Gestion des mises a jour et correctifs — Sensibilisation Essentielle

Objectifs d'apprentissage

Concevoir une politique de patch management avec des delais selon la severite CVSS
Gerer les conflits entre disponibilite des systemes et urgence des correctifs
Utiliser les catalogues de vulnerabilites (CISA KEV, CVE) pour prioriser

Politique de patch management basee sur le risque

Une politique de patch management efficace definit des delais maximaux selon la severite : Critical (CVSS ≥ 9.0) : 72 heures, High (7.0-8.9) : 7 jours, Medium (4.0-6.9) : 30 jours, Low (< 4.0) : prochain cycle de maintenance. Ces delais s'appliquent a partir de la date de publication du correctif par le fabricant. Des exceptions documentees et approuvees par la direction peuvent s'appliquer quand l'application immediate est techniquement impossible.

🔔 À retenir : Le catalog CISA Known Exploited Vulnerabilities (KEV) liste les vulnerabilites activement exploitees en conditions reelles. Une vulnerabilite KEV, meme de severite Medium, doit etre traitee avec la meme urgence qu'un Critical.

Tester avant de deployer : l'equilibre risque/disponibilite

Deployer un correctif sans test peut casser des applications critiques (effect souvent surnomme 'Patch Tuesday, Break Wednesday'). L'approche en anneaux (ring deployment) : deployer d'abord sur un environnement de test, puis sur un sous-ensemble de postes pilotes, puis en production generalisee. Pour les correctifs critiques, le delai de test doit etre reduit au minimum vital. Pour les systemes OT/industriels, toujours tester en environnement de staging car un redemarrage peut avoir des consequences physiques.

⚠ Attention : Les systemes legacy (Windows Server 2008, Windows XP) ne recoivent plus de correctifs. Isoler ces systemes du reste du reseau ou les remplacer est la seule option securisee.

Inventaire et visibilite : savoir ce qu'il faut patcher

On ne peut pas patcher ce qu'on ne connait pas. Un inventaire des actifs (CMDB ou equivalent) liste tous les systemes, leurs versions logicielles, et leur niveau de criticite. Des outils de scan de vulnerabilites (Nessus, Qualys, OpenVAS) identifient les vulnerabilites presentes sur l'infrastructure. L'inventaire doit inclure les appareils personnels acces au reseau d'entreprise (BYOD) et les appareils IoT.

Checklist pratique

Une politique de patch management avec delais selon la severite CVSS est documentee

Un scan de vulnerabilites est realise au moins mensuellement sur l'infrastructure critique

Les systemes qui ne peuvent plus etre patches sont isoles et documentes avec un plan de remplacement

Votre progression est sauvegardée localement dans votre navigateur.

Points clés à retenir

CVSS Critical ≥ 9.0 = 72 heures maximum ; CISA KEV = meme urgence quel que soit le score
Ring deployment : tester avant de deployer pour eviter de casser la production
On ne peut pas patcher ce qu'on ne connait pas : l'inventaire des actifs est prerequis
Les systemes legacy non patchables doivent etre isoles, pas simplement ignores