Patch management for Dummies!

Considérant la croissance des risques sécuritaires pesant sur les infrastructures IT, de nombreux responsables informatiques investissent massivement dans des technologies censées les protéger. La potentialité ou le niveau de risque induits par ces menaces étant difficilement mesurables, il convient d’adopter une démarche structurée afin de faire progressivement évoluer son système d’information vers d’avantage de maturité.
Un bon exemple de cette multiplicité des approches concerne la gestion des vulnérabilités et des contre-mesures associées. A titre de définition, une vulnérabilité est la conséquence de faiblesses dans la conception, la mise en œuvre ou l'utilisation d'un composant matériel ou logiciel d’un système informatique.
Les contre-mesures  associées à ces failles de sécurité peuvent être des correctifs ou “patchs” fournis par les fabricants, de simples modifications de configuration ou d’autres mesures de protection enforcées à choix au niveau du réseau (segmentation, prévention d’intrusions, firewalling, etc.) ou directement sur les systèmes cibles (antivirus, HIPS, etc.).

La fin du paradigme sécuritaire

• Une gestion systémique de la sécurité implique généralement de s’attaquer à plusieurs chantiers en parallèle, soit dans l’ordre:
• Appliquer un contrôle proactif des failles de sécurité et en assurer une classification dépendante de leur impact potentiel ou de leur probabilité d’exploitation dans l’environnement concerné.
• Mettre en place une catégorisation des machines ou des applications suivant leur rôle dans l’organisation (évaluation des impacts business, identification des asset owners, etc.).
• Analyser les contraintes organisationnelles liées à des processus connexes (asset management, change management, etc.).
• Industrialiser le déploiement des contre-mesures tenant compte de la couverture souhaitée (systèmes d’exploitation, éditeurs des applications, etc.) et des contrôles supplémentaires à appliquer (workflows d’approbation, tests automatisables sur un environnement pilote, procédures de rollback, etc.)

Ces mesures effraient logiquement de nombreux responsables IT, ce qui a pour conséquence que certains systèmes ne sont jamais patchés, qu’il s’agisse d’environnements clients ou serveurs. Dans un tel contexte, des technologies dites «réactives», comme les antivirus, parviennent difficilement à éradiquer certaines souches de virus (p. ex. : FakeAV, Confliker, etc.) en cas d’infection généralisée.
Or, le paradigme sécuritaire qui consiste à opposer la sécurisation à la disponibilité desdits systèmes tend à disparaître.
Avec un peu d’accompagnement, des outils appropriés et une approche pragmatique, de nombreux clients se rendent compte que le rattrapage d’un historique important en matière de patch management (ce que nous appelons aussi la phase de big bang patch) génère relativement peu d’effets de bord.

Pragmatisme

L’une des tendances actuelles du marché consiste, pour ceux qui souhaitent se décharger de ces tâches récurrentes sans réelle valeur ajoutée, à déléguer tout ou partie de cette activité en outtasking à des sociétés de service présentes localement.
Dans certains contextes très spécifiques, il est tout simplement impensable de déployer des correctifs de sécurité de manière régulière (systèmes non maîtrisés ou plus supportés par les fabricants, impossibilité d’un arrêt de production des systèmes dans des environnements fonctionnant en follow the sun). D’autres types de contre-mesures comme par exemple certaines technologies d’IPS réseau prennent le relais et se chargent d’émuler les correctifs (virtual patching).
Cette approche, radicalement opposée à celle décrite précédemment, permet au sein des environnements les plus exigeants de limiter, par exemple, les fenêtres de maintenance dédiées au patch management à une ou deux séances annuelles. Mais la protection d’un datacenter et les débits réseau associés ont généralement un impact non négligeable sur le sizing et donc le coût de telles plateformes.
En résumé, aucune approche sécurité n’est applicable pour tous les contextes. Suivant leur taille, leur domaine d’activité ou leur niveau d’exposition publique, ces organisations vont potentiellement adopter des mesures techniques ou organisationnelles différentes.