01 Informatique

Un parc plus sûr grâce à la gestion des correctifs

Tâche ingrate, la gestion des correctifs n'en demeure pas moins essentielle pour assurer la sécurité du système d'information. Les outils automatisés de patch management aident à reprendre le contrôle de son parc.
01 Informatique
le 08/01/2009 à 00h00
envoyer
par mail
imprimer
l'article
partager sur Viadeo
partager sur Facebook
partager sur LinkedIn
partager sur Scoopeo
partager sur Technorati
partager sur Digg
partager sur Delicious
partager sur Google
partager sur Myspace
partager sur Yahoo!

C'est une réalité embarrassante pour bien des responsables informatiques : les incidents de sécurité reposent le plus souvent sur des vulnérabilités pour lesquelles un correctif existe depuis déjà longtemps. Et ces attaques se révèlent être redoutables parce que la rustine n'a jamais été appliquée. Mais cette situation particulière peut se comprendre : la tâche de gérer les correctifs sur un parc étendu est particulièrement ingrate et complexe. Il faut connaître le parc avec précision, identifier les correctifs nécessaires pour chaque poste et s'assurer qu'ils sont bien appliqués.

Le besoin : simplifier l'application des correctifs

C'est le rôle des outils de gestion de correctifs que de palier cette complexité. Ainsi, pour certaines entreprises, l'outil entre par la grande porte après un problème de sécurité sérieux. “ Nous n'avions aucune politique de gestion des correctifs. C'était un choix : nous ne voulions pas perturber une machine qui fonctionnait correctement ”, se souvient Bertrand Dupré, administrateur système à l'European Synchrotron Radiation Facility (ESRF). Mais, en 2003, lorsque survient le virus Blaster, le centre est fortement touché et il est, de ce fait, décidé de gérer l'application des correctifs de manière centralisée. Pour d'autres entreprises, ces outils viennent renforcer une politique jugée insuffisante. “ Nous avions certes un serveur Microsoft WSUS pour déployer les correctifs. Mais faute de ressources pour le gérer nous n'appliquions que les patches les plus critiques et n'avions aucun retour. On ne savait pas sur quels postes c'était installé ou s'il y avait eu des problèmes ”, témoigne Carl Capy, responsable micro de l'Ircem.

Autre cas de figure, des entreprises ont des contraintes d'exploitation qui nécessitent une grande granularité dans l'application des correctifs. “ Certains postes sont très sensibles et nous ne pouvons pas faire n'importe quoi, comme les faire redémarrer pendant une période d'antenne par exemple. Il nous fallait pouvoir gérer des fenêtres de temps de correction et des groupes de machines spécifiques ”, précise Jean-Charles Grumbach, chef de projet intégration systèmes et sécurité chez France 2. Et c'est d'ailleurs pour la même raison que l'ESRF n'a pas souhaité utiliser la mise à jour automatique des postes de travail.

Le choix : auditer le parc avec ou sans agent

Si les solutions de gestion de patch peuvent fonctionner sans agent, deux de nos témoins ont préféré disposer d'un agent sur les postes en dépit de la contrainte de déploiement supplémentaire que cela représente. “ Notre réseau est segmenté et nous avons des contraintes de passages aux routeurs et aux pare-feu. Certaines requêtes ne passeraient pas. Tandis que le trafic d'un agent est clairement identifié et plus simple à autoriser ”, affirme pour sa part Jean-Charles Grumbach.

Cependant, déployer l'agent n'a pas été un souci pour autant. France 2 s'est appuyé sur l'outil Zenworks, de Novell, que la chaîne utilisait déjà pour les déploiements applicatifs (tous les postes de travail sont sous Novell). L'Ircem, elle, disposait déjà d'un agent. “ Nous utilisions la solution de gestion de parc de Criston (Desktop Manager). Lorsque ce dernier a lancé son offre de gestion de correctifs, l'agent Criston était donc déjà déployé sur nos postes ”, confirme Carl Capy. Il suffisait alors au responsable de mettre à jour la console d'administration qu'il connaissait déjà bien afin de gérer les correctifs en conservant ses habitudes. Une proposition qui a su emporter le choix.

L'ESRF, en revanche, ne souhaitait pas de client logiciel, notamment parce qu'il n'a pas la maîtrise totale du parc, le centre voyant passer de nombreux chercheurs chaque année. “ Nous avions recours à l'antivirus de Symantec pour les postes bureautiques. Nous avons alors opté pour Symantec iPatch (en fait NetChk Protect, de Shavlik), qui ne nécessite pas d'agent mais seulement un accès administrateur aux machines et un domaine NT ou un annuaire Active Directory ”, déclare Bertrand Dupré. Depuis, Symantec a arrêté le produit et l'ESRF s'est tourné vers le produit original de Shavlik, totalement identique.

Le déploiement : groupes de machines et criticité

La constante : ces outils sont très simples à déployer : il suffit d'installer une console d'administration et, éventuellement, de pousser les agents sur les postes. “ Nous avons installé les agents via Zenworks et attendu qu'ils peuplent la base de données sur le serveur d'administration avec les informations concernant chaque poste de travail. En parallèle, le produit récupérait la liste des correctifs disponibles. Cela a pris un mois pour avoir une bonne vision du parc ”, note Jean-Charles Grumbach.

Pour l'Ircem, dont les clients étaient déjà déployés, il a suffi de mettre la console d'administration (Java) à jour pour bénéficier dans la même interface de l'état des correctifs sur les postes de travail. “ Ça a été très rapide à installer, et on se retrouve tout simplement avec un peu plus d'information que d'habitude dans la console ! ”, apprécie Carl Capy.

Bertrand Dupré, à l'ESRF, a lui aimé la légèreté du produit. “ Il a suffi d'installer la console depuis le CD, mais NetChk Protect est tellement léger qu'on peut aussi le télécharger très facilement. Il se connecte ensuite à l'annuaire Active Directory pour connaître les groupes de machines ”, explique l'administrateur système.

Mais derrière la simplicité de l'installation se cache la nécessité de bien préparer le travail : il faut définir une politique de patch en fonction des contraintes de la production. “ Chez nous, les PC bureautiques sont mis à jour le dimanche, tandis que ceux qui gèrent le synchrotron ne peuvent être arrêtés que le mardi ”, déclare Bertrand Dupré. Cette segmentation par groupes de machines se retrouve chez tous nos témoins et constitue une force des produits de gestion des correctifs, avec la capacité à revenir (rollback) à un état de patch antérieur en cas de souci.

Enfin, il faut prévoir l'architecture de déploiement. Si chez France 2 c'est le serveur sur lequel l'outil est installé qui distribue les correctifs, l'Ircem a fait le choix de serveurs relais. “ La console est installée sur mon poste de travail, le serveur principal (Master) et la base de données sont sur un serveur dédié, et j'ai déployé trois relais pour décharger le Master. Ce dernier doit plutôt s'occuper de la base de données et il vaut mieux avoir des relais dédiés pour la distribution des paquets ”, approfondit Carl Capy.

L'utilisation : une distribution en plusieurs étapes

La solution de gestion des correctifs automatise la récupération des correctifs et facilite leur déploiement. “ Le serveur local (master) se connecte à un serveur de référence afin de récupérer tous les nouveaux correctifs pour les applications installées dans notre parc, y compris non-Microsoft (Adobe, Citrix…). Je vois alors dans la console combien de postes sont concernés, par combien de patches et lesquels ”, explique Carl Capy. Pour les appliquer, le responsable peut soit faire un clic droit sur le correctif et corriger automatiquement tous les postes qui sont concernés par ce dernier, soit partir d'un rapport fournit par l'application qui lui indique les postes critiques qui exigent une ou plusieurs mises à jour. “ Je peux alors corriger les machines par groupe, par niveau de criticité par exemple, en une seule fois ”, poursuit le responsable micro.

La gestion quotidienne de l'outil de patch management se révèle être légère. “ Je regarde tous les matins en arrivant au bureau quels sont les correctifs validés par Lumension, ceux que je pense demander à rapatrier en local pour les tester, et je regarde ce qui s'est passé dans les vingt-quatre dernières heures sur le parc. Cela me demande environ une demi-heure ”, détaille Jean-Charles Grumbach.

En revanche, il est nécessaire de l'aborder avec méthode. “ Le produit sélectionne automatiquement les correctifs nécessaires. J'ai créé un groupe test, avec des machines représentatives de mon parc. J'applique les correctifs manuellement sur ce groupe et je reste en alerte pour des remontées de ces utilisateurs. Si cela se déroule correctement, les patches validés sont appliqués automatiquement en fonction des règles métier ”, précise Bertrand Dupré.

Le bilan : sécurité et gain de temps

Nos trois témoins sont un animes pour plébisciter leur outil de gestion des correctifs, qui leur a fait gagner du temps et l'assurance d'un parc sain. “ Je sais exactement ce qu'il y a sur mon parc, et dans quel état. Nous y avons gagné en sécurité ”, confirme Bertrand Dupré. Et à l'Ircem, le gain en temps est appréciable : “ Là où il me fallait une semaine pour corriger les PC d'un service, je peux faire des dizaines de postes sans me déplacer et sans me poser de questions ”, ajoute Carl Capy. Avec néanmoins une réserve partagée par l'ensemble de nos témoins, celle de disposer d'une configuration puissante. “ La charge est vraiment visible sur le serveur quand on patche nos 600 postes. Le processeur et la mémoire sont totalement occupés. Cela demande vraiment de la ressource pour des parcs importants ”, conclut Carl Capy.

Les 3 entreprises étudiées

Activité : recherche scientifique.
Siège : Grenoble (38).
Effectif : 650 personnes (et 2 000 chercheurs non permanents par an).
Budget 2007 : 80 M d'euros.

Problème à résoudre : assurer une gestion centralisée des correctifs sur les postes de travail et les serveurs. Nécessité, notamment, de pouvoir programmer l'application des correctifs durant les périodes de maintenance forcée de certains serveurs.

Solution choisie : Shavlik NetChk Protect (console installée sur un serveur dédié), solution sans agent.

Activité : chaîne de télévision.
Siège : Paris (75).
Effectif : non communiqué.
CA : 1,053 M d'euros.

Problème à résoudre : gérer la diffusion des correctifs de manière granulaire en fonction des contraintes de production. Bénéficier d'une première validation de ces derniers par un acteur tiers.

Solution choisie : Lumension PatchLink (console et agents déployés sur les postes de travail).

Activité : caisse de retraite, prévoyance et mutuelle.
Siège : Roubaix (59).
Effectif : 600 personnes.
Cotisations 2007 : 834 M d'euros.

Problème à résoudre : étendre la gestion centralisée du parc à celle des correctifs de sécurité. Remplacer la solution Microsoft WSUS que personne n'utilisait plus, faute de ressources pour l'administrer.

Solution choisie : Criston Patch Management (console Java installée sur un serveur dédié) et l'agent unique Criston installé sur 750 postes de travail à administrer.

Tester, valider et déployer par groupes de postes

L'atout essentiel de la solution de gestion des correctifs est de permettre une centralisation automatique des rustines à appliquer. Le fournisseur de la solution se charge de récupérer, et souvent de qualifier les correctifs publiés par de nombreux éditeurs tiers de logiciels. Les patches sont alors mis à disposition ensemble via l'application de gestion. Il n'y a dès lors plus qu'une seule source de correctifs à surveiller.

L'application d'un correctif sur un parc étendu exige de solides ressources en termes de réseau et de serveur de distribution. Des stratégies de répartition, basée sur des serveurs relais, peuvent cependant aider à réduire cette charge, mais il s'agit d'un critère à prendre en compte lors du choix de la solution.

L'administrateur est en mesure de connaître a tout moment l'état des correctifs sur chaque poste de son parc, à la fois pour le système d'exploitation et pour les applications installées. Il peut choisir d'appliquer les rustines à sa guise, en fonction de la politique qu'il a déterminé (par criticité des correctifs ou des machines, par risque, par groupes métier, en fonction d'autres opérations de maintenance prévues…).

Si l'outil de gestion des correctifs et les services offerts par son éditeur (tests des rustines, etc.) peuvent grandement aider l'administrateur, c'est toujours à ce dernier de décider quand et quoi corriger et de veiller au bon fonctionnement des systèmes après l'application du patch. La gestion des correctifs ne peut être entièrement automatisée sans qu'il y ait un risque.

Bertrand Dupré (ESRF) : “ les utilisateurs doivent être sensibilisés ”

“ Les utilisateurs acceptent parfois mal que leur ordinateur redémarre sans leur accord, surtout s'ils se retrouvent soudain avec une nouvelle version de Firefox. Il faut donc y aller progressivement : nous avons intégré à la gestion centralisée des correctifs d'abord les PC les moins critiques et avec seulement les correctifs Windows les plus critiques, afin de convaincre les utilisateurs de l'absence de risque et du faible impact de l'opération. Nous sommes ensuite montés en puissance, en étendant la gestion des correctifs à plus de PC et en mettant à jour des éléments plus visibles comme le navigateur web. Nous avons mené en parallèle une campagne d'information auprès des utilisateurs – jusqu'alors les PC étaient considérés comme “ personnels ” et il a fallu faire passer le message comme quoi un administrateur devait pouvoir y accéder à distance. ”

Jean-Charles Grumbach (France 2) : “ il faut tester les correctifs ”

“ Tous nos correctifs sont d'abord testés pendant deux ou trois jours en laboratoire sur une plate-forme représentative de l'environnement de nos utilisateurs. Nous nous attachons surtout à valider le correctif vis-à-vis de nos applications propriétaires. Ensuite, les patches sont chaînés au maximum, en regroupant ceux qui ne demandent pas de redémarrage. Puis, ils sont déployés d'abord sur une population restreinte du service informatique. Ces utilisateurs sont plus à même de nous faire remonter d'éventuels dysfonctionnements. D'ailleurs, ils sont prévenus par messagerie : une boîte de réponse a été créée pour l'occasion. Si tout se passe bien, c'est au tour des postes les plus critiques, parmi le reste de la population, qui sont mis à jour en présence d'un technicien. Et, enfin, tous les autres sont mis à jour automatiquement. Avec une telle organisation, nous n'avons que très rarement des soucis de patch. Et cela nous a aidés à étendre l'utilisation de l'outil de patch management à la mise à jour d'autres aspects des postes, tel l'antivirus ou le Bios de toute une série de machines. ”

Carl Capy (IRCEM) : “ attention aux serveurs ! ”

“ Nous avons choisi de ne pas intégrer nos serveurs à notre outil de gestion des correctifs. Car une fausse manipulation ou la défaillance de l'outil pourrait coûter cher : nos serveurs prennent en charge les paiements des retraites, le remboursement des dépenses médicales, etc. Nous préférons donc n'avoir aucun agent sur les serveurs qui ne soit pas indispensable à l'activité. Pour leurs correctifs, nous avons souscrit à une prestation d'audit manuelle, réalisée une fois par mois par des consultants spécialisés (notre RSSI s'en chargeait personnellement auparavant). Les consultants font une analyse du parc serveur et des recommandations en terme de patches à appliquer. Mais les administrateurs réseaux décident lesquels parmi les correctifs conseillés seront appliqués, sur quels serveurs, dans quel ordre et quand. Cela fonctionne bien et, de fait, nous avons étendu cet audit des consultants aux postes de travail. L'intérêt de l'audit manuel est que les consultants vont plus loin que l'outil de Criston et couvrent aussi d'autres points de sécurité (une clé de registre à changer…). ”

L'avis de l'intégrateur : Bruno Rasle, responsable des offres chez Arca

“ Beaucoup d'entreprises ignorent la gestion des correctifs “

“ Je n'ai jamais vu un exploitant se battre pour se charger de la gestion des correctifs ! Car c'est une tâche ingrate, complexe, coûteuse et stressante, donc on comprend facilement pourquoi les entreprises ne sont pas très pressées de s'y mettre spontanément. On ne sait jamais vraiment si tout est bien patché, si on est allé assez vite, on ne voit pas de bénéfice immédiat et ça prend du temps/homme. Il y a cependant désormais des contraintes réglementaires, par exemple PCI ou ISO 27002, qui rendent obligatoire l'application des correctifs. ”

“ L'outil ne suffit pas ”

“ Il faut aussi un peu de méthode. L'outil va certes encadrer la tâche, mais il y aura toujours besoin d'un humain pour prendre la décision de déployer tel ou tel correctif à tel moment. Car ne pas patcher est un risque, mais parfois patcher l'est aussi. Et ça, l'outil ne peut le décider à la place de l'humain. ”

publicité
à lire aussi
SUR LES MÊMES THÈMES
Le nouveau défi du fondateur d'Infosys : moderniser l'Etat indien !
Un pôle emploi capricieux
La crise, nouvel argument de vente pour HP et CA
Le médiateur se met à la messagerie instantanée
Le médiateur se met à la messagerie instantanée
CA et IBM s'engagent sur le chemin du cloud
Les utilisateurs de Firefox 3 interdits de vote aux prud'homales
La chose publique
CA et IBM concrétisent le concept de fédération de CMDB
CA achève sa convalescence
Plus de 7 millions de Français ont déclaré leurs revenus sur Internet
Accédez aux plans en toute simplicité
Garder le contrôle de ses terminaux mobiles
BMC se renforce dans le déploiement automatique de serveurs
Votre base de données est-elle sécurisée ?
Votre base de données est-elle sécurisée ?
HP a bien digéré ses acquisitions
Poste de travail : le PC indétrônable
Poste de travail : le PC indétrônable