ManageFusion : les thèmes en avant première

Nous avons déjà eu l’occasion dans un précédent article de parler des problèmes soulevés par la migration des postes de travail. Voyons aujourd’hui, ce qu’il en est de la gestion des correctifs

Comme le souligne Tony Adams, directeur marketing EMOA d’Altiris, trois principaux thèmes seront abordés à l’occasion de ManageFusion : – la migration des serveurs et des postes de travail – la gestion des correctifs (patchs) sur les systèmes et les problèmes de sécurité qui y sont liés – la gestion du parc informatique (matériel et logiciel)

Gestion des patchs : un problème délicat Ce sujet empoisonne bien souvent la vie des responsables informatiques. En effet, l’interconnexion des systèmes ne facilite pas la résolution des nombreuses vulnérabilités qui sont chaque jour découvertes sur ceux-ci. Aussi, même si nombre de départements informatiques en sont encore à une approche manuelle (pour ne pas dire archaïque) de la mis en place de correctifs, il semble grand temps de passer à la vitesse supérieure. D’où le besoin d’outils qui soient à même d’automatiser la mise en place des correctifs système et applicatifs et qui soient aussi capables de repérer les incompatibilités que certains patchs peuvent avoir avec les applications de l’entreprise. De fait, il suffit d’un seule oubli pour qu’une brèche passe inaperçue, brèche par laquelle peuvent également passer des indésirables ou des malfaisants. Et l’entreprise de se retrouver alors exposée à des dommages informatiques qui ne sont plus couverts par les compagnies d’assurances garantissant ce type de risques, puisque celles-ci imposent désormais une gestion rigoureuse (et prouvée) des vulnérabilités avant que de couvrir leur souscripteur. Méthodologie + outils + expérience : un tiercé gagnant Mais les outils ne se suffisent pas en eux-mêmes, il est indispensable de les combiner à une méthodologie éprouvée et à une solide expérience du modus operandi visant à traiter les potentielles vulnérabilités de l’entreprise. Dans ce cadre, pour qu’une suite logicielle de gestion des patchs comme celle proposée par Altiris puisse être réellement efficace, il est indispensable de l’intégrer dans un schéma plus global afin qu’elle ne constitue qu’une des pierres de l’édifice fonctionnel permet de gérer les systèmes et la sécurité de l’entreprise. Comme le souligne une récente étude de Price-Waterhouse-Coopers, rester toujours à niveau en matière de patchs ne s’improvise pas, d’autant que certaines réglementations (dont notamment le Federak Information Security Management Act de 2002, pour ne citer que les USA) demandent à ce que les administrations, la Défense et bien souvent les organismes financiers soient à même de prouver que tous les correctifs ont bien été mis en place pour garantir le niveau le plus bas de vulnérabilité des systèmes et donc leur inviolabilité et leur intégrité. Aux Etats-Unis, 80 % des agences gouvernementales utilisent des outils et des procédures automatisant la gestion et le déploiement des correctifs système avec un bonheur pas tout à fait complet, puisque le taux de satisfaction, bien qu’élevé (86 %) n’est pas total. Néanmoins, plus des deux tiers des personnes utilisant ce type d’outils considèrent que cette gestion fait désormais partie intégrante de leur approche sécuritaire. Il n’empêche que tout ceci prend du temps et coûte de l’argent, parce que gérer les correctifs demande une attention de tous les instants, puisqu’il faut non seulement rester à niveau, mais aussi tester si possible les patchs à installer (pour éviter la création de nouvelles brèches ou l’instauration de déséquilibres inhibant certaines fonctions de certaines applications). D’où l’absolue nécessité de disposer d’un outil capable de lancer une phase de tests et de vérifier si le remède n’est pas pire que le mal. D’autant que certains correctifs de médiocre facture peuvent également affecter les données présentes dans le système. Il convient de se poser un certain nombre de questions avant de choisir un outil d’automatisation, notamment celle de savoir s’il est facilement intégrable dans la stratégie sécuritaire de l’entreprise et si son impact ne sera pas trop lourd au niveau de non seulement du département informatique mais aussi des utilisateurs. Enfin, il convient également de se demander quel retour sur investissement on est en droit d’attendre de cet investissement par rapport à une approche plus classique (gestion manuelle) et en combien de temps ce ROI sera atteint. Des problématiques que nous examinerons plus en détail lors de ManageFusion. À suivre… ManageFusion: un cycle de conférences spécialisé

ManageFusion (Nice, Hôtel Radisson du 11 au 13 octobre) cycle de conférences sur l’optimisation de la gestion des systèmes d’information organisé à l’initiative d’Altiris, comportera une série de conférences et d’ateliers pratiques.

Ce congrès a pour objectif d’aider les professionnels de l’informatique à maximiserle ROI (retour sur investissement) de leurs investissements informatiques et à réduire le TCO (coût total de possession) de leurs actifs IT.