Gestion des mises à jour de sécurité : rester protégé
La gestion des mises à jour de sécurité (aussi appelée gestion des patches) consiste à maintenir les logiciels à jour et protégés contre les vulnérabilités connues. Quand une vulnérabilité est découverte et publicisée, les attaquants développent souvent des exploits rapidement. Le patching rapide est l'un des moyens les plus efficaces de protéger votre organisation.
Points clés
| Point | Résumé |
|---|---|
| Règle des 14 jours | Appliquer les patches de sévérité haute/critique sous 14 jours après leur sortie |
| Logiciels supportés uniquement | Utiliser uniquement des logiciels qui reçoivent encore des mises à jour de sécurité du fournisseur |
| Activer les mises à jour auto | Où possible, activer les mises à jour automatiques pour l'OS et les applications |
| Supprimer les non-supportés | Supprimer tout logiciel en fin de vie qui ne reçoit plus de patches |
| Tous les logiciels dans le périmètre | OS, applications, navigateurs, plugins, firmware : tout doit être patché |
Réponse rapide : Cyber Essentials requiert l'application des patches hauts/critiques sous 14 jours. Utiliser uniquement des logiciels supportés qui reçoivent des mises à jour. Activer les mises à jour automatiques où possible. Supprimer tout logiciel non supporté ou en fin de vie.
Pourquoi les mises à jour sont importantes
Les vulnérabilités logicielles sont découvertes constamment. Une fois qu'une vulnérabilité devient connue, c'est une course entre les défenseurs appliquant les patches et les attaquants exploitant la faille.
Timeline typique d'une vulnérabilité :
- Vulnérabilité découverte
- Fournisseur notifié (divulgation responsable)
- Patch développé
- Patch publié : votre fenêtre pour patcher avant que l'exploitation commence
- Code d'exploit développé (souvent en heures ou jours)
- Exploitation de masse commence
- Vos systèmes sont vulnérables s'ils ne sont toujours pas patchés
La fenêtre de patching de 14 jours existe parce que cette timeline peut être remarquablement courte pour les vulnérabilités critiques.
Ce que Cyber Essentials requiert
Exigences fondamentales
| Exigence | Détails |
|---|---|
| Logiciels supportés | Utiliser uniquement des logiciels licenciés et supportés par le fournisseur |
| Patches critiques/hauts | Appliquer sous 14 jours après sortie |
| Supprimer les non-supportés | Désinstaller les logiciels en fin de vie |
| Mises à jour automatiques | Activer où possible |
La règle des 14 jours
Cyber Essentials spécifie que les patches pour les vulnérabilités classées 'Critique' ou 'Haute' sévérité doivent être appliqués sous 14 jours :
| Sévérité | Délai |
|---|---|
| Critique | Sous 14 jours (dès que pratique) |
| Haute | Sous 14 jours |
| Moyenne | Délai raisonnable |
| Basse | Prochaine fenêtre de maintenance |
Ce qui doit être mis à jour
Systèmes d'exploitation :
- Windows (Desktop et Server)
- macOS
- Distributions Linux
- iOS et Android
- Tout autre OS dans le périmètre
Applications :
- Navigateurs web (Chrome, Firefox, Edge, Safari)
- Clients email
- Suites bureautiques
- Lecteurs PDF
- Lecteurs média
- Runtime Java
- Framework .NET
- Applications business
- Logiciels de sécurité
Firmware :
- BIOS/UEFI
- Firmware routeur
- Firmware pare-feu
- Firmware switch
- Firmware appareils IoT
- Équipements réseau
Implémenter la gestion des mises à jour
Étape 1 : Inventaire des logiciels
Vous ne pouvez pas mettre à jour ce que vous ne savez pas avoir :
| Composant | Information nécessaire |
|---|---|
| Systèmes d'exploitation | Type, version, nombre d'appareils |
| Applications | Nom, version, emplacement d'installation |
| Firmware | Appareil, version actuelle |
| Services cloud | Quels aspects sont de votre responsabilité |
Étape 2 : Déterminer le statut de support
Pour chaque élément logiciel :
| Statut | Action |
|---|---|
| Activement supporté | Maintenir à jour |
| Support étendu | Planifier la migration |
| Fin de vie | Supprimer ou isoler immédiatement |
| Inconnu | Rechercher et déterminer |
Étape 3 : Activer les mises à jour automatiques
Où possible, automatiser les mises à jour :
Windows :
- Paramètres → Mise à jour et sécurité → Windows Update
- Activer les mises à jour automatiques
- Configurer les heures d'activité pour que les mises à jour ne perturbent pas le travail
- Considérer Windows Update for Business pour plus de contrôle
macOS :
- Préférences Système → Mise à jour de logiciels
- Activer "Mettre à jour mon Mac automatiquement"
- Cocher toutes les sous-options
- Considérer MDM pour la gestion enterprise
Navigateurs :
- Chrome : Se met à jour automatiquement
- Firefox : Paramètres → Général → Mises à jour Firefox → Auto
- Edge : Se met à jour avec Windows ou automatiquement
- Safari : Se met à jour avec macOS
Appareils mobiles :
- iOS : Réglages → Général → Mise à jour logicielle → Auto
- Android : Paramètres → Mise à jour logicielle → Téléchargement auto
- Considérer MDM pour les appareils enterprise
Étape 4 : Processus de mise à jour manuelle
Pour les systèmes qui ne peuvent pas être automatisés, établir un processus régulier :
Hebdomadaire :
- Vérifier les bulletins de sécurité fournisseurs
- Réviser les bases de données de vulnérabilités
- Identifier les patches applicables
- Prioriser par sévérité
Évaluation :
- Réviser la documentation du patch
- Tester en non-production si possible
- Planifier la fenêtre de déploiement
- Préparer la procédure de rollback
Déploiement :
- Notifier les utilisateurs affectés si nécessaire
- Appliquer les patches
- Vérifier l'installation réussie
- Documenter la complétion
Vérification :
- Confirmer la fonctionnalité du système
- Valider l'amélioration de sécurité
- Mettre à jour les enregistrements d'inventaire
Conseils spécifiques par plateforme
Mises à jour Windows
| Paramètre | Recommandation |
|---|---|
| Mises à jour automatiques | Activer |
| Planning de mise à jour | Configurer les heures d'activité |
| Politique de redémarrage | Redémarrage auto en dehors des heures de travail |
| Optimisation de livraison | Considérer l'activation pour l'efficacité bande passante |
| WSUS/SCCM | Considérer pour les environnements plus grands |
Bonnes pratiques :
- Ne pas différer les mises à jour de sécurité
- Autoriser les mises à jour de fonctionnalités après test initial
- Surveiller les mises à jour échouées
- Vérifier régulièrement l'historique Windows Update
Mises à jour macOS
| Paramètre | Recommandation |
|---|---|
| Mises à jour automatiques | Activer toutes les options |
| Fréquence de vérification | Quotidienne (par défaut) |
| Apps App Store | Mise à jour auto activée |
| Fichiers de données système | Mise à jour auto activée |
Mises à jour Linux
| Distribution | Commande de mise à jour |
|---|---|
| Ubuntu/Debian | sudo apt update && sudo apt upgrade |
| RHEL/CentOS | sudo yum update ou sudo dnf update |
| Fedora | sudo dnf update |
Options d'automatisation :
- Unattended-upgrades (Debian/Ubuntu)
- dnf-automatic (Fedora/RHEL)
- Jobs cron
- Gestion de configuration (Ansible, etc.)
Gérer les logiciels en fin de vie
Les logiciels non supportés ne reçoivent pas de patches de sécurité, ce qui crée un risque significatif.
Que faire
| Situation | Action |
|---|---|
| OS non supporté | Migrer immédiatement |
| Application non supportée | Remplacer par une alternative supportée |
| Pas d'alternative | Isoler le système, ajouter des contrôles compensatoires |
| Fonction business critique | Prioriser le projet de migration |
Préoccupations EOL courantes
Systèmes d'exploitation :
- Windows 7 a atteint sa fin de vie en janvier 2020
- Windows Server 2012 a atteint sa fin de vie en octobre 2023
- Les versions macOS ont typiquement environ 3 ans de support
- Anciennes distributions Linux
Applications :
- Anciennes versions d'Office
- Navigateurs obsolètes (IE, anciennes versions Firefox)
- Applications business legacy
- Outils tiers non supportés
Suivi et vérification
Métriques à surveiller
| Métrique | Cible |
|---|---|
| Conformité patches critiques (14 jours) | 100% |
| Conformité patches hauts (14 jours) | 100% |
| Conformité patches moyens (30 jours) | 95%+ |
| Instances logiciels fin de vie | 0 |
| Mises à jour automatiques activées | 100% où possible |
Méthodes de vérification
| Méthode | Fréquence |
|---|---|
| Scans de vulnérabilité | Hebdomadaire ou mensuel |
| Vérifications manuelles de version | Mensuel |
| Révision des logs de mise à jour | Hebdomadaire |
| Investigation des mises à jour échouées | À la détection |
Défis courants et solutions
| Défi | Solution |
|---|---|
| La mise à jour casse une application | Tester d'abord si possible, avoir un plan de rollback |
| Fenêtres de maintenance limitées | Planifier soigneusement, prioriser l'automatisation |
| Appareils distants/déconnectés | MDM, connexions planifiées quand sur le réseau |
| Systèmes legacy | Isolation, contrôles compensatoires |
| Limitations bande passante | WSUS, cache local, téléchargements planifiés |
| Résistance utilisateurs | Éducation, politique, automatisation |
Quand les mises à jour échouent
Actions immédiates :
- Investiguer la cause de l'échec
- Vérifier les logs système
- Réessayer la mise à jour
- Documenter le problème
Si la nouvelle tentative échoue :
- Rechercher l'erreur spécifique
- Consulter la base de connaissances fournisseur
- Appliquer le correctif manuel si disponible
- Ouvrir un ticket de support si nécessaire
Comment Bastion peut aider
Maintenir tout à jour de manière cohérente est un défi permanent, surtout à mesure que votre environnement grandit.
| Défi | Comment nous aidons |
|---|---|
| Inventaire logiciels | Nous aidons à découvrir et suivre ce que vous avez |
| Veille vulnérabilités | Nous surveillons les bulletins de sécurité pertinents |
| Vérification des patches | Nous vérifions que les patches sont appliqués avec succès |
| Identification EOL | Nous suivons les dates de cycle de vie des logiciels |
| Reporting | Nous fournissons une visibilité sur la conformité |
Travailler avec un partenaire de services managés signifie que vous ne comptez pas sur des processus ad-hoc ou n'espérez pas que les mises à jour automatiques fonctionnent. Nous apportons de la structure et de la supervision pour assurer que le patching se fait de manière cohérente et que rien ne passe entre les mailles du filet.
Besoin d'aide pour gérer vos mises à jour de sécurité ? Parlez à notre équipe