L’installation des mises à jour de sécurité est une mesure efficace pour corriger les vulnérabilités des systèmes numériques complexes. Une bonne gestion des correctifs permet leur déploiement à l’échelle de toute l’entreprise.
Principales informations à connaître :
- Définissez des plages horaires en dehors du temps de production pour l’entretien des systèmes.
- Les mises à jour de sécurité doivent provenir exclusivement de sources sûres.
- Vérifiez l’efficacité et les éventuels « effets secondaires » des mises à jour avant de les installer sur l’ensemble des systèmes productifs.
- Établissez un plan pour le déploiement des mises à jour sur vos systèmes.
- Assurez-vous de disposer toujours d'une sauvegarde actuelle et d’un plan B en cas de mauvaise surprise lors de la mise à jour.
- Documentez les travaux de maintenance effectués sur les différents systèmes.
Les mises à jour de sécurité
Les systèmes informatiques évoluent à une vitesse folle : les fonctionnalités des applications ne cessent d’augmenter et les cycles de vie des logiciels et du matériel informatique de raccourcir. C’est pour cette raison que les fabricants s’efforcent de mettre rapidement leurs dernières trouvailles en circulation à travers le système des mises à jour.
Dans le cas des PME, il convient cependant d’exercer une certaine prudence, dans la mesure où toutes les nouveautés ne pourront pas forcément être appliquées efficacement sur les processus opérationnels. La seule exception stricte concerne toutefois les mises à jour de sécurité qui doivent pour le coup être installées dans les plus brefs délais.
Tout système complexe recèle des erreurs cachées ou des failles. Celles-ci restent la plupart du temps inaperçues et donc sans conséquence. Une fois découvertes, elles se transforment en de véritables défaillances (que l’on appelle en langage informatique des vulnérabilités) et la course contre la montre commence avec les hackers d’une part, et les fabricants de l’autre.
Les premiers vont essayer de trouver le moyen d’exploiter ces failles pour leurs propres desseins et mettre au point les fameux exploits. C’est ainsi qu’en cas de réussite, ils parviennent à pirater des systèmes et des données.
Les fabricants travaillent quant à eux à l’élaboration de mises à jour de sécurité ou de correctifs visant à corriger les failles le plus vite possible et de les publier avant que les hackers n’aient eu le temps d’exploiter leurs exploits, voire même de les mettre au point.
La gestion des correctifs
En règle générale, les mises à jour de sécurité devraient être systématiquement installées et ce dans les délais les plus brefs. Mais ce qui est ordinairement facile à réaliser sur un système privé autonome peut s’avérer plus compliqué dès lors qu'il s’agit de l’appliquer dans le contexte d’une PME, d’où la nécessité de disposer d’une procédure claire et structurée pour la gestion des correctifs.
Voici donc les différentes étapes à suivre pour l'installation des mises à jour de sécurité :
- identifier les systèmes concernés et des mises à jour de sécurité adaptées
- se procurer les mises à jour auprès d’une source fiable, notamment pour les systèmes ne disposant pas d'un accès direct à Internet.
- tester à l’avance l’efficacité et les éventuels « effets secondaires » des mises à jour de sécurité sur des systèmes non stratégiques.
- distribuer les mises à jour en fonction de la typologie des systèmes et planification de leur installation en dehors du temps de travail.
- pour les systèmes stratégiques : prévoir des solutions de rechange temporaires et des alternatives.
- documenter les modifications apportées.
Dans la mesure où il s’agit d’un processus qui se déroule en continu, il est recommandé de définir des plages horaires fixes et régulières pour les opérations de maintenance des systèmes. Les mises à jour de sécurité peuvent ainsi être collectées, vérifiées et préparées pendant une période de temps donnée, tandis que leur installation pourra être reportée à la prochaine fenêtre de temps disponible.