Maintenir à jour ses serveurs, c'est s'éviter une exposition accrue aux cyberattaques qui peut être d’autant plus coûteuse. A l’image des postes de travail, les serveurs sont devenus des cibles courantes car ils sont stratégiques pour une organisation. Lorsque le cybercriminel tente de causer des dommages à une entreprise, il va donc s’attaquer au serveur, le poste de travail n’étant qu’une porte d’entrée.
Toutefois, comment expliquer que ce sujet ait parfois été relégué au second plan ? Et surtout, quelles sont les étapes à suivre pour maintenir ses serveurs à jour ?
Architecture réseau, systèmes d’exploitation : une complexité multiforme
Avec la recrudescence des menaces cyber, les entreprises ont redécouvert que les systèmes d’exploitation devaient être gérés. Or, la mise à jour des serveurs est source de difficultés pour bon nombre d’organisations. En premier lieu, c’est la grande diversité des systèmes d’exploitation qui a amené de la complexité dans la gestion et le bon déroulement des campagnes de patching. En effet, ces dernières années, une multitude de versions de Linux s’est ajoutée à l’ensemble de la gamme des serveurs qui tournent sous Windows. Cette tendance s’explique notamment par des raisons budgétaires – limiter le nombre et le coût des licences – et pour remplacer des systèmes d’exploitation vieillissants ou nécessitant du hardware dédié comme AIX ou Solaris. Aujourd’hui, la multiplication du nombre d’outils de patching installés sur les différentes versions de Linux représente un vrai casse-tête pour les entreprises qui ont pendant longtemps peu ou pas patché leurs systèmes d’exploitation.
Largement oubliée dans l’évolution des architectures informatiques, la question de l’hétérogénéité des serveurs est également cruciale. On constate qu’il y a généralement autant de services installés que de serveurs dans une organisation. Dans ce contexte, il est nécessaire de vérifier que l’application de patching n’impactera pas les services qui tournent sur les serveurs de l’organisation.
Aussi, l’architecture réseau est une autre source de complexité. Par exemple, une multinationale mettra souvent en place des serveurs centraux dans des datacenters proches de son siège. Pour autant, pour des raisons légales, de temps de réponse et de praticité, l’entreprise va souvent recourir à de nombreux serveurs supplémentaires, installés un peu partout dans le monde. L’utilisation de cette architecture distribuée suppose toutefois d’être en capacité de pouvoir transférer des fichiers de mise à jour volumineux sur des réseaux à faible débit. Sans cela, les entreprises se verront obligées de recourir à une infrastructure importante et souvent très coûteuse.
A cela s’ajoute la volonté des entreprises de rendre leur système d’information hybride avec des serveurs situés sur des data centers infogérés, sur des clouds privés ou publics, sans oublier l’approche multicloud. Face à cette grande variété d’environnements, les entreprises doivent s’assurer de la cohérence de leurs écosystèmes cloud et infogérés. Pour aller plus loin encore, elles doivent se demander si leurs fournisseurs de services cloud ont les mêmes standards et le même niveau de patching qu’elles.
Enfin, si l’application des patchs représente en soi une problématique, il est encore plus important d’être en mesure de prouver que les mises à jour ont vraiment été appliquées. Pour cela, le reporting est crucial et il doit pouvoir être réalisé sur l’ensemble du parc informatique.
La visibilité et le reporting, notions clés d’une campagne de patching réussie
Les entreprises doivent s’assurer que les mises à jour sont faites au bon moment et sur la bonne partie du parc. Pour cette raison, il est nécessaire d’avoir une vue d’ensemble de son parc afin d’anticiper si la campagne de patching va bien se passer ou non. Cela commence par se poser des questions basiques : avez-vous assez d’espace disque ? Êtes-vous bien connecté au réseau ? Y a-t-il des erreurs apparues lors des campagnes précédentes et qui n’ont toujours pas été traitées ? La mise en place d’indicateurs pourrait alors permettre de suivre les campagnes passées et de mieux préparer les suivantes.
En fonction des périodes de maintenance et de la connaissance de leur système d’information, les entreprises doivent alors établir une organisation capable de successivement mettre à jour toutes les machines et les serveurs. Dans un premier temps, il faut envisager des tests dans un environnement pilote, puis sur un cercle restreint de serveurs avant de déployer cette organisation plus largement pour atteindre l’ensemble du parc ciblé.
Toutefois, les campagnes de patching ne s’arrêtent jamais et il est toujours nécessaire de mettre à jour ses serveurs. Laisser des systèmes non maintenus revient à s’exposer à des risques inutiles. C’est aussi nécessiter une intervention humaine qui peut faire exploser les coûts RH liés à l’activité de patching. En effet, le rattrapage de systèmes non maintenus sera bien plus coûteux que la mise en œuvre d’une campagne de patching récurrente.