Blog

Les enjeux du Patch Management

Patch Management
Cyber Sécurité

Les enjeux du Patch Management

Petit rappel avant de commencer : dans un précédent article nous parlions de vulnérabilités ou failles de sécurités (blog CVE) Pour éviter qu’une faille ne reste assez longtemps sur une infrastructure et soit exploitée par un utilisateur malveillant, on met en place une politique de gestion des correctifs : le Patch Management.

Le Patch Management est à la sécurité informatique, ce que le contrôle de votre voiture est à la sécurité automobile. Il doit être récurrent et régulier, c’est pour cela qu’on parle du « processus » de patch management. Le patch management doit faire partie d’un plan d’action sécurité global et récurrent pour qu’il remplisse son office : garantir un niveau de sécurité optimal.

Ce processus se divise en plusieurs étapes, il y a plusieurs écoles, nous choisirons aujourd’hui de le découper en 4 étapes pour être au plus proche des enjeux d’une PME.

ÉTAPE 1 : L’ÉTAT DES LIEUX

À l’image d’une location d’appartement, quand on veut mettre en place une gestion des correctifs, il faut faire un état des lieux initial ! Non pas de l’immobilier, mais bien sûr du Système d’Information de l’entreprise. 

Cette étape est assez et longue et fastidieuse, bien que largement dépendante de la taille de votre entreprise. On va y faire l’inventaire complet des équipements et outils portant le SI :

  • Serveurs physiques ;
  • Équipements réseaux : routeurs, switchs…
  • « Endpoints » : équipements finaux type ordinateur fixe/portable, téléphone…
  • Machines virtuelles (VMs, hyperviseurs) ;
  • Mesures de sécurité : firewall (physique/applicatif), sonde de détection, antivirus, et toutes leurs règles associées ;
  • Applications métiers ;
  • Adressage IP;

En bref, on veut répertorier tout ce que l’entreprise utilise, autant sur le plan physique (serveurs, routeurs…) que sur le plan logique (VMs, applications…).

Bien sûr on ne va pas s’arrêter à relever qu’au listing de 5 serveurs physiques, chaque équipement sera présent unitairement dans l’inventaire, avec un maximum d’informations le concernant, la marque, le modèle, son numéro de série, son OS, son lieu de stockage, sa fonction…

Conseil : Ouvrons une petite parenthèse ici et éloignons-nous quelques instants du patch management pour nous intéresser à la mise à jour des composants du SI, afin de simplifier la future gestion des correctifs.   

Il est important de bien comprendre la différence entre les deux, le premier va s’occuper de la gestion des versions (Windows 8/10, Windows Serveur 2008/2012/2016, Linux Debian/Ubuntu…) tandis que le Patch Management va s’occuper de gérer les patchs correctifs à « l’intérieur » de ces versions.  Pour faire simple, le premier s’occupe de mise à jour majeure alors que le second prend en charge les mises à jour correctives.

Alors pourquoi évoquer le sujet ? L’un va rarement sans l’autre. L’harmonisation du SI permet une simplification du travail à effectuer lors du patch management. Pour faire simple : dans le SI d’une entreprise on peut voir une quantité conséquente de composants, nul besoin de se compliquer la tâche en ayant par exemple des VMs avec différentes versions de Windows, quand toutes pourraient être sous la même.  Au lieu d’effectuer une mise à jour pour chaque version on pourra en déployer une seule, qui s’effectuera sur toutes nos machines : on gagne ainsi du temps et de l’argent. 

Bon maintenant que nous avons notre inventaire matériel et logiciel, il nous manque encore un élément crucial : la sécurité.

ÉTAPE 2 : GESTION DE LA SÉCURITÉ

Avant d’effectuer une mise à jour pour corriger une faille, il va bien falloir que vous ayez identifié cette faille, pas vrai ? Il va donc être nécessaire de choisir un système de gestion des alertes. Quand une faille est découverte, il faut qu’elle vous soit remontée le plus vite possible afin d’y remédier et ainsi de vous protéger en effectuant les actions nécessaires : mise à jour, cloisonnement voire mise hors du réseau de l’entreprise.  

Il existe deux catégories d’outils pour la gestion de ces alertes : intrusifs et non intrusifs

Parlons un peu des outils intrusifs : leur fonctionnement est complexe. Il nécessite un serveur principal ou sera installé l’outil, puis il faudra déployer sur l’ensemble de vos équipements des sondes (logicielles) qui remonteront en temps réels les versions de vos composants. Le serveur central se chargera de vérifier s’il existe des failles sur ses versions et s’il est nécessaire d’effectuer une mise à jour. L’avantage de ces solutions est qu’elles vont en profondeur et qu’elles permettent de gérer l’ensemble des équipements du SI.

Les inconvénients sont multiples, pour la version intrusive, comme je viens de l’expliquer il faudra installer des sondes sur absolument tous vos composants afin que votre SI soit protégé. Ensuite il y a les ressources : ces solutions sont coûteuses, en temps et en argent, et nécessitent des compétences afin de pouvoir les mettre en œuvre.

La deuxième catégorie d’outil de gestion des alertes de vulnérabilité est non intrusive. Nul besoin de serveur principal, nul besoin d’installation de sonde, de compétences particulières ou bien encore de coûts faramineux. L’outil est en fait à l’extérieur du réseau et ne nécessite aucune installation, il vous faudra simplement lancer un scan de votre site web, par exemple, on parle ici de test d’intrusion. Je viens de vous dire que cette technique était moins intrusive et nous parlons maintenant de test d’intrusion, contradictoire ? En fait non, on va réaliser un test d’intrusion en mode « Black-Box » : lors du scan, nous n’avons aucune information sur la cible et nous nous trouvons hors du réseau de l’entreprise, nous allons donc simplement analyser ce qui est accessible depuis l’extérieur, à aucun moment nous intervenons sur des infrastructures ou données internes. Il n’y a donc pas d’impact direct sur votre réseau.

Revenons à notre exemple : l’outil non intrusif va analyser « l’empreinte » de votre serveur (toutes les informations accessibles depuis l’extérieur) et déterminer les composants présents sur ce dernier, ainsi que leurs versions. Il va ensuite aller chercher dans une (ou des) base(s) de donnée(s) si les versions de vos composants présentent des failles, et s’il est nécessaire d’effectuer une mise à jour.

ÉTAPE 3 : GESTION DU RISQUE

Maintenant que nous avons toutes les informations nécessaires, il va falloir les traiter. On va alors gérer les risques. Il faudra définir comment traiter les alertes de sécurité et prioriser leur traitement.

Pour faire cela, nous allons analyser le risque en déterminant son impact et sa probabilité d’occurrence sur le SI de l’entreprise. Puis on planifie l’action corrective et comment nous allons la mettre en œuvre (gestion interne ou par un prestataire, par exemple).

Une fois le risque identifié, évalué et l’action corrective planifiée, on effectue la mise en conformité des composants : on applique les mises à jour nécessaires. On vient ainsi d’effectuer la remédiation d’un risque.

ÉTAPE 4 : ON RECOMMENCE

Ce n’est en fait pas une étape, comme je l’ai dit au début le patch management est affaire de processus, c’est donc une tâche à exécuter de manière récurrente afin de garder votre Système d’Information le plus sûr possible. Nous sommes là dans un plan d’amélioration continue, devons assurer la continuité des services et leur sécurité.

LE PATCH MANAGEMENT, EN RÉSUMÉ

Le patch management s’inscrit dans une politique de gestion d’un SI et de sa gouvernance, il découle d’une volonté de l’entreprise de sécuriser son environnement pour garantir une protection des données à ses clients et salariés. Afin de le mettre en œuvre correctement, il est conseillé de l’associer à une politique d’amélioration continue telle que le PDCA (Plan Do Check Act) et l’intégrer au Plan d’Action Sécurité, qui vous permettra de montrer à vos clients que vous êtes conscient des enjeux de la cyber sécurité en 2020 tel que le préconise le RGPD et l’ISO 27001.

Le patch management, justement, permet de répondre à ces enjeux puisqu’il est question de protection des données dans ces réglementations et que nous les protégeons en les hébergeant dans des environnements à jour, avec le moins de vulnérabilités possible.

CONCLUSION : 

Comme on a pu le voir au cours de cet article, le Patch Management est un élément stratégique de votre politique de gestion de la sécurité. Néanmoins, cela nécessite des ressources afin d’être mis en œuvre correctement. Compétences, temps et argent sont les maitres mots de cette dernière. Il vous faudra des techniciens et ingénieurs avec de solides expériences, qui prendront du temps afin de recueillir toutes les informations nécessaires à la mise en place d’un Patch Management efficace. Afin qu’il soit réellement pertinent, il devra aussi être récurrent et demandera ainsi une réelle organisation à déterminer en fonction de vos besoins et enjeux.

 Enfin, vous avez peut-être tiqué sur certains mots ou expression employés pour parler des risques « risque identifié et évalué » « remédiation d’un risque », si vous vous demandez ce que cela peut bien vouloir dire ne vous inquiétez pas, la gestion des risques est le sujet de notre prochain article.

Pour en savoir plus, consulter notre page décrivant les moyens de mettre en place un plan de remédiation efficace et les enjeux de la gestion du patch management.

Écrit par Sylvain Moretti, Chef de projet  – 12/03/2020  

Leave your thought here

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *