Gestion des correctifs.

La gestion des correctifs est le processus opérationnel qui consiste à prendre un correctif publié et à le déployer sur l'ensemble du parc, selon un SLA défini, avec vérification. C'est souvent le maillon faible : les correctifs d'urgence entrent en collision avec les fenêtres de changement, la compatibilité des éditeurs et les dépendances tierces. L'auditeur demande systématiquement le SLA, la liste des dérogations et les métriques.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

La vision de Cyber Academy

La gestion des correctifs est le processus opérationnel qui consiste à prendre un correctif publié et à le déployer sur l'ensemble du parc, selon un SLA défini, avec vérification. C'est souvent le maillon faible : les correctifs d'urgence entrent en collision avec les fenêtres de changement, la compatibilité des éditeurs et les dépendances tierces. L'auditeur demande systématiquement le SLA, la liste des dérogations et les métriques.

Du correctif publié au parc déployé

Le patch management est la discipline opérationnelle qui comble l'écart entre le moment où un éditeur publie un correctif et celui où ce correctif tourne réellement sur chaque machine concernée que vous possédez. Un correctif peut être une mise à jour de sécurité, une correction de bug ou une révision de firmware, et il peut s'appliquer aux systèmes d'exploitation, aux applications, aux hyperviseurs, aux équipements réseau, aux conteneurs ou aux automates industriels.

Le processus ne se résume que rarement à l'acte unique d'installer une mise à jour. Il s'agit de le faire à l'échelle, dans un ordre maîtrisé, sans casser les services qui dépendent des systèmes modifiés. C'est pourquoi les équipes matures le traitent comme un workflow défini plutôt que comme une réaction improvisée à chaque nouvel avis.

Un cycle viable comporte des étapes identifiables. Vous inventoriez le parc afin de savoir de quoi vous êtes responsable, vous intégrez et triez les avis pour déterminer quels correctifs vous concernent, vous testez dans un environnement représentatif, vous déployez via la gestion des changements selon un accord de niveau de service défini, et vous vérifiez que le correctif est présent et que le système fonctionne toujours. Chaque étape produit des preuves, et ce sont ces preuves qui transforment une intention optimiste en un contrôle auditable.

Pourquoi c'est si souvent le maillon faible

Sur le papier, le patch management paraît simple. En pratique, c'est là que de bons programmes de sécurité échouent en silence. La shortDefinition nomme les coupables habituels, et chacun constitue une véritable tension opérationnelle. Les correctifs d'urgence arrivent hors cycle et entrent en conflit avec les fenêtres de changement qui maintiennent la production stable, si bien que le correctif urgent attend derrière le calendrier.

La compatibilité éditeur signifie qu'un correctif pour un composant peut en casser un autre, ce qui explique précisément pourquoi les tests existent et pourquoi les tests demandent un temps dont vous ne disposez peut-être pas pendant un événement d'exploitation active. Les dépendances tierces et transitives dissimulent du code affecté à l'intérieur de produits que vous n'avez pas écrits : vous corrigez donc une bibliothèque pour découvrir qu'une douzaine d'applications embarquent encore la version vulnérable.

Le résultat est un arriéré de systèmes qui ne peuvent pas être corrigés immédiatement et un ensemble de choix sur les risques à assumer. C'est normal. Ce qui distingue un programme maîtrisé d'un programme exposé, c'est de savoir si ces choix sont délibérés, documentés et limités dans le temps, ou s'ils sont simplement des points dont personne ne s'est occupé. La couverture des actifs compte autant que la rapidité de correction : un serveur non corrigé dont vous aviez oublié l'existence est plus dangereux qu'un serveur connu que vous avez décidé de différer.

Patch management contre vulnerability management

Ces deux termes voyagent ensemble et sont souvent confondus, mais ils répondent à des questions différentes. Le vulnerability management consiste à savoir : découvrir les faiblesses dans tout le parc, les évaluer et les prioriser par le risque, puis décider quoi faire. Le patch management consiste à agir : c'est l'une des voies de remédiation qui ferme une vulnérabilité, aux côtés des changements de configuration, des mesures d'atténuation et du virtual patching. Toutes les vulnérabilités ne se corrigent pas par un correctif, et tout correctif ne ferme pas une vulnérabilité de sécurité, de sorte que les deux processus se recoupent sans être identiques.

Patch management vs vulnerability management
DimensionPatch managementVulnerability management
Question centraleLe correctif est-il déployé partout où il devrait l'être ?Quelles faiblesses avons-nous et lesquelles comptent le plus ?
Entrée principaleCorrectifs et mises à jour des éditeursAnalyses, avis, threat intelligence, contexte des actifs
Sortie principaleSystèmes corrigés et vérifiés selon un SLAUn arriéré de remédiation priorisé et hiérarchisé par le risque
PérimètreRemédiation par l'application de mises à jourDécouverte, évaluation, priorisation et supervision de la remédiation

Dans un programme sain, ils s'alimentent mutuellement. Le vulnerability management vous indique quels correctifs méritent de passer devant la file, et le patch management rapporte quels correctifs ont effectivement été livrés, de sorte que la prochaine analyse devrait revenir propre. Lorsqu'ils sont menés en silos séparés, les vulnérabilités sont triées dans des rapports qu'aucun processus de déploiement ne consomme.

Ce qu'un auditeur et un régulateur exigeront

Le patch management est l'un des contrôles opérationnels les plus directement examinés, car la preuve y est concrète. Il soutient des objectifs de contrôle dans le cadre d'un système de management de la sécurité de l'information ISO/IEC 27001, en particulier ceux couvrant les vulnérabilités techniques et la gestion des changements, et il sous-tend les attentes de configuration sécurisée et de maintenance intégrées à des référentiels tels que le NIST Cybersecurity Framework et à des ensembles de contrôles comme les CIS Controls. Des réglementations dont NIS2 et DORA supposent qu'une organisation peut démontrer une remédiation rapide des faiblesses connues, et le patch management est la manière dont cette démonstration est faite.

Les questions sont prévisibles, c'est pourquoi la shortDefinition les énumère. Attendez-vous à présenter la politique de correction et le SLA qui définit à quelle vitesse les différents niveaux de gravité doivent être déployés, la liste des exceptions avec justifications et responsables, et les métriques qui prouvent que le processus fonctionne : pourcentage d'actifs corrigés dans le SLA, délai moyen de correction, ancienneté de la plus vieille exception ouverte, et couverture de l'inventaire des actifs. Si vous pouvez les produire sans précipitation, votre programme est réel. Sinon, l'audit aura trouvé le maillon faible avant tout attaquant.

Frequently asked questions

01Quelle est la différence entre patch management et vulnerability management ?

Le vulnerability management consiste à découvrir, évaluer et prioriser les faiblesses dans tout votre parc. Le patch management consiste à déployer et vérifier les correctifs qui les ferment. La correction est une voie de remédiation au sein du vulnerability management, mais toute vulnérabilité ne se corrige pas par un correctif et tout correctif n'est pas un correctif de sécurité, de sorte que les deux se recoupent plutôt qu'ils ne sont identiques.

02Pourquoi le patch management est-il considéré comme un point faible ?

Parce que déployer des correctifs à l'échelle se heurte à la réalité opérationnelle. Les correctifs d'urgence entrent en conflit avec les fenêtres de changement, la compatibilité éditeur impose des tests qui prennent du temps, et les dépendances tierces dissimulent du code vulnérable à l'intérieur de produits que vous n'avez pas construits. Le résultat est un arriéré de systèmes différés, et la discipline réside dans le suivi délibéré de ces reports plutôt que de les laisser s'accumuler inaperçus.

03Que doit définir un SLA de patch management ?

Il doit fixer le temps maximal autorisé pour déployer un correctif, différencié par gravité, afin que les correctifs de sécurité critiques avancent plus vite que les mises à jour de routine. Un bon SLA couvre aussi ce qui entre dans le périmètre, qui détient les exceptions et comment la conformité est mesurée, de sorte que la performance puisse être rapportée comme une métrique.

04Quelles preuves les auditeurs attendent-ils pour le patch management ?

Généralement la politique de correction et le SLA, la liste des exceptions avec justifications métier et responsables, et les métriques qui montrent que le processus fonctionne. Les métriques courantes incluent le pourcentage d'actifs corrigés dans le SLA, le délai moyen de correction, l'ancienneté de la plus vieille exception ouverte, et la couverture par rapport à l'inventaire des actifs.

05Le patch management est-il exigé par ISO 27001, NIS2 ou DORA ?

Aucun ne nomme un outil spécifique, mais tous supposent une remédiation rapide des faiblesses connues. ISO/IEC 27001 couvre les vulnérabilités techniques et la gestion des changements, et des référentiels tels que le NIST CSF et les CIS Controls attendent des systèmes maintenus et configurés de manière sécurisée. Le patch management est la manière dont les organisations démontrent qu'elles répondent à ces attentes.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.