Lors de discussions avec des responsables ou des techniciens informatiques sur l'intérêt de déployer des correctifs de sécurité, il m'est souvent arrivé d'entendre une phrase du genre: "j'ai un pare-feu, donc mes serveurs sont protégés!".
Et bien non! Outre le fait qu'un pare-feu possède lui aussi un système d'exploitation qui peut présenter des vulnérabilités, si un pare-feu est indispensable pour stopper les attaques réseaux, il est incapable de stopper les attaques applicatives (XSS, injection SQL, altération de paramètres, manipulation d'ID de session, DoS applicatifs...).
Aujourd'hui, de nombreux incidents de sécurité sont causés par l'exploitation des vulnérabilités présentes dans les applications. Les statistiques remontées par le CERT montrent une nette augmentation du nombre de vulnérabilités ces dernières années (171 en 1995 contre 7236 en 2007). Une des protections efficaces contre cette menace est le déploiement des correctifs de sécurité dans les applications.
Paradoxalement, la gestion des correctifs de sécurité n'est pas une priorité pour la plupart des entreprises. Ces dernières se contentent généralement d'installer ou d'activer des outils de déploiement automatisé des correctifs. Cependant, des machines restent bien souvent vulnérables suite à l'échec de l'installation des correctifs, ou au contraire, des machines deviennent instables suite au déploiement de correctifs non testés. Les entreprises se rendent alors vite compte que la confiance dans le déploiement des correctifs de sécurité nécessite un contrôle de ces déploiements par un processus adapté.
Le processus de gestion des correctifs de sécurité (Security Patch Management) est un composant crucial de la sécurité du système d'information d'une entreprise, et doit faire partie intégrante de la politique de sécurité interne. Il contribue au maintien du niveau de sécurité des systèmes et des applications en fonction des risques métiers, et permet une vision détaillée du niveau de sécurité du parc informatique à un instant donné.
Article écrit par Alexandre Lauga
Edit from the Orange Business team: Hervé left the Orange Group since he wrote his last posts.