Gare au problème qui réside dans la solution


Jean-François Ferland - 13/04/2006

Grâce à Internet, les correctifs apportés aux systèmes d’exploitation et aux logiciels sont à la portée des utilisateurs des systèmes informatiques plus rapidement qu’avec la méthode des disquettes envoyées par la poste dans les années 1980. Plusieurs s’empressent d’installer les rustines dès qu’elles sont disponibles… Mais quand doit-on le faire, et surtout qui doit agir ?

Il n’y a pas si longtemps, maintes organisations qui recevaient un avis indiquant qu’un correctif était disponible par téléchargement l’installaient sans tarder sur les postes de travail et les serveurs visés, pour prestement apporter des correctifs aux précieux logiciels utilisés par les vaillantes ressources humaines.

Or, depuis quelques mois, la confiance aveugle portée envers les rustines est mise à rude épreuve. Certains correctifs publiés par Microsoft, le développeur de logiciels dont les systèmes d’exploitation dominent le secteur de l’informatique d’entreprise – et qui fait probablement l’objet du plus grand nombre de tentatives d’exploitation de failles par des personnes malveillantes – ont causé des brèches au moment où ils devaient en colmater.

À quelques reprises, des experts en mise à l’épreuve et des firmes de sécurité ont dévoilé l’existence de ces nouveaux problèmes. Dans d’autres occasions, c’est l’éditeur même du logiciel qui a publicisé la découverte de la situation problématique.

Pour compliquer les choses, bien des gredins découvrent avant eux les failles et tentent de les exploiter rapidement pour devancer les tentatives de réparations. Le principe de l’instantanéité, alimenté par la haute disponibilité et la vitesse de transmission des réseaux informatiques, résulte alors en la production d’attaques dans les heures qui suivent la découverte d’une brèche, ce qui donne bien des maux de tête aux organisations qui en font les frais.

Pourtant, il existe une philosophie en administration de l’informatique qui incite à la prudence. En théorie, on recommande aux responsables d’un système informatique de procéder à l’essai d’une rustine ou d’une mise à jour en vase clos pour procéder à l’observation du comportement d’un système à la suite de l’application d’un correctif, et ainsi assurer que le sparadrap n’infectera pas davantage une plaie.

Dans l’industrie pharmaceutique, les développeurs doivent procéder à des tests des médicaments sous surveillance avant de le soumettre aux autorités réglementaires qui, à leur tour, procéderont à une batterie de tests pour confirmer qu’une pilule ou une pommade ne causera pas d’effets secondaires fâcheux.

En pratique, bien des organisations passent outre cette procédure pour les correctifs informatiques et appliquent les rustines à tous leurs ordinateurs avec une confiance quasi aveugle. Gare à elles si des problèmes inconnus surviennent à l’ensemble du parc informatique !

D’ailleurs, nombre d’organisations n’ont pas établi de politique formelle en matière d’application des correctifs sur les ordinateurs, ou du moins n’ont pas diffusé cette politique d’un bout à l’autre de l’entreprise. Alors que les utilisateurs finaux des ordinateurs au sein d’une organisation sont de plus en plus nombreux à utiliser un ordinateur à domicile, ces derniers peuvent penser bien faire en appliquant un correctif lorsqu’ils vont vérifier le site de l’éditeur d’un logiciel ou lorsqu’un message à l’écran les avise de la disponibilité d’une rustine. Cette bonne intention peut s’avérer fatale pour une organisation lorsque le correctif est une sorte de boîte de Pandore.

Sans compter la surcharge des réseaux de l’entreprise alors que des dizaines, voire des centaines d’utilisateurs téléchargeront en même temps la même mise à jour de système ou les mêmes correctifs d’applications.

Plusieurs organisations ont mis en place des mécanismes qui empêchent l’application desdits correctifs. Mais est-ce que tous les ordinateurs sont configurés de façon appropriée ? Est-ce que l’équipe de soutien informatique en détient l’assurance absolue ? Vérifie-t-on de façon régulière l’état des systèmes de l’organisation ?

Certains verront en ce questionnement une sorte de paranoïa. Mais qui veut risquer d’avoir une poussée de boutons causée par une médication inadéquate ? Mieux vaut prévenir que guérir…




À propos de Jean-François Ferland

Jean-François Ferland est le rédacteur en chef du magazine Direction informatique. Il compte dix-sept années d'expérience en journalisme et en communication publique.
Google+