Patchs : Microsoft veut résoudre le casse-tête des responsables IT
McAfee révèle l'ampleur du flou dans lequel évoluent les responsables IT dans l'application de mises à jour. Alors que ses propres rustines provoquent l'ire des utilisateurs de produits HP et Siebel, Microsoft annonce une solution de gestion des patchs améliorée.
L'éditeur McAfee jette un pavé dans la marre en publiant une étude consacrée aux patchs et à l'usage qui en est fait en Europe. Le spécialiste de la sécurité dépeint une situation inquiétante dans laquelle un tiers des professionnels interrogés n'ont pas la moindre idée du nombre de mises à jour qu'ils ont installées dans leur société au cours des six derniers mois. Pour 58 % des participants à l'étude, le coût de déploiement des patchs reste une inconnue, et la moitié d'entre eux ne sait pas lesquelles de leurs applications doivent recevoir un additif en priorité.
McAfee a interrogé 600 décideurs IT à travers l'Europe - en Allemagne France, Italie Espagne, ainsi qu'aux Pays-Bas et au Royaume-Uni - dans plus de 250 entreprises. Parmi eux, plus du quart révèle que le déploiement d'un patch leur demande deux jours et plus de 20 % déclarent avoir besoin d'au moins une semaine.
Les chiffres sont encore pires en ce qui concerne le Royaume-Uni. Les responsables IT y sont ainsi 43 % à ne pas être en mesure d'indiquer le nombre de patchs qu'ils ont appliqués sur les six derniers mois et 59 % ignorent les coûts afférents.
Face à ce casse-tête, l'éditeur rappelle - de façon certes pas totalement désintéressée - la réalité des menaces : "5 198 vulnérabilités ont été détectées en 2005. Chacune de ces vulnérabilités ont le potentiel de cause le chaos dans le réseau d'une entreprise".Encore plus gênant : 48 % des sondés pensent que leur activité n'est jamais totalement protégée des vulnérabilités, même en présence d'applications ayant été mises à jour. A la source de cette impression, Cortina, société de services spécialisée dans le déploiement de solutions de sécurité, s'attarde sur deux éléments. Dans une rétrospective sur les vulnérabilités ayant affecté Oracle et la publication du dernier CPU, Cortina déplore l'avalanche de correctifs déferlant sur les responsables IT : "la difficulté consiste pour ces administrateurs, sous la pression du temps qui s'écoule, à sélectionner parmi ces dizaines de correctifs, ceux qui concernent l'environnement spécifique de l'entreprise, de déterminer des priorités, de tester ces patches avants de les appliquer, parfois en horaire décalé". Autre facteur permettant de comprendre pourquoi les administrateurs se sentent perdus, la rapidité avec laquelle les pirates parviennent à déceler les vulnérabilités. Selon Cortina, "à peine deux jours après le CPU d'octobre 2005, un malware exploitant l'une des 82 failles était déjà signalé"
Microsoft rend plus lisibles les mises à jour
C'est dans ce contexte, et sur fond de problèmes de compatibilité entre ses propres rustines, les périphériques HP et la solution de GRC de Siebel, que Microsoft s'apprête à lever le voile sur la prochaine version de Windows Server Update Services.
Prévu pour la première moitié de 2007, WSUS 3.0 devrait arborer une interface utilisateur plus dynamique basée sur le framework Microsoft Management Console (MMC). L'application permettra une utilisation simplifiée et se veut une alternative gratuite aux produits Systems Managements Server (SMS). Elle sera présentée le 27 avril.
La nouvelle interface MMC offrira aux consommateurs une meilleure vision de la façon dont sont appliquées les mises à jour et permettra de rapatrier des rapports d'installation de plusieurs serveurs vers un serveur central. La version 3.0 introduira en outre le principe de "nested traget groups" - que l'on peut traduire par cibles imbriquées - autorisant de déterminer une politique de mises à jour pour un groupe d'ordinateurs déterminé, des serveurs par exemple, et d'affiner ensuite la stratégie de déploiement à l'intérieur des dits groupes.
Une version bêta 2 devrait sortir au second semestre 2006, période à laquelle devrait voir le jour le service pack pour WSUS 2.0 qui inclura notamment la prise en charge de Vista.
En annonçant WSUS, Microsoft cherche à rassurer ses utilisateurs les plus désireux de mieux contrôler les mises à jour de leurs applications qu'avec les seuls services automatiques fournis avec Windows et qui ne veulent pas payer pour Ms SMS.