les utilisateurs doivent interrompre leur travail, se déconnecter et redémarrer les systèmes essentiels pour appliquer les correctifs.

Un processus formalisé de gestion des correctifs permet aux organisations de donner la priorité aux mises à jour critiques. L’entreprise peut ainsi bénéficier des avantages de ces correctifs en perturbant le moins possible les workflows des employés.

En vertu de réglementations telles que le Règlement général sur la protection des données (RGPD), la loi Health Insurance Portability and Accountability Act (HIPAA) et la Norme de sécurité des données du secteur des cartes de paiement (PCI-DSS), les entreprises doivent suivre certaines pratiques de cybersécurité. La gestion des correctifs peut aider les entreprises à maintenir les systèmes critiques en conformité avec ces mandats.

La plupart des entreprises considèrent la gestion des correctifs comme un cycle de vie continu. En effet, les fournisseurs publient régulièrement de nouveaux correctifs. En outre, les besoins d’une entreprise en matière de correctifs peuvent changer en fonction de l’évolution de son environnement informatique.

Pour définir les bonnes pratiques de gestion des correctifs que les administrateurs et les utilisateurs finaux doivent suivre tout au long du cycle de vie, les entreprises élaborent des politiques formalisées de gestion des correctifs.

Les étapes du cycle de vie de la gestion des correctifs sont les suivantes :

Pour garder un œil sur les ressources informatiques, les équipes informatiques et de sécurité créent des stocks des actifs réseau tels que les applications tierces, les systèmes d’exploitation, les appareils mobiles et les points de terminaison distants et sur site.

Les équipes informatiques peuvent également spécifier les versions matérielles et logicielles que les employés peuvent utiliser. Cette normalisation des actifs peut contribuer à simplifier le processus d’application de correctifs, car elle réduit les types d’actifs présents sur le réseau. La standardisation peut également empêcher les employés d’utiliser des applications et des appareils dangereux, obsolètes ou incompatibles.

Une fois que les équipes informatiques et de sécurité disposent d’un stock complet des actifs, elles peuvent surveiller les correctifs disponibles, suivre l’état des correctifs installés et identifier les actifs auxquels il manque un correctif.

Certains correctifs sont plus importants que d’autres, surtout lorsqu’il s’agit de correctifs de sécurité. Selon Gartner, 19 093 nouvelles vulnérabilités ont été signalées en 2021, mais les cybercriminels n’en ont exploité que 1 554.

Les équipes informatiques et de sécurité utilisent des ressources telles que les flux de renseignements sur les menaces pour identifier les vulnérabilités les plus critiques de leurs systèmes. Les correctifs pour ces vulnérabilités ont la priorité sur les mises à jour moins essentielles.

La priorisation est l’un des principaux moyens par lesquels les politiques de gestion des correctifs visent à réduire les temps d’arrêt. En commençant par déployer les correctifs critiques, les équipes informatiques et de sécurité peuvent protéger le réseau tout en réduisant le temps que les ressources passent hors ligne pour l’application des correctifs.

Les nouveaux correctifs peuvent occasionnellement causer des problèmes, interrompre les intégrations ou ne pas corriger les vulnérabilités visées. Dans certains cas, les pirates parviennent même à détourner des correctifs. En 2021, des cybercriminels ont profité d’une faille dans la plateforme VSA de Kaseya pour diffuser un ransomware à des clients sous couvert d’une mise à jour logicielle légitime.

En testant les correctifs avant de les installer, les équipes informatiques et de sécurité s’efforcent de détecter et de résoudre ces problèmes avant qu’ils n’affectent l’ensemble du réseau.

Le terme « déploiement des correctifs » fait référence à la fois au moment où les correctifs sont déployés et à la manière dont cela est fait.

Les fenêtres temporelles d’application de correctifs sont généralement fixées en dehors des heures de travail des employés. Les moments de publication des correctifs par les fournisseurs peuvent également influencer les calendriers d’application des correctifs. Par exemple, Microsoft publie généralement des correctifs le mardi, une journée connue sous le nom de « Patch Tuesday » par certains professionnels de l’informatique.

Les équipes informatiques et de sécurité peuvent appliquer des correctifs à des groupes d’actifs plutôt que de les déployer sur l’ensemble du réseau en une seule fois. Ainsi, certains employés peuvent continuer à travailler pendant que d’autres se déconnectent pour l’application des correctifs. L’application de correctifs par groupes offre également une occasion supplémentaire de détecter les problèmes avant qu’ils n’atteignent l’ensemble du réseau.

Le déploiement de correctifs peut également inclure des plans visant à surveiller les actifs après la mise à jour des correctifs et à annuler toute modification entraînant des problèmes imprévus.

Pour garantir la conformité des correctifs, les équipes informatiques et de sécurité enregistrent les données d’application des correctifs, notamment les résultats des tests, les résultats du déploiement et tous les actifs qui doivent encore être corrigés. Cette documentation tient à jour le stock des actifs et peut servir à prouver la conformité aux réglementations en matière de cybersécurité en cas d’audit.

La gestion des correctifs étant un cycle de vie complexe, les entreprises cherchent souvent des moyens de rationaliser l’application des correctifs. Certaines entreprises sous-traitent entièrement le processus à des fournisseurs de services gérés (MSP). Les entreprises qui gèrent les correctifs en interne utilisent un logiciel de gestion des correctifs pour automatiser une grande partie du processus.

La plupart des logiciels de gestion des correctifs s’intègrent aux systèmes d’exploitation courants, comme Windows, Mac et Linux. Le logiciel surveille les actifs pour détecter les correctifs manquants et disponibles. Si des correctifs sont disponibles, les solutions de gestion des correctifs peuvent les appliquer automatiquement en temps réel ou selon un calendrier défini. Pour éviter toute utilisation excessive de la bande passante, de nombreuses solutions téléchargent les correctifs vers un serveur central et les distribuent aux actifs du réseau à partir de là. Certains logiciels de gestion des correctifs peuvent également automatiser les tests, l’enregistrement des données d’application et la restauration du système en cas de dysfonctionnement d’un correctif.

Les outils de gestion des correctifs peuvent être des logiciels autonomes, mais ils sont souvent fournis dans le cadre d’une solution de cybersécurité plus complète. De nombreuses solutions de gestion des vulnérabilités et de gestion des surfaces d’attaque offrent des fonctionnalités de gestion des correctifs, comme le stock des actifs et le déploiement automatisé des correctifs. De nombreuses solutions de détection et réponse des terminaux (EDR) peuvent également installer automatiquement les correctifs. Certaines entreprises utilisent des plateformes de gestion unifiée des terminaux (UEM) pour appliquer des correctifs aux appareils sur site et à distance.

Grâce à la gestion automatisée des correctifs, les entreprises n’ont plus besoin de surveiller, d’approuver et d’appliquer manuellement chaque correctif. Ceci a la capacité de réduire le nombre de correctifs critiques qui ne sont pas appliqués parce que les utilisateurs ne parviennent pas à trouver le moment opportun pour les installer.