1. Qu'est-ce que la conformité de la gestion des correctifs ?

2. Pourquoi la conformité de la gestion des correctifs est-elle importante ?

3. Atteindre les objectifs de conformité en matière de gestion des correctifs à l'aide d'outils logiciels

4. Blogs

5. Ressources complémentaires

Qu'est-ce que la conformité de la gestion des correctifs?

La gestion des correctifs consiste à analyser les ordinateurs, les appareils mobiles ou d'autres machines d'un réseau pour détecter les mises à jour logicielles manquantes, appelées "correctifs", et à résoudre le problème en déployant ces correctifs dès qu'ils sont disponibles. Les correctifs sont un type de code qui est inséré (ou patché) dans le code d'un programme logiciel existant.

La non-installation des correctifs pouvant entraîner de graves failles de sécurité, de nombreuses agences gouvernementales et associations professionnelles ont rendu obligatoire la conformité de la gestion des correctifs.

Les institutions gouvernementales, les services de santé et les secteurs financiers ont tendance à avoir les exigences les plus strictes en matière de conformité réglementaire. Cependant, les organisations dans divers domaines doivent se conformer aux réglementations gouvernementales, aux accords de niveau de service (SLA), aux mandats des associations industrielles et aux politiques de l'entreprise.

Parmi les agences réglementaires et les lois les plus importantes exigeant une certaine forme de conformité réglementaire en matière de sécurité de la gestion des correctifs, citons :

• Payment Card Industry Data Security Standard (PCI DSS)

• Health Insurance Portability and Accountability Act (HIPAA)

• National Institute of Standards and Technology (NIST)

• European Union General Data Protection Regulation (GDPR)

• Federal Financial Institutions Examination Council (FFIEC)

• Gramm-Leach-Bliley (GLBA)

• Sarbanes-Oxley (SOX)

• Family Educational Rights and Privacy Act (FERPA)

Nombre de ces agences exigent la mise en œuvre d'un processus de gestion des correctifs régulier et entièrement documenté, décrivant les procédures étape par étape. Les organisations doivent être en mesure de prouver qu'elles se conforment en permanence à la réglementation et réussir les audits périodiques. Le fait de ne pas mettre en œuvre les mesures de conformité en matière de gestion des correctifs peut entraîner des sanctions juridiques pour une organisation. Par exemple, le GDPR de l'Union européenne a le pouvoir d'infliger aux organisations non conformes une amende pouvant aller jusqu'à 20 millions d'euros (environ 22 millions de dollars américains) ou 4 % de leur chiffre d'affaires annuel mondial.

De plus en plus d'États, de nations et d'organismes internationaux adoptent des lois qui imposent la protection de la vie privée et d'autres exigences aux organisations relevant de leur juridiction. Aux États-Unis, ces lois peuvent même différer d'un État à l'autre, ce qui rend l'applicabilité et la conformité difficiles.

Cette complexité est encore plus difficile à gérer pour les petites et moyennes entreprises (PME) dont les services informatiques sont limités. Ces nouvelles exigences amènent un plus grand nombre de ces organisations dans l'arène réglementaire, où elles doivent naviguer dans un labyrinthe de mandats énoncés dans un jargon juridique confus et parfois vague. Les PME peuvent avoir des difficultés à comprendre quelles sont les exigences en matière de gestion des correctifs, si elles sont applicables - et si c'est le cas, comment s'y conformer correctement.

Pourquoi la conformité de la gestion des correctifs est-elle importante?

Une bonne gestion des correctifs peut considérablement améliorer les défenses de sécurité d'une organisation en corrigeant les vulnérabilités de ses logiciels et de ses systèmes d'exploitation. Voici quelques raisons pour lesquelles la conformité de la gestion des correctifs est essentielle:

• Sécurité
  Les cybermenaces étant devenues monnaie courante, les organismes de réglementation exigent que les entreprises appliquent les derniers correctifs afin de se prémunir contre ces menaces. Les atteintes à la sécurité des réseaux sont le plus souvent dues à l'absence de correctifs dans les systèmes d'exploitation et autres applications. La non-conformité met en péril des actifs informationnels précieux, tels que la propriété intellectuelle et les données très sensibles des clients (dossiers médicaux, numéros de cartes de crédit, etc.)

• Amendes réglementaires
  Les amendes pour non-respect des réglementations américaines et internationales telles que la loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA) et le règlement général sur la protection des données (GDPR) peuvent coûter aux entreprises des milliers, voire des millions de dollars. Une amende de 100 000 dollars peut représenter une part importante de la marge bénéficiaire d'une petite entreprise.

• Perte de réputation et responsabilité juridique
  Les entreprises peuvent perdre la confiance de leurs clients si ces derniers découvrent que l'entreprise n'a pas respecté la réglementation. Selon une étude de l'Institut Ponemon, The True Cost of Compliance with Data Protection Regulations, “Les conséquences d'une absence de gestion des risques liés à la conformité sont notamment une perte de confiance qui met en péril la fidélité des clients et l'incapacité à fournir des services et des produits, ce qui entraîne une baisse des revenus". En outre, les clients peuvent même intenter une action en justice contre une entreprise pour violation grave de la vie privée si des pirates informatiques sont en mesure d'accéder à des données susceptibles de conduire à un vol d'argent ou d'identité.

• Productivité
  Les pannes d'ordinateur dues à des logiciels défectueux peuvent entraîner une baisse de la productivité. L'installation d'un correctif, en revanche, réduit la possibilité de pannes et de temps d'arrêt, permettant ainsi aux travailleurs d'effectuer leurs tâches sans interruption. Les correctifs ne servent pas toujours à corriger des bogues. Ils peuvent également inclure de nouvelles caractéristiques et fonctionnalités qui permettent d'exploiter les dernières innovations du logiciel. Les fournisseurs de logiciels travaillent constamment sur de nouvelles caractéristiques et envoient de nouvelles fonctionnalités sous la forme de correctifs. Le téléchargement et l'installation de ces correctifs par le service informatique peuvent aider les employés à travailler mieux et plus intelligemment.

• BYOD
  L'émergence du principe "apportez votre propre appareil" (BYOD) a ouvert de nouvelles perspectives aux cyber-attaquants. Les employés utilisent de plus en plus leurs appareils personnels et professionnels de manière interchangeable pour effectuer leur travail, ce qui exige que les appareils personnels soient également protégés. Une bonne gestion des correctifs devrait permettre d'installer des correctifs sur tous les appareils, quel que soit leur emplacement physique. La conformité agit comme une défense contre de nombreux défis liés à l'utilisation d'appareils personnels.

Atteindre les objectifs de conformité en matière de gestion des correctifs à l'aide d'outils logiciels

Au cours de la dernière décennie, diverses solutions logicielles de gestion des correctifs sont apparues sur le marché pour aider les organisations à répondre plus facilement aux exigences de conformité réglementaire. Il s'agit notamment de solutions d'audit et d'analyse de la sécurité, de gestion des menaces, de contrôle d'accès, de surveillance du réseau et de logiciels de gestion des correctifs pour répondre à des besoins spécifiques en matière de conformité.

Les services cloud fournissent des outils intégrés tels que des options de cryptage, des systèmes de gestion des identités et des accès (IAM), l'isolation des réseaux virtuels et d'autres outils de sécurité qui aident à protéger les données personnelles comme l'exigent les réglementations en matière de protection de la vie privée. Associés à des outils de gestion des correctifs sur site, ils permettent d'atteindre plus facilement les objectifs de conformité réglementaire.

Comment choisir la bonne solution de gestion des correctifs, compte tenu du grand nombre d'outils de gestion des correctifs disponibles aujourd'hui ? Voici quelques fonctionnalités qui devraient être présentes dans un logiciel de gestion des correctifs afin de contribuer à la conformité réglementaire :

• Contient des rapports spécifiques pour les principaux actes de conformité, ainsi que des rapports axés sur l'utilisation et la gestion des comptes, les changements de politique, etc.

• Maintient une couverture complète de l'évaluation des vulnérabilités et consolide les résultats dans des rapports significatifs - quelle que soit la plate-forme - comme l'exigent les organismes de réglementation tels que PCI et HIPAA.

• Assure la collecte, la normalisation et la consolidation multicouche des données de journalisation afin de répondre aux exigences de conservation de la disponibilité des données de journalisation et de révision de la gestion des correctifs imposées par les organismes de réglementation et les lois les plus courantes.

• Génère des rapports sur l'état de chaque mise à jour et des statistiques pertinentes sur les installations de correctifs et les mises à jour à des fins d'audit.

• Fonctionne sur différentes plateformes et systèmes d'exploitation - y compris les systèmes d'exploitation Microsoft®, MAC OS X® et Linux®, Amazon Web Services (AWS), d'autres plateformes en nuage, ainsi que des applications tierces.

• Analyse l'ensemble du réseau pour identifier les correctifs manquants dans les différents logiciels.

• Télécharge les correctifs directement à partir des sites des fournisseurs.

• Inclut des procédures efficaces de test et de déploiement des correctifs.

• S'installe facilement sur tous les appareils tels que les ordinateurs de bureau, les ordinateurs portables et les serveurs.

Blogs

Ressources complémentaires