Gestion des correctifs
Qu'est-ce que Gestion des correctifs ?
Gestion des correctifsProcessus de bout en bout consistant à identifier, tester, déployer et vérifier les mises à jour logicielles qui corrigent vulnérabilités et bugs.
La gestion des correctifs couvre tout le cycle de vie, de la divulgation d'une vulnérabilité à la remédiation vérifiée, sur les systèmes d'exploitation, firmwares, applications, conteneurs et dépendances. Les programmes matures priorisent les correctifs à l'aide de données d'exploitabilité (CVSS, EPSS, KEV), de la criticité métier et des contrôles compensatoires, et les déploient par anneaux pour limiter le risque opérationnel. L'automatisation, les fenêtres de changement, les plans de retour arrière et des SLA par sévérité sont indispensables.
La fenêtre qui tue est entre le correctif et son déploiement
Qu'un correctif existe ne protège personne ; l'installer, oui — et l'écart entre les deux est là où surviennent les brèches.
- Equifax (2017) : la faille Apache Struts CVE-2017-5638 a été corrigée le 7 mars 2017 ; les attaquants ont commencé à exploiter le portail non corrigé d'Equifax vers le 10 mars et ont exfiltré les données d'environ 147 millions de personnes jusqu'à fin juillet, car le correctif n'a jamais été appliqué.
- WannaCry (mai 2017) : Microsoft a publié MS17-010 le 14 mars 2017, corrigeant la faille SMBv1 (CVE-2017-0144) qu'exploitait l'outil fuité EternalBlue. Deux mois plus tard, les organisations qui ne l'avaient pas déployé — dont des pans du NHS britannique — ont été paralysées par un rançongiciel se propageant comme un ver.
- Log4Shell (CVE-2021-44228, 2021) : une RCE trivialement exploitable dans une bibliothèque de journalisation omniprésente a montré pourquoi un inventaire logiciel (SBOM) vivant fait désormais partie de la gestion des correctifs.
Comment les programmes matures priorisent
Aucune équipe ne pouvant tout corriger d'un coup, les programmes modernes classent le travail par probabilité d'exploitation, pas seulement par sévérité CVSS. Le catalogue Known Exploited Vulnerabilities (KEV) de la CISA (lancé en novembre 2021) et les scores EPSS du FIRST permettent de traiter en priorité le petit ensemble de failles activement attaquées, tandis que les correctifs de routine suivent des anneaux échelonnés avec plans de retour arrière.
flowchart LR A[Vulnérabilité divulguée / CVE] --> B[Inventaire d'actifs + SBOM :<br/>sommes-nous affectés ?] B --> C[Prioriser : CVSS + EPSS + KEV<br/>+ criticité métier] C --> D[Tester en anneau pilote] D --> E[Déploiement échelonné :<br/>large puis production] E --> F[Vérifier par nouveau scan] F -->|Échec / régression| G[Retour arrière + contrôle compensatoire] G --> D
● Exemples
- 01
Cycle de correctifs d'urgence hors bande pour une RCE listée dans le KEV de la CISA.
- 02
Déploiement mensuel échelonné des correctifs Windows par anneaux : pilote, large, production.
● Questions fréquentes
Qu'est-ce que Gestion des correctifs ?
Processus de bout en bout consistant à identifier, tester, déployer et vérifier les mises à jour logicielles qui corrigent vulnérabilités et bugs. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Gestion des correctifs ?
Processus de bout en bout consistant à identifier, tester, déployer et vérifier les mises à jour logicielles qui corrigent vulnérabilités et bugs.
Comment se défendre contre Gestion des correctifs ?
Les défenses contre Gestion des correctifs combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Gestion des correctifs ?
Noms alternatifs courants : Gestion des mises à jour.