La mise à jour des logiciels et systèmes vulnérables est plus importante – et plus difficile à suivre – que jamais. Voici comment les MSP peuvent rendre leur processus de gestion des correctifs plus efficace, éliminer les perturbations et assurer la sécurité de leurs clients.
Ce que ce post va couvrir :
- Pourquoi la gestion efficace des correctifs est de plus en plus critique
- Ce à quoi ressemble un processus de gestion des correctifs efficace. ressemble
- 3 meilleures pratiques et directives clés en matière de gestion des correctifs pour les MSP à l’horizon 2021
Pourquoi la gestion des correctifs est-elle importante ?
L’application de correctifs ne permet pas seulement d’assurer le bon fonctionnement des systèmes et des applications, c’est aussi l’une des activités essentielles pour assurer la sécurité des organisations d’aujourd’hui. Laisser des machines non patchées les rend vulnérables aux cyberattaques, et le risque est tout sauf théorique. En fait, selon l’institut Ponemon, la majorité des violations de données (57%) peuvent être directement attribuées à des attaquants exploitant une vulnérabilité connue qui n’avait pas été patchée.
57% des violations de données sont attribuées à une mauvaise gestion des correctifs.
Source : Ponemon
Un rapide survol des gros titres liés à la sécurité offre de nombreux exemples, d’Equifax (coupable : une vulnérabilité Apache Struts non corrigée datant de deux mois) à SingHealth (les données de 1,5 million de patients exposées grâce à une version obsolète d’Outlook).
Tous ont donné lieu à des incidents de sécurité et des violations de données très médiatisés qui auraient pu être évités avec une gestion plus rigoureuse et efficace des correctifs.
La ruée soudaine pour que les employés travaillent à distance pendant la crise du COVID a aggravé le problème, les attaquants cherchant régulièrement à exploiter les vulnérabilités des solutions populaires de réseau privé virtuel (VPN), notamment :
- Citrix (CVE-2019-19781)
- Palo Alto (CVE-2020-2021)
- Pulse Secure (CVE-2019-11510)
- SonicWall (CVE-2020-5135).
Le défi pour les petites et moyennes entreprises
Si certaines des organisations les plus grandes et les mieux financées au monde ont des difficultés avec la gestion des correctifs, quelles sont les chances des petites et moyennes entreprises disposant d’un support informatique limité ?
Plus de 12 000 CVE ont été publiés en 2019.
Source : CVE details
Certaines des plus grandes difficultés liées aux correctifs sont centrées sur le fait que le processus peut prendre du temps, être compliqué et perturber les utilisateurs finaux. Par conséquent, il est facile de remettre à plus tard l’application des correctifs ou simplement de voir des mises à jour importantes se perdre dans la mêlée. Et avec plus de 12 000 CVE publiés en 2019, il n’est pas surprenant que de nombreuses organisations aient du mal à suivre le rythme.
Le délai moyen de correction est de 102 jours.
Source : Ponemon
Malheureusement, le risque que représentent les systèmes non patchés augmente. Une fois qu’une vulnérabilité a été divulguée et qu’un correctif a été publié, c’est la course pour les organisations pour appliquer le correctif avant que les attaquants ne commencent à l’exploiter activement. Cette fenêtre de temps se réduit considérablement, avec de nombreux exemples en 2018 où les attaquants ont pu lancer des attaques abusant de nouvelles vulnérabilités quelques jours seulement après leur divulgation.
Une fois que des exploits fonctionnels ont été développés, ils gagnent rapidement une large adoption. Les outils d’analyse tels que Shodan, nmap et masscan rendent alors triviale la tâche des attaquants pour identifier les systèmes vulnérables et lancer des campagnes ciblées.
Pour de nombreuses petites entreprises, la solution pour rester au top des cycles de correctifs est d’externaliser cette charge à des MSP. Mais comment les MSP les plus efficaces s’attaquent-ils à ce problème ?
À quoi ressemble un processus de gestion des correctifs efficace ?
Vous trouverez ci-dessous un modèle en 10 étapes qui met en évidence les considérations fondamentales à prendre en compte dans tout plan de gestion des correctifs. Avant de plonger dans ce flux de travail, vous voudrez vous assurer que vous avez travaillé avec votre client pour établir des rôles et des responsabilités clairs pour chaque étape, et que toutes les parties prenantes clés sont pleinement à bord.
Etape 1 : Découverte
D’abord, vous devez vous assurer que vous disposez d’un inventaire complet du réseau. Au niveau le plus élémentaire, il s’agit de comprendre les types d’appareils, les systèmes d’exploitation, les versions des OS et les applications tierces. De nombreuses brèches trouvent leur origine dans des systèmes négligés ou oubliés dont l’informatique a perdu la trace. Les MSP devraient utiliser des outils qui leur permettent de scanner les environnements de leurs clients et d’obtenir des instantanés complets de tout ce qui se trouve sur le réseau.
Étape 2 : catégorisation
Segmenter les systèmes et/ou utilisateurs gérés en fonction du risque et de la priorité. Par exemple, cela pourrait être par type de machine (serveur, ordinateur portable, etc.), système d’exploitation, version du système d’exploitation, rôle de l’utilisateur, etc. Cela vous permettra de créer des politiques de patching plus granulaires au lieu d’adopter une approche de politique unique pour tous.
Étape 3 : Création d’une politique de gestion des correctifs
Créer des critères de patching en établissant ce qui sera patché et quand, dans quelles conditions. Par exemple, vous pouvez vouloir vous assurer que certains systèmes/utilisateurs sont patchés plus fréquemment et automatiquement que d’autres (le calendrier de patching pour les utilisateurs finaux d’ordinateurs portables peut être hebdomadaire tandis que le patching pour les serveurs peut être moins fréquent et plus manuel). Vous pouvez également traiter différemment les différents types de correctifs, certains ayant un processus de déploiement plus rapide ou plus étendu (pensez aux mises à jour du navigateur par rapport aux mises à jour du système d’exploitation, aux mises à jour critiques par rapport aux mises à jour non critiques, par exemple). Enfin, vous voudrez identifier les fenêtres de maintenance pour éviter les perturbations (tenez compte des fuseaux horaires pour le patching « follow the sun », etc.) et créer des exceptions.
Étape 4 : surveiller les nouveaux correctifs et les vulnérabilités
.