Sécurité des systèmes Linux : le patch management
Suite à la mise en place du RGPD, les CNIL européennes commencent à infliger des amendes records aux entreprises dont les données personnelles des clients ont été compromises. Il est donc devenu important, voire primordiale de mettre en place une gestion du déploiement des correctifs pour améliorer la sécurité des systèmes, tel que le permet le patch management.
Qu’est-ce qu’un patch ?
En développement, un patch est un fichier contenant les modifications à apporter au code source d’un programme. En administration système, un patch est une nouvelle version d’un programme à installer sur les serveurs. Il existe trois types de patchs : les correctifs de sécurité, les correctifs de bug et les évolutions (ajout de fonctionnalités). Et bien souvent, une mise à jour peut comporter les trois à la fois,du fait du développement continu des logiciels libres.
Pour limiter les risques que représente toute nouvelle fonctionnalité, les éditeurs ont créé des distributions Linux à support étendu (LTS: Long Terme Support). Dans ces distributions, le périmètre fonctionnel est globalement garanti sur toute la durée du support , qui peut aller jusqu’à 10 ans.
Ainsi les numéros de version des composants n’évoluent pas. Les correctifs qui sortent sur des versions plus récentes sont transposés sur ces versions-là, pour garantir la sécurité sans changer de version.
Qu’est-ce que le « patch management » ?
Installer des correctifs sur un serveur est très simple. Il suffit de se connecter et de lancer une commande pour que les mises à jour soient installées. Ensuite, il faut redémarrer le serveur et vérifier que tout fonctionne bien. Mais dès qu’il y a plusieurs serveurs avec des applications, des données et des utilisateurs connectés, cela devient beaucoup plus compliqué de les maintenir à jour.
Outre l’automatisation impérative, le déploiement de ces correctifs sur tout un système d’information peut entrainer des dysfonctionnements des applications ou des serveurs eux-mêmes. Il est donc nécessaire de vérifier que les correctifs n’amènent pas de problème,avant de les déployer sur l’ensemble des serveurs. Il faut donc définir une stratégie pour organiser les tests de validation des correctifs et leur déploiement sur le système d’information.
Comment le mettre en place ?
Chaque serveur est configuré par défaut pour récupérer ses correctifs depuis internet. Mais si plusieurs serveurs se mettent à jour au même moment, cela peut saturer la connexion internet. Et si ce n’est pas au même moment, il n’y a aucune garanties que ce soient les mêmes correctifs sur l’ensemble du système d’information. Il faut donc un serveur central de dépôts, qui téléchargera les correctifs depuis internet et les mettra à disposition des serveurs.
Il faut également définir des groupes de serveurs sur lesquels les correctifs seront installés successivement. Cela permet, d’une part, de contrôler que l’opération se passe bien sûr chaque groupe. Et d’autre part que tous les serveurs ne se mettent à jour en même temps, car cela pourrait rendre toute la production indisponible.
Il ne reste plus qu’à définir les cycles de vie des correctifs, c’est-à-dire les groupes et les fenêtres de déploiement, pour compléter ce patch management.
Conclusion
La cybercriminalité ne cesse de se développer et de se spécialiser. Le patch management n’est pas la solution miracle, mais permet de limiter fortement les vulnérabilités de votre système d’information.Des outils de gestion des correctifs libres (comme The Foreman) ou propriétaires (comme Red Hat Satellite) peuvent vous aider à protéger vos Systèmes.
Les experts Syloé peuvent vous aider à mettre en place ces outils et à définir des stratégies de déploiement des correctifs adaptées à vos besoins et vos contraintes. N’hésitez pas à nous contacter.