Page d'accueil Navigation Sommaire Contacts Sitemap Recherche

La ges­tion des cor­rec­tifs dans les PME

L’installation des mises à jour de sécu­rité est une mesure effi­cace pour cor­riger les vul­né­ra­bi­lités des sys­tèmes numé­riques com­plexes. Une bonne ges­tion des cor­rec­tifs permet leur déploie­ment à l’échelle de toute l’entreprise.

Prin­ci­pales infor­ma­tions à connaître :

  • Défi­nissez des plages horaires en dehors du temps de pro­duc­tion pour l’entretien des systèmes.
  • Les mises à jour de sécu­rité doivent pro­venir exclu­si­ve­ment de sources sûres.
  • Véri­fiez l’efficacité et les éven­tuels « effets secon­daires » des mises à jour avant de les ins­taller sur l’ensemble des sys­tèmes productifs.
  • Éta­blissez un plan pour le déploie­ment des mises à jour sur vos systèmes.
  • Assurez-vous de dis­poser tou­jours d'une sau­ve­garde actuelle et d’un plan B en cas de mau­vaise sur­prise lors de la mise à jour.
  • Docu­mentez les tra­vaux de main­te­nance effec­tués sur les dif­fé­rents systèmes.

Les mises à jour de sécurité

Les sys­tèmes infor­ma­tiques évo­luent à une vitesse folle : les fonc­tion­na­lités des appli­ca­tions ne cessent d’augmenter et les cycles de vie des logi­ciels et du maté­riel infor­ma­tique de rac­courcir. C’est pour cette raison que les fabri­cants s’efforcent de mettre rapi­de­ment leurs der­nières trou­vailles en cir­cu­la­tion à tra­vers le sys­tème des mises à jour.

Dans le cas des PME, il convient cepen­dant d’exercer une cer­taine pru­dence, dans la mesure où toutes les nou­veautés ne pour­ront pas for­cé­ment être appli­quées effi­ca­ce­ment sur les pro­cessus opé­ra­tion­nels. La seule excep­tion stricte concerne tou­te­fois les mises à jour de sécu­rité qui doivent pour le coup être ins­tal­lées dans les plus brefs délais.

Tout sys­tème com­plexe recèle des erreurs cachées ou des failles. Celles-ci res­tent la plu­part du temps inaper­çues et donc sans consé­quence. Une fois décou­vertes, elles se trans­forment en de véri­tables défaillances (que l’on appelle en lan­gage infor­ma­tique des vul­né­ra­bi­lités) et la course contre la montre com­mence avec les hackers d’une part, et les fabri­cants de l’autre.

Les pre­miers vont essayer de trouver le moyen d’exploiter ces failles pour leurs propres des­seins et mettre au point les fameux exploits. C’est ainsi qu’en cas de réus­site, ils par­viennent à pirater des sys­tèmes et des données.

Les fabri­cants tra­vaillent quant à eux à l’élaboration de mises à jour de sécu­rité ou de cor­rec­tifs visant à cor­riger les failles le plus vite pos­sible et de les publier avant que les hackers n’aient eu le temps d’exploiter leurs exploits, voire même de les mettre au point.

La ges­tion des correctifs

En règle géné­rale, les mises à jour de sécu­rité devraient être sys­té­ma­ti­que­ment ins­tal­lées et ce dans les délais les plus brefs. Mais ce qui est ordi­nai­re­ment facile à réa­liser sur un sys­tème privé auto­nome peut s’avérer plus com­pliqué dès lors qu'il s’agit de l’appliquer dans le contexte d’une PME, d’où la néces­sité de dis­poser d’une pro­cé­dure claire et struc­turée pour la ges­tion des correctifs.

Voici donc les dif­fé­rentes étapes à suivre pour l'installation des mises à jour de sécurité :

  • iden­ti­fier les sys­tèmes concernés et des mises à jour de sécu­rité adaptées
  • se pro­curer les mises à jour auprès d’une source fiable, notam­ment pour les sys­tèmes ne dis­po­sant pas d'un accès direct à Internet.
  • tester à l’avance l’efficacité et les éven­tuels « effets secon­daires » des mises à jour de sécu­rité sur des sys­tèmes non stratégiques.
  • dis­tri­buer les mises à jour en fonc­tion de la typo­logie des sys­tèmes et pla­ni­fi­ca­tion de leur ins­tal­la­tion en dehors du temps de travail.
  • pour les sys­tèmes stra­té­giques : pré­voir des solu­tions de rechange tem­po­raires et des alternatives.
  • docu­menter les modi­fi­ca­tions apportées.

Dans la mesure où il s’agit d’un pro­cessus qui se déroule en continu, il est recom­mandé de définir des plages horaires fixes et régu­lières pour les opé­ra­tions de main­te­nance des sys­tèmes. Les mises à jour de sécu­rité peuvent ainsi être col­lec­tées, véri­fiées et pré­pa­rées pen­dant une période de temps donnée, tandis que leur ins­tal­la­tion pourra être reportée à la pro­chaine fenêtre de temps disponible.

 

La ges­tion des cor­rec­tifs de sécu­rité consiste à se pro­curer, tester et ins­taller les mises à jour logi­cielles. L'objectif prin­cipal est de réparer les failles de sécu­rité pré­sentes au niveau du sys­tème d’exploitation et des applications.

Pour en savoir plus

Plu­sieurs fac­teurs concourent à iden­ti­fier les sys­tèmes concernés et les mises à jour de sécu­rité adap­tées. L’équipement infor­ma­tique (hard­ware) lui-même joue un rôle. Dans ce cas, il s’agit prin­ci­pa­le­ment d’actualiser le firm­ware (ou micro­lo­gi­ciel) intégré dans le maté­riel infor­ma­tique. Viennent ensuite le sys­tème d’exploitation et les appli­ca­tions ins­tal­lées sur le dis­po­sitif, pour les­quels il est néces­saire de véri­fier la dis­po­ni­bi­lité de nou­velles mises à jour.

Pour les sys­tèmes dotés d'une connexion directe à Internet, il existe des solu­tions auto­ma­ti­sées qui dressent régu­liè­re­ment un inven­taire du maté­riel et des logi­ciels, puis recherchent en ligne les mises à jour dis­po­nibles. Dans les PME, ces sys­tèmes devraient être tout au plus uti­lisés comme sup­port, l’installation non super­vi­sées des mises à jour étant en revanche for­te­ment décon­seillée. Un tech­ni­cien devrait d’ailleurs être tou­jours pré­sent pour contrôler le pro­cessus d’installation.

La récu­pé­ra­tion des mises à jour de sécu­rité peut éga­le­ment s’avérer un exer­cice délicat, car les mises à jour les plus faciles à trouver sur Internet ne sont pas for­cé­ment les bonnes. Dans ce cas, le risque est que ces pré­ten­dues mises à jour de sécu­rité véhi­culent en réa­lité l’exploit qu’elles sont cen­sées éviter pour l’introduire dans le sys­tème. Il convient donc, dans la mesure du pos­sible, de tou­jours faire réfé­rence aux canaux de dis­tri­bu­tion offi­ciels des fabricants.

Avant d'installer une mise à jour sur un sys­tème pro­ductif, voire stra­té­gique, il convient par ailleurs de s’assurer qu’elle est com­pa­tible avec le sys­tème en ques­tion et avec son envi­ron­ne­ment. Il s’agit idéa­le­ment de tester l’efficacité et la pré­sence éven­tuelle d’« effets secon­daires » dans un envi­ron­ne­ment isolé et non pro­ductif. Or ce type d’environnement est rare­ment dis­po­nible dans les PME.

Il est donc recom­mandé de pro­céder gra­duel­le­ment à l’installation des mises à jour de sécu­rité en com­men­çant par les sys­tèmes les moins essen­tiels à l’activité de l’entreprise. Ce n’est qu’après une cer­taine période d’observation donnée et quelques tests qu’elles pour­ront être ensuite déployées sur les autres systèmes.

Des plages horaires suf­fi­sam­ment larges devraient être réser­vées en dehors des périodes de pro­duc­tion pour l’installation des mises à jour, en par­ti­cu­lier pour les sys­tèmes stra­té­giques. Il convient éga­le­ment de pré­voir des scé­na­rios alter­na­tifs pas­sant notam­ment par des sau­ve­gardes ou autres solu­tions de rechange pour pou­voir réagir en cas d’échec de l’installation des mises à jour.

Les étapes du pro­cessus de mise à jour devraient par ailleurs être clai­re­ment expli­ci­tées dans un docu­ment. Un tel outil per­met­trait en effet de fournir des infor­ma­tions impor­tantes sur les causes du pro­blème dans le cas d'un dépan­nage successif.

Qu’aimeriez-vous savoir encore sur le thème de la sécurité en e-banking ?

Je sou­haite m'inscrire
à une formation :

For­ma­tion de base

Décou­vrez les prin­ci­pales menaces qui cir­culent sur Internet et apprenez à vous en pro­téger et à sécu­riser vos ses­sions d’e-banking.

en savoir plus

For­ma­tion en ligne Mobile Ban­king / Payment

Vous décou­vrirez le Mobile Ban­king et le Mobile Pay­ment, et appren­drez à uti­liser les appli­ca­tions cor­res­pon­dantes en toute sécurité.

en savoir plus

For­ma­tion en ligne pour les moins de 30 ans

Apprends à uti­liser ton smart­phone en toute sécu­rité ! Révise les bases et découvre tout ce qu’il faut savoir sur les réseaux sociaux, pla­te­formes cloud, le Mobile Ban­king et le Mobile Payment.

en savoir plus

For­ma­tion pour les PME

Votre entre­prise est-elle suf­fi­sam­ment pro­tégée ? Décou­vrez les mesures qui vous per­met­tront d’améliorer sen­si­ble­ment la sécu­rité infor­ma­tique dans votre entreprise.

en savoir plus