Toujours plus nombreuses et plus dangereuses, les attaques visant le système d'information de l'entreprise soumettent les nerfs des responsables informatiques à rude épreuve. Ces attaques, qui exploitent le plus souvent les failles des logiciels installés sur les postes de travail, sont pratiquement impossibles à neutraliser sans recourir à des solutions adaptées. Pour le seul environnement Windows, Microsoft a ainsi publié plus de 230 alertes de sécurité depuis l'an 2000, avec à chaque fois la mise à disposition de correctifs idoines. Côté serveurs, le virus SQLSlammer a paralysé en quelques heures plusieurs milliers de bases SQL Server dans le monde.

Conscient de la nécessité de proposer une solution de mise à jour automatisée de ses logiciels, Microsoft a mis en place il y a quelques années le service Windows Update, qui regroupe les correctifs destinés à son système d'exploitation, leur mise en oeuvre sur le poste pouvant être déclenchée manuellement ou de façon automatique.

Malheureusement, le site ne met à disposition que les correctifs pour le système d'exploitation Windows, l'utilisateur devant visiter deux autres sites pour obtenir, sur l'un, ceux destinés aux outils bureautiques de la suite Office, et sur l'autre ceux destinés à ses outils serveurs. Le gros problème reste cependant le déploiement effectif de ces correctifs sur un parc de plusieurs centaines de machines.

Programmer chaque poste d'un parc, afin qu'il télécharge via Internet les patchs, revient à programmer plusieurs centaines de téléchargements de fichiers identiques à partir de la connexion Internet de l'entreprise, et certains fichiers pèsent jusqu'à 200 Mo (services Pack, par exemple) : un bon moyen de saturer la bande passante WAN. S'assurer du téléchargement en une fois de l'ensemble des correctifs, afin de les diffuser ensuite sur le LAN par voie administrative, peut s'effectuer par la mise au point de scripts, mais ceux-ci sont incapables de s'assurer de la nécessité ou du bien-fondé de l'application d'un des correctifs sur telle ou telle machine.

Des éditeurs comme Shavlik, St Bernard Software ou Ecora ont rapidement identifié un marché à investir. Ils proposent depuis quelques années des logiciels de gestion de patchs autonomes comme HF-NetChkPro ou UpdateExpert. Preuve de leur intérêt : Microsoft a lui-même retenu la technologie de Shavlik pour MBSA ( Microsoft Baseline Security Analyzer ) qui, accessible depuis le site de Windows Update, inventorie les correctifs déjà installés sur un système.

Toujours à l'affût d'une bonne affaire, les éditeurs de logiciels de gestion de parc sont entrés en lice. L'idée était bonne et facile à réaliser. Il leur suffisait d'adapter leurs outils d'inventaire pour postes de travail et de télédistribution de logiciels à la gestion de patchs. LANDesk, Marimba (acquis par BMC), Microsoft et Altiris proposaient fin 2003 des outils d'automatisation de déploiement de correctifs logiciels.

Dans la pratique, le module d'inventaire s'appuie en général sur MBSA pour recenser les correctifs déjà déployés. Cela fait, il télécharge automatiquement, à partir du site de l'éditeur de la suite, un fichier XML contenant les références des nouveaux patchs disponibles pour les différentes versions de Windows. Il le compare ensuite à son document de référence, fruit de l'inventaire du poste. Le serveur se charge alors de télécharger depuis le site de Microsoft les correctifs nécessaires qui seront ensuite déployés automatiquement sur tous les postes, par exemple en multicast. Autre avantage, ces logiciels pallient le principal défaut de MBSA. Celui-ci ne reconnaît pas la présence de patchs Office sur le système. Tout est transparent avec les trois solutions testées. Chacune des tâches peut être accomplie manuellement.

Pour plus de sécurité, certains éditeurs, comme LANDesk ou Altiris (v. 6.1), testent préalablement les correctifs dans leurs laboratoires et précisent dans un document les options de déploiement propres à chacun d'eux. Ces options se traduisent par des lignes de commandes et spécifient, entre autres, le mode d'installation (alerter ou non l'utilisateur, redémarrage de la station, etc.). Le module de télédistribution en tient compte.

À l'occasion de ce comparatif, nous avons voulu évaluer les possibilités des modules de gestion de patchs des suites de gestion de parc les plus répandues sur le marché (lire l'encadré Le périmètre du test, ci-dessous) . Les solutions de LANDesk, Altiris, Novell et Microsoft ont ainsi été mises en oeuvre dans le cadre d'un parc exclusivement Windows.

À l'issue des tests, force est de constater que toutes les solutions ne sont pas à la hauteur de la tâche. Il nous a été impossible de mettre en place la solution ZENworks Patch Management de Novell, qui a refusé de fonctionner sur notre plate-forme, malgré de multiples interventions de l'éditeur. Ces solutions, qui utilisent toutes la même technique de déploiement, ont été incapables de déployer les correctifs dont l'installation requiert la présence préalable d'un service pack (c'est le cas de certains correctifs d'Internet Explorer et ceux concernant la version initiale de Windows 2000).

Enfin, nous avons identifié un sérieux problème d'incompatibilité chez Altiris, dont l'outil (Patch Management Solution 6) a obstinément refusé de télédistribuer les correctifs sur nos machines équipées d'une version française de Windows.

Dernier inconvénient, ces outils ne distribuent automatiquement que les correctifs de Microsoft. Déployer les patchs d'autres éditeurs requiert une programmation manuelle du module de télédistribution... Mis à part ces constats d'ordre général, LAN-Desk, avec Patch Manager 8.5, remporte la palme. Son installation ainsi que son maniement sont aisés et la distribution des correctifs est transparente. System Management Server 2003 de Microsoft nous a en revanche quelque peu déçus, plus particulièrement son module de déploiement des correctifs. Celui-ci semble avoir été développé à la hâte, à en juger par son paramétrage pour le moins fastidieux.

Pour toutes les solutions testées, ce comparatif a mis au jour un premier niveau d'automatisation dans l'application des patchs. Elles permettent surtout de déployer l'ensemble des correctifs disponibles pour l'environnement Microsoft (OS Windows, logiciels Office, et outils serveurs) à partir d'une interface unique. Au final, à l'exception de celle de LANDesk, ces solutions ne se révèlent pas abouties. Les éditeurs devraient sans nul doute rapidement revoir leur copie.