Le deuxième mardi de chaque mois depuis 2003, c’est le « Microsoft Patch Tuesday ». Depuis, Microsoft publie des mises à jour liées à la sécurité pour ces systèmes d’exploitation Windows (bureau et serveur), Office et les produits associés. Les mises à jour et les correctifs ne sont pas uniquement publiés à cette fréquence, car il existe parfois des mises à jour « Out-Of-Band (OOB) » pour les vulnérabilités activement exploitables de type Zero Day ou autres. Si vous validez, vous verrez que tous les administrateurs systèmes de moyennes et grandes entreprises connaissent très bien ces fameux « Microsoft Patch Tuesday ».
Les vulnérabilités
Chaque mise à jour de sécurité publiée par Microsoft est accompagnée d’un résumé publié par le Microsoft Security Response Center (MSRC). Elles sortent à peu près au même moment où les mises à jour sont publiées.
Souvent, vous verrez le numéro attribué aux vulnérabilités ainsi que leur degré d’exposition à cette vulnérabilité commune ou Common Vulnerabilities and Exposures (CVE) associée à la faille de sécurité. Ceci aide à déterminer leur niveau de criticité et d’impact qu’elle pourrait avoir.
Niveau de criticité
En passant, vous pouvez consulter la liste complète de tous les CVE, pour tous les systèmes et les applications confondus sur le site du Mitre. De plus, il existe une norme connexe pour classer la criticité d’un CVE. Le système de notation, Common Vulnerability Scoring System (CVSS), est un ensemble de normes ouvertes permettant d’attribuer un numéro à une vulnérabilité afin d’évaluer sa gravité. Les scores CVSS sont répertoriés dans les avis CVE. Les scores vont de 0,0 à 10,0 et les nombres les plus élevés représentent un degré de gravité plus élevé de la vulnérabilité.
Risques
Est-ce pressant? Ici, tout est une question de risque. Une évaluation des risques doit être considérée. Aujourd’hui, dans la très grande majorité des situations, le risque est plus grand de ne pas mettre à jour et voir que nos vulnérabilités soient exploitées que le risque qu’une mise à jour ait eu un impact négatif sur les systèmes. Alors on procède aux mises à jour promptement.
Il y a plusieurs stratégies de déploiement. Tous ont pour but de minimiser les risques associés aux vulnérabilités des systèmes. Pour les Petites et Très Petites Entreprises, lorsqu’elles ont plusieurs systèmes, il est suggéré de procéder rapidement par un premier groupe qui causerait le moins d’impact à l’entreprise et de procéder aux suivants aussitôt que nous ne constatons aucun impact aux fonctions d’affaires. Le tout dans une fenêtre de temps d’un mois au maximum, car la procédure reprend.
Dans les cas des mises à jour de sécurité qui sont très critiques, on procède immédiatement, car le risque de ne pas mettre à jour est trop grand.
Sachez qu’une vulnérabilité élevée non corrigée, offre un risque de compromettre un poste de travail ou serveur qui peut à son tour mettre en péril tout votre parc informatique.
Routine
Alors, on se doit d’avoir un plan pour vos routines structurée et rigoureuse pour faire le tour régulièrement des mises à jour pour tous les systèmes d’exploitation, des applications. N’oubliez pas les micrologiciels (Bios & Firmware update) des composants matériels.
C’est pour toutes ces raisons qu’il y a des gens qui s’occupent précisément d’orchestrer les mises à jour afin de conserver les systèmes en sécurité avec le moins de vulnérabilités possible.
Cloud
Ce n’est pas parce que c’est dans le Cloud de Microsoft Azure ou autres que nous sommes épargnés de cette activité.
Savoir que…
Pour les systèmes Windows, lorsque des mises à jour sont en partie ou en totalité installées, il est très souvent nécessaire de redémarrer le système afin d’assurer leur bon fonctionnement et interaction avec les autres composants de votre réseau. Sinon, dans certains cas, le système n’offre pas son rendement optimal. Voilà entre autres une raison pour laquelle lorsqu’on redémarre, tout va mieux.
Automatisation
Aujourd’hui, avec la main-d’œuvre qui est de plus en plus rare, on doit penser automatisation. Il y a de plus en plus de possibilités pour cela. De plus, l’automatisation permet une constance et donc une qualité d’exécution dans le processus de mise à jour. Cela évite les oublis. Donc on évite de laisser des vulnérabilités existantes pour les intrusions.
Conclusions
Vous aussi connaissez maintenant les « Microsoft Patch Tuesday ».
Les deuxièmes mardis de chaque mois, assurez-vous de faire vos mises à jour Windows. Connaissez vos systèmes les moins critiques jusqu’aux plus critiques. Ayez une stratégie de déploiement. Considérer les risques et les impactes. Ayez un plan pour vos routines de mises à jour. Cette activitée, comme plusieurs autres, vous permet d’améliorer votre posture de sécurité sur votre parc informatique et possiblement éviter une éventuelle catastrophe. Pensez automatiser, si nécessaire demandez l’aide de gens expérimentés pour bien vous structurer.
Pour plus d’information, n’hésitez pas à me contacter directement pour de l’accompagnement ou la mise en place de solutions plus avancées et adaptées à vos affaires.
Devenez vous aussi rapidement avisés, proactifs et Cybersécuritaire !
« Les bénéfices d’une prévention minimale en sécurité dépassent largement son investissement »
– Joel Dubois