mercredi 28 janvier 2015

Gestion des Patches/correctifs

Se basant sur les recommandation de la (US-CERT) Computer Emergency Readiness Team, notre partenaire en Sécurité des Systemes d’Information, et sur ceux du DHS(Department of Homeland Security), qui reconnaît que les Responsables des systèmes de contrôle devraient avoir un plan intégré qui identifie une approche séparée de la gestion des correctifs de leurs systèmes d’information. Ce articles identifie spécifiquement les questions et recommande des pratiques pour la gestion des patches/correctifs, afin de renforcer la sécurité globale de votre entreprise.

1. La phase en amont

En amont, plusieurs procédures doivent donc être mises en place :
1. le suivi des annonces et des mises a disponibilité de ces correctifs,

2. l’identification des correctifs nécessaires dans le contexte de l’entreprise,
3. la mise en œuvre d’un environnement de test ou de pré-production permettant de faire une installation “ a blanc ” pour les vérifications de dépendances entre les différents environnements, les tests de non-régression et de retour arrière afin de déterminer s’il n’y a pas d’effets de bord, la vérification de l’efficacité des correctifs,
4. le suivi du parc informatique afin de déterminer toutes les plates-formes
susceptibles d’être concernés en cas de non-application des correctifs,
6. Le circuit de décision.


La veille sécurité, qu’elle soit réalisée en interne ou qu’elle soit externalisée auprès des sociétés spécialisées depuis de nombreuses années, est donc primordiale.
Cette veille devra être régulière et même quotidienne, car il n’y a priori pas de lien entre les découvertes de vulnérabilités et les périodes de l’année. Un seul éditeur se distingue pour le moment dans sa politique de diffusion : Microsoft a maintenant décidé de publier ses avis de vulnerabilites tous les deuxièmes mardi de chaque mois et non plus au fil des découvertes ou des disponibilités de correctifs. En revanche, certaines mises à jour d’avis et de correctifs continuent à être diffuses des leur disponibilité.

Un premier élément d’organisation apparait donc : la planification de mises
a jour a certains périodes du mois avec un premier éditeur.


L’identification des plates-formes concernées
 Une fois l’information disponible, il s’agit de déterminer son niveau de pertinence dans son propre contexte opérationnel. Le contenu de certains avis étant parfois d’une lecture complexe, cette étape est plus complexe qu’on ne le croit. Il faut en effet connaitre les éventuels liens et imbrications des systèmes et des logiciels entre eux, et avoir une vision précise de tous les composants matériels et logiciels de l’environnement.

Une bonne connaissance de son parc informatique et un inventaire matériel et logiciel a jour permettra donc d’être plus efficace et d’extraire plus rapidement les plates-formes concernées.
Il convient de mener une analyse de risque et de définir des priorités dans les plates-formes en fonction de différents critères objectifs tels que leur niveau de criticité ou leur emplacement dans l’architecture ou les chaînes de production de l’entreprise. On pourra alors dédier du planning et de l’allocation optimale de ses ressources lorsqu’une grande campagne d’application de correctifs sera nécessaire.

Les tests
Il est alors temps d’aller rechercher les correctifs, d’en vérifier l’authenticité et l’intégrité, mais aussi de vérifier tous les pré-requis, tant en terme de plates-formes matérielles que logicielles, de système d’exploitation et de correctifs, mais aussi d’applicatifs ou de modules ou librairies.

Une fois le correctif obtenu et son intégrité vérifiée, il doit être valide techniquement
avec plusieurs objectifs :

1. vérification de son efficacité
2. vérification de sa complétude
3. vérification de son indépendance
4. vérification de son autonomie

La documentation des opérations réalisées est impérative. Il faut en effet tracer toutes les opérations réalisé et les journaliser. Parfois, l’application d’un correctif est conditionnée a ce que d’autres correctifs antérieurs soient eux-mêmes installes, d’ou l’importance de l’ordre dans lequel ils sont installes et la nécessité de tenir a jour un historique des opérations réalisées en complément de l’inventaire du parc logiciel. Il arrive parfois que l’on arrive à des situations de type“ Catch-22 ” ou “ de la poule et de l’œuf ” et l’appel au support technique de l’éditeur est alors nécessaire avec la fourniture du maximum de détails.

On pourra alors faire une dernière opération d’installation et de désinstallation, la valider et rédiger les procédures pour les personnes ayant en charge le déploiement.
L’utilisation de logiciels de télédistribution plus ou moins automatises ne change en rien le principe de vérification.


Le site pilote optionnel
Lorsque le temps et le contexte le permettent, un premier déploiement sur un site ou un environnement pilote peut être réalisé afin de mesurer les effets réels de l’application des correctifs sur des plates-formes opérationnelles.

L’analyse des risques et l’estimation des couts
La dernière étape avant la décision consiste à analyser les risques couverts et les risques résiduels, puis a estimer les couts induits. Il s’agit à ce titre d’évaluer :
1. les couts induits par le déploiement des correctifs,
2. les couts induits par le non-déploiement des correctifs,
3. les couts induits par une indisponibilité des plates-formes vulnérables
4. les couts estimes en cas d’exploitation de la vulnérabilité concernée,
5. les couts et impacts potentiels en cas de non-respect d’une directive métier ou d’une législation.

La prise de décision
 La prise de décision intervient lors d’une réunion de type “ go/no-go ” qui regroupe tous les décideurs, qu’ils soient informatiques ou métiers.

2. La mise en œuvre

Une fois les correctifs valides et la décision prise, le déploiement peut alors
commencer, dans le respect des procédures existantes et des contraintes d’exploitation.



Plusieurs cas se présentent de nouveau :
1. le déploiement maitrisé par l’entreprise avec des outils de télédistribution qui envoient des paquetages logiciels aux plate-forme dans les conditions et contextes définis et planifies par les responsables du déploiement,

2. le déploiement semi-maitrisé par l’entreprise avec les plates-formes cibles qui

viennent chercher leurs paquetages logiciels de façon asynchrone et indépendante,

3. le déploiement non maitrisé par l’entreprise avec les plates-formes qui vont chercher les correctifs lorsque l’utilisateur y pense (sic), valide la question qui lui est pos´e par sa plate-forme logicielle ou lance une application de vérification globale et de mise à jour.

Si les outils de télédistribution ou de diffusion peuvent se révéler d’une grande efficacité, il faut aussi penser aux systèmes nomades des utilisateurs qui sont souvent a l’extérieur de l’entreprise mais qui communiquent souvent avec elle : 
il s’agit des postes nomades de type PC portables qui ne se connectent que de façon épisodique aux réseaux de l’entreprise, se raccordent sur des réseaux partenaires...
Même s’il existe des solutions techniques permettant la réalisation de l’opération d’application des correctifs, il faut donc vérifier que tout le parc est couvert et de détecter ceux qui réussissent `a passer entre les mailles du filet.


3. La phase de suivi

En aval aussi, plusieurs procédures doivent êtres mises en place :
1. le suivi immédiate après applications pour lever les doutes au plus vite en cas d’apparition de dysfonctionnements,
2. le suivi des mises a jour pour les correctifs afin de pouvoir retirer ou redéployer les correctifs imparfaits déjà déployés,
3. la mise a jour de l’inventaire du parc informatique,
4. la communication des résultats obtenus auprès de la Direction Informatique
et des responsables internes de la Sécurité.

References:

1.http://www.us-cert.gov/control_systems/index.html. US-CERT CSSP homepage, containing information
2.on cyber threats, vulnerabilities, self-assessment tools, and recommended practices.
“Security Guidelines for the Petroleum Industry,” Third Edition, April 2005, copyright 2005, 
American Petroleum Institute. 
3. NIST (National institute of Standards and Technology) : Special Publication 800-
40 - “ Procedures for Handling Security Patches - Recommendations of the National
Institute of Standards and Technology ”, http://csrc.nist.gov/publications/
nistpubs/800-40/sp800-40.pdf
 4. J. Stamp, P. Campbell, J. DePoy, J. Dillinger, and W. Young, “Sustainable Security for Infrastructure 
SCADA,” White Paper, Sandia National Laboratory, viewed November 12, 2008 at 
http://www.tswg.gov/subgroups/ps/infrastructure-protection/documents/SustainableSecurity.pdf. 
5. “IT Governance—Practical Case using CobiT QuickStart,” Greet Volders, Journal On-Line, 
copyright 2005 by Information Systems Audit and Control Association Inc. ISCA Information 
System Control Association. 
6. “Utility Customer Concerns,” proprietary information—not for public dissemination. 
7. “Recommend Practice Case Study: Cross-Site Scripting,” February 2007, Homeland Security, 
National Cyber Security Division, Control Systems Security Program.
8.http://www.kb.cert.org/vuls/
9.. Kay A. Cornwell, (SysAdmin, Audit, Network, Security Institute) : “ Security
Essentials : Patch Management as a Necessary Part of Defense In Depth, A Case
Study ” , http://www.giac.org/practical/GSAE/Kay_Cornwell.pdf


Qui sommes nous ?
INNOVATIC SOLUTION, est un intégrateur de Solutions en Technologie des Systèmes de Communication et d’Information, dans la Gestion efficiente des Entreprises
Travaillant à la fois à l’échelle régionale et nationale avec les entreprises Partenaires, nous fournissons des services d'ingénierie et Conseils dans plusieurs projets, y compris le Développement et déploiement des applications métiers, en  Sélections de vendeur et implémentations des ERP, et en Création et Gestion des Procédures Opérationnelles (BPM),

Nous sommes des consultants techniques en infrastructures à large bande et des applications globales d'entreprise offrant  des produits et services tels que, les Câbles a haut débit, Mobile Services, Transmission vidéo et de Fibre Optique (FTTx).
En plus de fournir des services de conseil en gestion de services télécom et de systèmes d’Information et technologie, offrons des services Formations, de Suivi et Evaluation dans l’accompagnement de la maitrise total de nos produits et services.

Nous aidons les entreprises publiques et privées à évaluer et à innover leurs systèmes d’information et de communication, afin de maximiser leurs niveaux de service pour obtenir des avantages opérationnels et concurrentiels. En d'autres termes, nous allons vous aider à réaliser le plein potentiel de vos investissements dans les TICs pour un meilleur rendement opérationnel, et pour un impact économique important.

Élaboration et spécifications techniques des projets
Nous avons une gamme complète de services d'ingénierie. Ainsi depuis plusieurs années, nous avons établi des partenariats avec des équipementiers et des entreprises d’ingénieries réputées et fiables qui partagent notre engagement envers nos clients.

Suivi et Control des projets
Le travail de survie d'implémentation et de contrôle fait parti de notre engagement dans la gestion de projet.
Nous planifions, exécutons et finalisons les projets dans le strict respect des délais et budget. Cela comprendra l'acquisition de ressources et la coordination des efforts des membres de l'équipe et des sous-traitants ou des consultants, afin de livrer les projets conformément au plan. Nous veillerons aussi au respect des objectifs du projet et superviserons le contrôle de qualité de service, tout au long du cycle de vie du projet jusqu'à son point d’achèvement.
Peu importe la taille ou la portée de votre projet, nous proposerons une approche personnalisée pour s’assurer que vos besoins et vos objectifs techniques soient respectés.


Nos Expertises

Solutions IT/S

  • Développement & ; Maintenance des Applications
  • Software as a Service (SaaS)
  • Solutions Métier-ERP/Manuels de procédures (SOP-ISO 9001)
  • Dématérialisation, Numérisation & ; Archivage (Gestion Electronique des Documents)
  • Développement & ; Support Produits et Services
  • Développement Web
  • Conseil en TIC (sur Site / hors site)

Développement de projets Telecom
Déploiement de solution Wifi Hotspot(Zone Wifi)
Déploiement et installation Pylônes et Antennes Radio 2.4 Ghz/5Ghz
Câblage Informatique (cat 5/6)
Managed services (Audit et optimisation réseau/Data center /NOC/SCADA)
Solutions MPLS/IP/IPLC
Design, Implémentation, Intégration, Déploiement & Maintenance des infrastructures
Télécoms
Fourniture de ressources pour les projets Télécoms

Solution VoIP et SIP (en Cloud/en entreprise)

  • Plateforme Intégrée de communications unifiée (HD Voice, Video, Email, IM &amp
  • Présence, SMS, travail de groupe, Mobilité, Social Media, Collaboration, vidéoConférence)
  • DID (Direct International Dial)

Solutions FTTX/FTTH
Câble fibre optique
Equipements et accessoires FTTX/FTTH
Solution de Câblages par fibre optique
CATV & Systèmes de Surveillance (camera IP)


Fourniture d’Equipements IT & Telecom

  • Tableau interactif(Whiteboard) multimedia
  • Antenne Radio &Accessoires 2.4Ghz/5Ghz
  • Cisco routeurs
  • Modems
  • Firewalls
  • Serveurs
  • Câbles UTP
  • Equipements Informatique et Réseautique


Publié par à
Libellés :

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)