Correctifs mensuels : comment éviter ces deux problèmes courants
On y est... C'est le moment de patcher vos postes client. Peut-être que vous aimez ça, mais je doute que ce soit le cas. L'application des correctifs peut être une tâche ardue et, comme de nombreuses entreprises la réalisent toujours manuellement, elles y consacrent davantage de temps et de ressources que ce que l'on veut bien croire.
Pourtant, compte tenu du temps et des ressources nécessaires, vous voulez être sûr que tout se passera bien. Personne ne souhaite se retrouver en échec ou en difficulté après avoir consacré une telle énergie à la gestion des correctifs.
Alors, vérifiez que vous n’êtes pas concerné par ces deux problèmes fréquents :
- Vos correctifs fonctionnent-ils ?
- Avez-vous testé les correctifs dans votre environnement ?
Problème n°1 : vos correctifs fonctionnent-ils ?
Il n'est pas rare que les correctifs et mises à jour de sécurité échouent tout simplement. Parfois, c'est dû à un problème d'environnement particulier. D'autres fois, le correctif proprement dit est incorrect.
C'est une chance que vous ayez décidé de vérifier ce correctif avant de le déployer aveuglément, n'est-ce pas ? Mais maintenant qu'il échoue, que faire ? En fait, ça dépend.
Solution 1 : contacter votre entreprise tierce de gestion des correctifs
Si vous faites appel à une entreprise tierce pour gérer vos mises à jour de correctifs, c'est à elle qu'il faut vous adresser en premier.
Même si les entreprises qui gèrent des correctifs tiers testent soigneusement le contenu envoyé à leurs clients, elles ne peuvent pas tester tous les scénarios de cas d'usage. Votre configuration constitue peut-être un cas de périphérie. Ou votre poste client ne gère pas le correctif comme prévu.
Quelle que soit la raison, votre fournisseur doit toujours être votre premier recours. Non seulement c'est important de signaler l'échec pour qu'il soit corrigé, mais c'est aussi une aide pour l'entreprise tierce concernée.
Vous avez peut-être trouvé un problème systémique. Vous êtes maintenant le héros qui a prévenu l'entreprise d'un problème plus grave, qu'elle peut traiter et corriger rapidement !
Même s'il ne s'agit pas d'un problème systémique, c'est peut-être un problème courant, et vous avez maintenant aidé votre fournisseur à mieux se préparer aux futurs appels de leurs clients. Sans parler du fait que vous lui avez fourni un nouveau cas d'usage potentiel dont le scénario peut être ajouté à ses protocoles de test par défaut !
Solution 2 : consultez votre communauté en ligne au sens large pour parler de vos problèmes
Que faire si vous ne passez pas par une entreprise de correctifs tierce ? Supposons que votre entreprise examine manuellement ces correctifs.
Il existe des ressources en ligne très intéressantes qui vous permettront de savoir si d'autres entreprises connaissent les mêmes problèmes, notamment :
- PatchManagement.org, « la première liste de diffusion du secteur dédiée aux conversations sur la gestion des correctifs ».
- Diverses communautés Reddit et Mastodon, comme r/sysadmin, infosec.exchange ou toute autre.
- Ressources Patch Tuesday d'Ivanti, conçues pour discuter des correctifs qui sont publiés et des résultats obtenus.
Quelle que soit votre décision, vous disposez d'un grand nombre d'options pour identifier ce qui s'est mal passé avec le correctif en échec.
Problème n°2 : avez-vous testé les correctifs dans votre environnement ?
D'accord, vous avez décidé de tester tous les correctifs qui vous parviennent... excellent ! Vous êtes sorti d'affaire, exact ?
Eh bien non !
Il ne faut pas oublier de tester également les correctifs que vous allez distribuer sur des périphériques pilotes partout dans votre entreprise.
Pourquoi, demandez-vous ? C'est une simple mise à jour Chrome, après tout. Mais en êtes-vous sûr ?
Lorsque vous introduisez un nouveau correctif dans vos systèmes, c’est comme si vous introduisiez un nouvel animal de compagnie chez vous. Même si vous avez déjà eu un animal et que vous êtes certain de savoir comment vous en occuper, chacun a ses propres réactions dans ce nouvel environnement et face aux différentes personnes rencontrées, des réactions que votre ancien animal n'avait pas.
De même, chaque correctif porte ses propres variantes de changements et de mises à jour. Souvent, elles vont à l’encontre de vos systèmes ou programmes qui n’ont pas été conçus pour pouvoir les exécuter, et elles nuisent à l'efficacité de l'environnement ou du correctif, même s'il a précédemment réussi vos tests.
Après tout, les éditeurs de logiciels ne créent pas les correctifs de produit spécialement pour vos systèmes. Ils se concentrent sur la mise à jour et l'application de correctifs pour leurs propres applications, et ils ne peuvent pas traiter tous les cas d'usage.
Résoudre l'effet domino des problèmes de correctif
En mettant en place un groupe pilote dédié de postes client sur lesquels ces mises à jour seront testées, vous vous assurez qu'elles n'endommagent aucun système, programme ni même processus dont dépend votre entreprise. L'effet domino d'une seule petite mise à jour de correctif peut affecter les opérations d'une entreprise.
Par exemple, début avril, Chrome a déployé un correctif
pour traiter certains bugs. Mais il a aussi introduit de nouveaux bugs, dont un qui affectait les capacités d'impression depuis Chrome.
Imaginez les conséquences pour les entreprises évoluant dans un environnement où l'on imprime beaucoup, et pour lesquelles l'impression depuis Chrome est indispensable à leur activité ?
Ainsi, tester tous les correctifs (même les plus petits et les plus insignifiants) permet d’éviter des catastrophes.
Souvenez-vous, quand un problème survient, les erreurs se répandent via le département ou l'utilisateur initialement impacté. La plupart des utilisateurs et des entreprises n'ont pas conscience de l'impact en aval qu'un petit correctif peut avoir s'il n'a pas été entièrement testé. Après tout, c'est souvent le département IT qui « répare » les effets d'un échec ou d'une interruption de service.
C'est pourquoi, au moment de patcher vos systèmes, vous devez être paré pour le succès. Pour ce faire, il faut trouver une variété suffisante de postes client sur lesquels vous testerez vos correctifs (vous éliminez ainsi tout risque). Nous nous préparons aussi à faire appel aux ressources de notre communauté en cas d’échec de vos correctifs.
Vous pouvez aussi consulter :
- Le rapport « Le guide ultime pour la gestion des correctifs basée sur les risques » : il aborde des sujets tels que la création d’un groupe pilote, la priorisation de la gestion des correctifs, et d'autres notions générales sur correctifs.
- Le podcast « Security Insights » : vous apprendrez pourquoi il est essentiel d’avoir de la visibilité sur les actifs avant de déployer un nouveau correctif.
- La série de webinars « Patch Tuesday » : cette série regroupe nos recommandations et mises en garde pour l’application des correctifs. Ne manquez pas notre prochain webinar (Nos webinars sont organisés le jeudi qui suit immédiatement le Patch Tuesday, chaque mois !)
En matière de gestion des correctifs, la meilleure stratégie consiste souvent à bien se préparer. Bonne chance !