Gestion de correctifs : automatiser les mises à jour
Les outils de gestion de correctifs sont indispensables pour gérer un parc important de machines et pour colmater à temps les failles éventuelles.
01net.
le 05/06/06 à 07h00
Entre 2004 et 2005, le nombre de failles de sécurité a augmenté de près de 40 % selon le Cert (United States Computer Emergency Readiness Team). Rien que l'année dernière, 5 198 failles ont été répertoriées, dont 812 pour
Windows (hors logiciels), 2 328 pour les systèmes Unix et Linux, et encore 2 058 supplémentaires ayant un impact sur plusieurs OS. Ce triste record s'accompagne d'une exploitation de plus en plus rapide des failles.
' Il y a encore quelques années, les entreprises disposaient de plusieurs semaines avant que les pirates ne tirent parti d'une vulnérabilité. Maintenant, il arrive que les attaques arrivent le jour même de la
découverte ', constate Olivier Caleff, consultant sécurité senior chez Devoteam Consulting.
Comme tous les ordinateurs d'une entreprise sont généralement reliés en réseau, seule une application rapide et maîtrisée des correctifs sur l'ensemble du parc permet de le protéger. Malheureusement, il existe autant de correctifs que
de failles de sécurité, et très peu d'entreprises disposent des compétences et de temps poursuivre le rythme infernal de ces mises à jour. L'hétérogénéité des parcs impose en effet de disposer d'un inventaire à jour pour déterminer quelle machine
' patcher ' et de tester les correctifs, avant leur déploiement, sur de nombreuses configurations pour vérifier leur compatibilité, y compris avec des développements maison.
Les tâches à effectuer pour déployer un correctif sont encore nombreuses. Trop d'ailleurs : il n'est plus possible de réaliser toutes ces actions manuellement. C'est pourquoi, les outils de gestion de correctifs (Patch
Management) sont devenus incontournables. ' C'est la seule garantie de disposer en permanence d'un parc sécurisé et stable ', estime Gilles Hernando, chef de projet systèmes et réseaux chez Eutelsat.
Équipée de LANDesk Patch Manager, l'entreprise a déjà déployé plus de 50 correctifs entre décembre 2005 et avril 2006. En moyenne, les entreprises que nous avons interrogées appliquent de 50 à 400 correctifs par an.
L'utilisation : automatiser le colmatage
Ces outils permettent de tenir le rythme en limitant le risque d'erreurs car ils automatisent les principales étapes du processus de correction : centralisation des alertes émises par les éditeurs et les organismes de sécurité,
inventaire des failles, récupération des correctifs auprès des éditeurs, puis déploiement et installation à distance sur chaque machine. Les entreprises s'équipent généralement quand elles doivent gérer un parc très important et hétérogène.
' Avant, nous réalisions les mises à jour de nos serveurs à la main ', explique Manuel Cuesta, chef de projet sécurité de l'information, chez DHL Express. ' C'est l'augmentation
du nombre de serveurs à gérer suite à une fusion qui nous a poussés à nous équiper ', détaille-t-il.
D'autres entreprises recourent à ces outils pour éviter les erreurs de manipulation. ' On ne devrait pas laisser les utilisateurs mettre à jour leur machine ', explique Pierre Poggi,
directeur marketing Europe du Sud de LANDesk. ' L'installation d'un correctif incompatible peut avoir des effets bien plus négatifs qu'une faille de sécurité mineure ', constate-t-il.
Certains outils se distinguent par des fonctionnalités spécifiques. ' Nous utilisons Update Expert de St. Bernard Software, car il intègre une fonction de test des correctifs avant leur application. Cela permet
de déterminer les incompatibilités éventuelles avant le déploiement ', illustre Franck Roméra, responsable informatique chez demathieu & bard, une entreprise de BTP qui met à jour 450 postes de travail et
30 serveurs grâce à cet outil. Eutelsat (700 PC, 40 serveurs) et TNS Sofres (75 PC, 50 serveurs) ont préféré LANDesk Patch Manager qui s'intègre à leur outil de gestion de parc du même éditeur. Ils peuvent ainsi déployer
leurs propres correctifs sur leurs logiciels maison en utilisant un seul outil et n'ont pas à maintenir deux inventaires.
DHL Express s'est tourné vers HfNetCheckPro de Shavlik pour mettre à jour ses 260 serveurs. ' Cet outil intègre des fonctions d'identification très fines des failles. De plus, notre parc comprend encore des
machines avec Windows NT 4.0 Server qui ne sont pas prises en charge par les outils de mise à jour de Microsoft ', indique Manuel Cuesta, chez DHL Express.
Pour les PME qui possèdent un parc plus restreint et peu de compétences techniques en interne, certains éditeurs tels Staff&Line, Isilog, WebEx ou PS'Soft, proposent des outils hébergés à des prix attractifs : à partir de
20 euros ht par an et par machine.
La mise en ?"uvre : des agents optionnels
Il ne faut que quelques semaines pour déployer un outil de gestion de correctifs. Ce dernier se compose d'un serveur qui centralise la réception des alertes et des correctifs des éditeurs et les règles de déploiement. Il est parfois
accompagné d'un agent installé sur chaque poste de travail et chaque serveur. Bien qu'il ne soit pas obligatoire, l'agent permet d'organiser ' une remontée automatique de l'état de chaque machine pour disposer d'un inventaire
qui soit en permanence à jour ', explique Franck Roméra, chez demathieu & bard.
C'est surtout le déploiement de ces agents qui prend du temps car il faut parfois patcher certaines machines ' à la main '. Malgré un paramétrage restrictif (arrêt des services
' explorateur d'ordinateur ' et ' serveur ' avec Windows) de ses postes utilisateurs, Eutelsat n'a pas rencontré de difficulté particulière pour mener à
bien cette opération. ' 70 % des agents ont été déployés via un script de connexion que l'on crée en quelques minutes, 20 % via le module de gestion des postes non gérés de LANDesk. Les 10 % de PC restants ont
nécessité une intervention manuelle ', illustre Gilles Hernando.
Le recours aux agents n'est cependant pas magique. ' Avec ou sans agent, des scans réguliers et complets du parc sont indispensables. Lorsque de nouvelles machines sont installées, ou d'anciennes remplacées,
voire retirées, les procédures ne sont malheureusement pas toujours respectées, et la base de références risque fort de contenir des erreurs ', avertit Olivier Caleff.
Le coût complet du déploiement (licence, matériel et services) oscille entre 20 et 60 euros ht par poste la première année, selon l'hétérogénéité du parc et la topologie du réseau associée. Comme les outils ne sont pas très
compliqués à utiliser, la moitié seulement des entreprises font appel à un prestataire. La plupart du temps, c'est davantage pour paramétrer le serveur et mettre au point une stratégie de mise à jour que pour installer le logiciel.
Les ressources : une semaine par mois
La mise à jour régulière de quelques dizaines de serveurs et de plusieurs centaines de postes nécessite environ cinq jours/homme par mois pour un volume moyen de 50 à 200 correctifs par an. Les gains de temps dégagés par les
outils sont donc particulièrement importants par rapport à une mise à jour manuelle.
Pour que les actions puissent être automatisées en toute sécurité, ' il faut commencer par cartographier et assainir tout le parc ', conseille Patrick Christ, qui dirige Infradis, un
prestataire qui infogère le déploiement de correctifs pour le compte de PME. ' Nous avons déjà eu des problèmes avec des postes clients sur lesquels plusieurs versions de couches d'accès aux données étaient installées. Dans ce
cas, il est impossible de mettre à jour le poste en toute sérénité. Il faut donc commencer par identifier, puis solutionner les problèmes existants, dépendances, coexistence de plusieurs versions d'un même logiciel, etc., poste par
poste ', détaille-t-il.
Même si le logiciel peut déclencher seul des mises à jour, la grande majorité des entreprises préfère gérer le déploiement manuellement, histoire de vérifier la compatibilité des correctifs avant de les disséminer sur leur parc.
' Bien qu'il y ait un système de " rollback " censé désinstaller un correctif qui poserait problème, il ne faut pas lui faire aveuglément confiance. Dans certains cas, cela ne fonctionne pas. Il est
impératif de tester aussi le retour ar rière ', prévient Olivier Caleff. Le logiciel de gestion de correctifs se contente alors de télécharger les patchs en fonction de l'état du parc et de proposer une liste d'actions à
l'administrateur qui choisira unitairement les correctifs à déployer.
' Dans le cadre de la télédistribution de logiciels, nous créons notre propre package de déploiement, de préférence sous la forme de MSI, puis le testons sur un poste. Si ce test est positif, nous répétons le
test sur une dizaine de postes représentatifs, et s'il est concluant, nous étendons alors le déploiement à l'ensemble du parc ', illustre Frédéric Lebon, responsable systèmes et réseaux au département informatique de TNS
Sofres. Ces tâches quotidiennes ne demandent pas d'expertise particulière. ' Il suffit d'être administrateur système et de bénéficier d'un transfert de compétence de quelques jours sur l'outil. C'est l'option que nous avons
retenue auprès de notre prestataire Dynetcom ', résume Frédéric Lebon.
Les écueils : Windows et les PDA
La plupart des outils ne prennent pas en compte les périphériques mobiles, qui sont pourtant de plus en plus souvent connectés au réseau d'entreprise. Mais cette lacune ne gêne pas pour l'instant les entreprises qui ont déjà fort à
faire avec les serveurs et les postes de travail. Les PC portables sont, en revanche, bien pris en compte. ' Nous les mettons à jour lorsqu'ils se connectent au réseau local de l'entreprise ', indique
Gilles Hernando d'Eutelsat. En revanche, les outils de mise à jour de Microsoft posent des problèmes. ' Auparavant, nous utilisions Windows Update et nous n'en étions pas contents. Nous ne maîtrisions pas complètement les
déploiements et nous n'avions aucune certitude que les cor rectifs n'allaient pas poser plus de problèmes qu'ils allaient en résoudre ', indique Gilles Hernando.
Enfin, certains administrateurs sont parfois réticents à utiliser les outils de reporting qu'ils perçoivent comme des outils de flicage. ' Pour contourner la résistance au changement, nous nous sommes organisés
en mode projet et nous faisons des réunions de travail de groupe ', indique Manuel Cuesta de DHL Express.
Les gains : un SI stable
Grâce à ces outils, les entreprises parviennent à réduire sensiblement la charge d'administration de leur parc et, bien entendu, à augmenter aussi son niveau de sécurité. ' Nous apprécions surtout l'homogénéité
des postes en termes de configuration et de niveau de sécurisation des systèmes d'exploitation. Cela facilite leur maintenance ', synthétise Gilles Hernando d'Eutelsat. Grâce à la centralisation de la gestion des correctifs,
l'automatisation des tests et des mises à jour, les économies de temps sont importantes. Quant aux autres bénéfices, à savoir une meilleure disponibilité des postes et des serveurs, ils sont plus difficiles à chiffrer.
' Combien coûte la corruption ou l'arrêt d'un serveur critique utilisé par des centaines d'utilisateurs ? ', s'interroge, à haute voix, Olivier Caleff.
Comment ça marche ?
1 - Une gestion centralisée
Les outils de gestion de correctifs collectent l'ensemble des patchs, hotfixes et autres rustines, auprès des serveurs de mises à jour des éditeurs. Ils les centralisent dans une base de données locale afin de fiabiliser et
d'accélérer le déploiement. Certains peuvent même utiliser les agents installés sur les postes clients et les serveurs pour transférer les correctifs en tâche de fond avant de les installer.
2 - Une meilleure réactivité
À chaque fois qu'un éditeur émet une alerte, celle-ci est centralisée dans la console d'administration et présentée aux administrateurs en fonction de sa criticité. L'outil de gestion de correctifs vérifie également que l'alerte
concerne bien l'entreprise en cherchant d'abord la présence de la faille dans l'inventaire du parc. L'automatisation des tests, du packaging des correctifs et de leur déploiement permet d'économiser beaucoup de temps.
3 - Pas d'incompatibilité
La plupart des outils proposent un système de test des correctifs sur des machines pilotes. Certains d'entre eux vont même jusqu'à calculer les dépendances entre les différents correctifs et permettent de réaliser des tests de
non-régression afin de s'assurer que le colmatage d'une faille n'entraînera pas plus de déboires que la faille elle-même.
4 - Des agents controversés
Le débat fait rage entre les éditeurs. Certains jugent les agents indispensables pour fiabiliser la gestion des correctifs. D'autres s'en passent très bien. Le déploiement de ces agents ne peut rarement être totalement automatisé.
Mais il n'a lieu qu'une seule fois et permet d'automatiser encore plus l'inventaire du parc et l'installation des correctifs.
Les principales solutions de gestion de correctifs
* (pour 100 postes de travail ou serveurs, incluant une année de maintenance).
retour d'expérience : Patrick Christ (Infradis) : ' Le test des correctifs se révèle indispensable '
Directeur général d'Infradis, société de gestion à distance d'infrastructures.
Infradis administre à distance la gestion de correctifs Windows pour le compte de PME. ' Nous sommes exactement dans la situation d'une entreprise possédant plusieurs filiales et qui doit gérer un parc
hétérogène de 60 serveurs et 1400 postes clients ', explique Patrick Christ, directeur général d'Infradis. Pour construire son infrastructure, ce prestataire a préféré WinReporter et RemoteExec d'IS Decisions aux
outils asynchrones de Microsoft. ' Cela nous permet de réaliser des inventaires, des audits et le déploiement en mode synchrone. Il faut compter environ 10 minutes pour 80 machines ', précise
Patrick Christ.
L'entreprise a préféré cette architecture pour ne pas avoir à installer d'agent sur chaque poste. ' Les agents permettent surtout d'automatiser les mises à jour. Or, il est indispensable d'effectuer des
tests manuels de compatibilité et de non-régression avant l'installation d'un correctif ', explique-t-il. Infradis se connecte à l'OS de ses clients par un RPV, car ' autoriser un flux HTTP entrant à
travers un coupe-feu n'est pas une solution sûre pour déployer des correctifs. Il ne faut pas oublier qu'un correctif remplace des bibliothèques de fonctions qui constituent le c?"ur de l'OS ', rappelle Patrick Christ.
Infradis
retour d'expérience : Gilles Hernando (Eutelsat) : ' Le complément naturel de notre gestion de parc '
Chef de projet systèmes et réseaux pour Eutelsat, opérateur satellite.
' Nous possédions ZENworks Desktop de Novell qui nous donnait toute satisfaction. Mais, en 2005, nous avons migré vers Windows et il a fallu par conséquent trouver un autre outil ',
explique Gilles Hernando, chef de projet systèmes et réseaux. L'entreprise a d'abord tenté d'utiliser l'outil de Microsoft ?" Windows Update Services ?" mais sans succès. ' Nous ne maîtrisions pas les
déploiements et il était difficile d'être sûrs que les correctifs n'allaient pas poser plus de problèmes qu'ils allaient en résoudre ', explique-t-il.
Après plusieurs études, Eutelsat choisit le module Add-On Patch Manager qui s'insérait dans le logiciel de gestion de parc LANDesk Management Suite dont l'entreprise était déjà équipée. Détails de la facture :
4 770 euros de licence (pour 530 machines), et 13 500 euros de prestations (migration, maquette, etc.) opérés par le prestataire Le Permis Informatique. L'entreprise peut ainsi utiliser le même outil pour l'inventaire et le
suivi de son parc, la télédistribution de correctifs et la mise à jour d'applications, et la prise de contrôle à distance.
Même si les problématiques sont légèrement différentes, ' cela nous permet de centraliser l'ensemble de la gestion de notre parc dans un seul outil, explique Gilles Hernando. De plus,
Patch Management propose des fonctionnalités très intéressantes comme le test en interne des correctifs qui permet de déployer seulement les correctifs voulus et testés ', conclut-il.
Eutelsat
avis d'intégrateur : Olivier Caleff (Devoteam Consulting) : ' On se rapproche des contraintes propres aux antivirus '
Consultant sécurité senior pour Devoteam Consulting, groupe de conseil et d'ingénierie informatique.
Les outils de mise à jour livrés avec Windows sont-ils suffisants ?
Windows Update est adapté pour les PME qui disposent d'un petit parc de PC homogènes. En revanche, cet outil est limité aux mises à jour de Microsoft. Dès qu'une entreprise utilise des applications spécifiques, elle doit absolument
vérifier la compatibilité des correctifs avant de les déployer.
Quel est l'intérêt des outils spécialisés ?
On se rapproche peu à peu des exigences liées aux antivirus. L'outillage, la réactivité et la fiabilité deviennent des critères prépondérants. Les outils de prise en main à distance et d'inventaire limitent les tâches manuelles, ce
qui est indispensable pour accélérer le déploiement d'un correctif critique.
Sur quels critères choisir un outil ?
La fiabilité est un critère important. Il est délicat de désinstaller un correctif, surtout à distance. Le mécanisme de déploiement doit être bien rôdé. La réactivité de l'éditeur à prendre en compte les nouveaux correctifs est
critique puisque les ' exploits ' apparaissent quelques heures seulement après la découverte des failles.
Faut-il appliquer les correctifs systématiquement ?
Cela dépend du contexte. Si l'on n'a pas le temps de tester la compatibilité du correctif, mieux vaut s'abstenir de ' patcher '. Tout dépend de la gravité de la faille et du rôle du
poste ou du serveur, de sa criticité et de son degré d'exposition : vaut-il mieux un PC sécurisé mais inutilisable qu'un PC non sécurisé mais qui fonctionne et dont on connaît les vulnérabilités ?
Devoteam Consulting
nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
