Gestion des patchs : préoccupation majeure des CSO

Cette enquête démontre que bon nombre d’entre eux accordent une importance toute particulière à la qualité des logiciels devant être patchés. En effet, il semble exister un rapport inverse direct entre la qualité de l’application et le nombre de correctifs. Plus l’application aura été bien développée, moins on aura d’interventions à effectuer dessus.

Par ailleurs, cette préoccupation semble s’inscrire dans une mouvance plus vaste concernant la conformité des réseaux d’entreprise au Federal Security Management Actuel, lequel, rappelons-le engage la responsabilité des dirigeants de l’entreprise lorsque la sécurité de leur réseau est compromise (un texte semblable est d’ailleurs à l’étude à Bruxelles pour responsabiliser notamment les entreprises sensibles : matières dangereuses, énergie, etc.). Tout dépend, bien entendu, du budget dont dispose le CSO. Leur comportement varie d’ailleurs sensiblement selon qu’ils disposent d’un budget inférieur à 500.000 dollars ou d’une enveloppe supérieure à ce montant. Reporting : le pire cauchemar du CSO Dans le premier cas, ils disent passer 45% de leur temps à faire du reporting de conformité, ce qui semble devenir aujourd’hui leur cauchemar au quotidien. Ce pourcentage est ramené à 27% pour les plus « riches » d’entre eux, bien souvent parce qu’ils ont la possibilité d’externaliser une partie du traitement affectant cette mise en conformité. Ce qui pose d’ailleurs le problème de savoir si cette mise d’équerre n’influe pas trop sur la productivité réelle de ce département. Il n’empêche qu’il est désormais hors de question de subir des attaques telles celles de Nimda ou de SQL Slammer . Gestion des patchs : les recommandations du Gartner

Comme le souligne le Gartner Group, l’essentiel pour les entreprises recourant à des outils d’automatisation de la mise à jour des correctifs est de bien vérifier les points suivants : – la disponibilité d’un inventaire exhaustif du parc PC et serveur installé (ce qui nécessite la plupart du temps un bon outil d’inventaire) y compris des PC portables (source majeure de problèmes dans la plupart des cas) – une évaluation complète de l’état du service de correction sur les PC et les serveurs (ce via un service de packaging des correctifs, lui aussi automatisé) – une analyse de la dépendance du système d’information aux correctifs (tout bon logiciel d’administration des patchs doit en effet comporter un fonctionnalité de hiérarchisation des correctifs selon le degré d’exposition aux vulnérabilités. Par ailleurs, il serait bon de privilégier un outil capable de repérer d’emblée les problèmes d’incompatibilité entre correctifs et de le signaler avant tout clash) – le support des environnements hétérogènes (parce qu’il n’y a pas que Microsoft dans la vie !) – l’automatisation de la distribution et de l’installation des patchs (en préférant les produits offrant une infrastructure extensible pour des systèmes fortement distribués) – le pour ou le contre d’un système employant des agents ou non (les agents offrant une plus grande richesse fonctionnelle et consommant moins de bande passante, mais coûtant parfois plus cher au niveau du temps passé lors du déploiement) Quoi qu’il en soit, le sujet doit être particulièrement juteux pour que Dell et Microsoft aient décidé d’intégrer leurs applications de management système afin de permettre à leur clientèle de mettre à jour leur matériel et leurs logiciels serveur via un seul et même outil. C’est ainsi que l’outil de Dell OpenManage 4 va pouvoir coopérer avec Microsoft SMS 2003 (Systems Management Server) pour proposer aux utilisateurs une console centrale de monitoring de tous les serveurs PowerEdge de leur réseau. Ce lien d’intégration sera disponible gratuitement dès janvier prochain. Toutefois, la coopération entre ces deux applications n’atteint nullement l’ampleur fonctionnelle d’outils dédiés comme celui proposé par Altiris.