De la difficulté de la gestion des mises à jour de sécurité

S'il est un sujet sensible en matière de sécurité informatique, c'est bien celui de la gestion des mises à jour de sécurité. Que l'on l'appelle patch management ou gestion des correctifs, ce problème est souvent ressenti par les équipes informatiques comme un contrainte et un coût imposé par les éditeurs, Microsoft en tête. Or nous savons bien qu'aucun logiciel n'est exempt de bugs et que nombre de ces bugs se traduisent par des vulnérabilités qu'il est nécessaire de corriger au plus tôt. Il suffit de consulter les différents sites recensant ces vulnérabilités pour s'en convaincre : Secunia, Security Focus, etc.

Mon collègue Mathieu Malaise, responsable de programme sécurité et moi-même avons préparé un séminaire sur le sujet que nous présenterons la semaine prochaine au salon InfoSecurity et aux Microsoft Techdays 2008 en février prochain à Paris. Mathieu le présentera également lors des séminaires Technet dans plusieurs villes de France en décembre. Cette présentation s'appelle Bonnes pratiques pour la gestion des mises à jour de sécurité et traite des difficultés, de la méthodologie et de la mise en œuvre pratique. Elle sera comme d'habitude publiée sur les sites correspondants, en PowerPoint et en webcast.

Cet article traite de la difficulté ressentie de gérer ces mises à jour de sécurité, qu'elles concernent un OS, une application ou un équipement réseau : le problème est général et ne saurait se restreindre aux mises à jour Microsoft que vous avez l'habitude de voir publiées le deuxième mardi soir de chaque mois.

Tout d'abord, il faut insister sur l'importance des mises à jour de sécurité : le paysage de l'informatique d'entreprise change constamment et une évolution notable concerne la notion de périmètre. Par exemple, l'accès aux ressources internes depuis des ordinateurs portables, PDA ou téléphones et l'utilisation d'extranets pour les partenaires de l'entreprise rendent cette notion de périmètre de plus en plus floue : est-ce que l'ordinateur familial qui accède à la messagerie de l'entreprise par Webmail est à l'intérieur ou à l'extérieur de ce périmètre ? On peut aller jusqu'à dire aujourd'hui que le périmètre est une notion qui disparaît et que les anciennes solutions de sécurité basées sur les frontières du réseau sont obsolètes, ou au moins insuffisantes. La sécurité doit être considérée sur chaque élément du système, selon un principe de défense en profondeur que l'on rappelle souvent. Cela rend encore plus importante la gestion des mises à jour de sécurité sur chaque équipement.

Plus concrètement et pour mesurer cette importance, posez-vous la question du coût qu'ont représenté Code Red, Nimda, Blaster, Slammer et Sasser sur votre réseau, alors qu'un simple patch installé à temps aurait suffi pour éviter le pire.

À la question "pourquoi est-ce un problème ? ", les réponses sont assez variées mais reviennent toujours sur les trois mêmes thèmes :

C'est inutile, je n'ai jamais eu de problème. Sur le plan de la simple gestion des risques, il y a dans cet argument un problème d'évaluation des menaces et de quantification des risques. Êtes-vous certain que les actifs de votre entreprise ont moins de valeur que le coût de l'application des correctifs ?

J'ai un pare-feu/antivirus/IDS/IPS qui me protège. Nous avons répondu à cet argument dans les paragraphes précédents.

C'est trop compliqué, trop cher, il faut tester toutes les applications, c'est impossible. Pour essayer de répondre à ce troisième argument, essayons d'aller au-delà de cette simple affirmation. En creusant un peu auprès des clients qui tiennent ce type de discours, il apparaît que le problème est liée à une ou plusieurs de ces raisons : manque d'appui de la direction, de budget, de personnel, manque de procédures adaptées et de bonnes pratiques, manque de sensibilisation des différents acteurs.

Je ne voudrais pas reprendre en détail ici les méthodologies que l'on cite constamment comme ITIL et MOF, mais plutôt me concentrer sur le point qui est, à mon sens, au centre de ces difficultés et par là-même à la base de la solution : il s'agit de la décision. Décision d'appliquer un changement sur le système d'information (mise à jour de sécurité ou autre mode de contournement d'une vulnérabilité).

La difficulté réside donc dans la décision. En effet, pour prendre une décision, il faut :

  • Être légitime pour que la décision soit acceptée, habilité à prendre la décision et disponible pour prendre la décision au bon moment. Cela ne va pas sans une définition des rôles et responsabilités et une implication ou un mandat clair de la Direction.
     
  • Disposer à temps d'informations pertinentes. Au départ, il faut être informé qu'une décision est à prendre, ce qui nécessite une veille (si possible 24x7) et un processus d'alerte. L'élément déclenchant peut être un avis, un bulletin de sécurité, mais aussi la détection d'un ver sur Internet.

Pour décider il faut aussi connaître son existant ! Cela va sans dire, mais combien de responsables disposent d'un état à jour de leur existant ? et d'une classification des systèmes ? Ces éléments sont critiques pour la prise de décision car ils permettent de déterminer l'applicabilité de la vulnérabilité, le périmètre à traiter, la nature du changement à appliquer, l'impact de la vulnérabilité, ainsi que la priorité / criticité / urgence  du changement (le vocabulaire peut varier mais l'idée est la même). Insistons sur l'importance, en plus de l'inventaire classique, d'une classification des systèmes : il faut connaîtres ses systèmes les plus critiques afin de savoir s'ils sont concernés par une alerte et quel traitement leur appliquer.

  • Disposer d'un cadre de décision : le temps de réponse étant critique, les options de décision doivent être définies à l'avance. Par exemple : "appliquer la mise à jour dans les 6 mois", "d'ici 1 mois", "dans les 24 heures" ou "immédiatement". Voire "isoler/déconnecter les systèmes critiques". Il est clair que la décision dépend du degré de d'urgence, et que le premier point (légitimité) prend tout son sens ici. La décision définit également la nature du changement et dépend fortement du contexte de l'entreprise.
     
  • Disposer de processus, personnes et technologies pour appliquer la décision. Après tout, la gestion des mises à jour de sécurité n'est qu'une application des processus de gestion des changements et donc de bonnes pratiques d'exploitation.

En résumé : une fois l'importance d'une gestion rationnelle des mises à jour acceptée, si l'on se concentre les éléments qui aident la décision et son application, on arrive tout naturellement à définir les informations et processus qui seront nécessaires dans le contexte particulier de l'entreprise. Le choix de méthodes et d'outils (gestion de configuration, inventaire, déploiement) ne sera ensuite qu'un détail d'implémentation.

Pour plus d'informations