> Tech > Gérer les correctifs de sécurité

Gérer les correctifs de sécurité

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Paul Niser - Mis en ligne le 11/03/2003
Les bogues logiciels font partie intégrante du développement et frappent tous les fournisseurs. Quelle que soit la qualité des développeurs, le nombre de bogues augmente proportionnellement à  la quantité de code. De ce fait, des utilisateurs malveillants trouvent un bon terrain pour leurs exploits dans des OS comme Windows.Un service informatique a beaucoup de mal à  se tenir au courant des correctifs Windows. Leur rythme est tel qu'on a l'impression d'une équipe de voierie bouchant sans cesse des nids de poules sur une portion d'autoroute très fréquentée. Pour protéger vos systèmes, il faut mettre au point une méthode de connaissance des vulnérabilités au fur et à  mesure qu'elles sont découvertes, déterminer si votre installation est menacée, évaluer le niveau de risque, décider quand il faut déployer les correctifs et selon quel plan.

Gérer les correctifs de sécurité

Face à  la fréquence des correctifs, il vous faut un moyen de suivre les derniers
« patches ». Les principaux médias
ne parlent que de ce qu’ils jugent
important ou croustillant – propagation
généralisée d’un nouveau virus,
par exemple. Mais l’information qui
vous aide à  protéger vos systèmes ne
fait pas vendre des journaux et n’attire
pas les sponsors des émissions télévisées,
et vous ne pouvez donc pas
compter sur les grands médias pour
vous tenir au courant.

Mais alors, vers qui se tourner ? Le
site Web Security Administrator de Windows & .NET Magazine (http://
www.secadministrator.com) est un
bon point de départ. Vous pouvez
consulter les sections Discoveries and
Hot News, mais aussi souscrire à  la
newsletter électronique Security UPDATE
gratuite et au e-mail Security
Alerts, lui aussi gratuit. Un autre site
Web pour apprendre des exploits de
sécurité est NTBugtraq de Russ
Cooper (http://www.ntbugtraq.com),
une liste de courrier ouverte pour présenter
les vulnérabilités reproductibles.
Vous pouvez figurer sur la liste
avec votre propre adresse e-mail ou
faire envoyer les bulletins à  un dossier
public Microsoft Exchange Server. L’un
de mes sites Web favoris sur les ressources
des vulnérabilités de sécurité
est le Windows Security Digest
(http://www.sans.org/newlook/digests/
ntdigest.htm) mensuel de SANS
Institute.

Autre bonne source : HotFix &
Security Bulletin Service (http://www.
microsoft.com/technet/security/cur
rent.asp) de Microsoft. Sur ce site Web,
vous pouvez rechercher les correctifs
par produit et par niveau de pack de
service. La plupart des Security Bulletins donnent des détails techniques,
une liste de questions fréquentes
(FAQ), un article Knowledge
Base de soutien, et l’URL associée au
patch. Microsoft a également établi le
MSRC (Microsoft Security Response
Center) et constitué un groupe interne
chargé de répondre aux problèmes liés
à  la sécurité. (Pour plus d’informations
sur le MSRC, voir l’encadré « Rôle de
Microsoft dans la sécurité ».)

Téléchargez cette ressource

Guide de cybersécurité en milieu sensible

Guide de cybersécurité en milieu sensible

Sur fond de vulnérabilités en tout genre, les établissements hospitaliers, pharmacies, laboratoires et autres structures de soin font face à des vagues incessantes de cyberattaques. L’objectif de ce livre blanc est de permettre aux responsables informatiques ainsi qu’à l’écosystème des sous-traitants et prestataires du secteur médical de se plonger dans un état de l’art de la cybersécurité des établissements de santé. Et de faire face à la menace.

Tech - Par iTPro.fr - Publié le 24 juin 2010