Adoptez une stratégie de patch management efficace adaptée à votre système d’information

Transcript

1. Adoptez une stratégie de patch management efficace adaptée à votre

   système d’information Webinar du 22 février 2024 Alexandre BRIANCEAU Chief Executive Officer [email protected]

2. © 2024 Rudder. All right reserved. 2 Upvote Poser une

   question Vote en sur-impression

3. Adoptez une stratégie de patch management efficace adaptée à votre

   système d’information Webinar du 22 février 2024 Alexandre BRIANCEAU Chief Executive Officer [email protected]

4. © 2024 Rudder. All right reserved. 4 Présentation Security Management

   ★ Renforcer votre posture de sécurité à travers vos politiques de durcissement (hardening) ★ Surveiller et gérer les vulnérabilités ★ Démontrer la conformité aux équipes de sécurité et aux auditeurs Configuration Management ★ Automatiser le déploiement et la maintenance des systèmes et applications ★ Définissez graphiquement ou en YAML votre cible et laissez Rudder auditer et corriger ★ Automatiser le Patch management Alexandre BRIANCEAU Chief Executive Officer [email protected]

5. © 2024 Rudder. All right reserved. 5 Impacts du patch

   management 60% des entreprises en 2018 auraient pu éviter une attaque si elles avaient mis à jour leurs systèmes. Source : Unpatched Vulnerabilities the Source of Most Data Breaches Répondre aux exigences des normes (NIS2…) Améliorer performances, compatibilité et stabilité Résoudre les anomalies Remédier aux vulnérabilités

6. Principales difficultés avec le patch management Est-ce que vous avez

   rencontré des difficultés pour en créer une ?

7. © 2024 Rudder. All right reserved. “Le patch management, c’est

   surtout pour les postes de travail et la DMZ.” ➔ Insuffisant : principe de défense en profondeur et de Zero Trust 7 Idées reçues “Tous mes systèmes sont à jour, nous sommes en sécurité.” ➔ Incomplet : cas des failles 0-day et des exceptions en production En 2022, seules 23% des failles 0-day ont reçu un patch après 1 mois. “Bon patch management = 100% des mises à jour appliquées.” ➔ Intimidant : approche itérative et acceptation des risques Source : Analysis of Time-to-Exploit Trends: 2021-2022

8. © 2024 Rudder. All right reserved. 8 VS RÉALITÉ IDÉAL

9. © 2024 Rudder. All right reserved. Top 5 des challenges

   9 Manque de centralisation et visibilité 27% des organisations estiment avoir la visibilité suffisante pour prendre de bonnes décisions sur les priorisations, remédiations et analyses d’incident. Délai important avant l’application d’une mise à jour Moyenne de 28 jours pour appliquer un patch sur une vulnérabilité critique. Diversité des systèmes d’exploitation (Redhat-like, Debian-like, Windows…) Les différentes distribution Linux et Windows ont toutes des cycles de vie et des outillages variés, ce qui complexifie et rajoute des délais supplémentaires. Manque de reporting Seules 47% possèdent un reporting automatisé et régulier, freinant la collaboration entre les équipes (notamment sécurité et ops) et de démontrer leur travail. Gérer les exceptions qui s’accumulent Plus il y a d’historique, plus l’industrialisation du patch management est rendue difficile par les exceptions (besoins métiers, compatibilité, disponibilité…) Source : The state of vulnerability management in the cloud and on-premises

10. Les 3 approches stratégiques de patch management Avez-vous déjà une

    stratégie établie ?

11. © 2024 Rudder. All right reserved. Approche variable et adaptée

    aux contraintes, principalement basée sur : 1. Les mises à jour sans effort (mineures, patch) à faible impact qui sont déployées régulièrement (mensuelles par exemple) 2. Les mises à jour majeures qui nécessitent une attention particulière et qui sont faites à la demande, en mode projet Relativement facile à mettre en place et à adapter, mais qui coûte quand même du temps puisque les mises à jour majeures ne sont pas “régulières”. Attention de bien travailler les critères pour définir les approches. 11 Pragmatique Déploiement continu Actif - Passif Choix d’une stratégie Stratégie pragmatique : simple et efficace 1.

12. © 2024 Rudder. All right reserved. 12 Pragmatique Déploiement continu

    Actif - Passif Choix d’une stratégie Approche systémique, régulière et industrialisée : les mises à jour sont effectuées à une fréquence définie en cascade sur les environnements : 1. D’abord sur l’environnement à faible criticité (développement ?) 2. Puis sur un environnement aux risques acceptables (pré-production?) 3. Enfin sur les environnements critiques (production ?) A chaque étape, on teste et on valide le bon fonctionnement. Une approche populaire, mais qui nécessite plus de maturité et des infrastructures avec des environnements “iso”. Stratégie de déploiement continu : la favorite 2.

13. © 2024 Rudder. All right reserved. 13 Pragmatique Déploiement continu

    Actif - Passif Choix d’une stratégie Approche systématique, très fortement normée et industrialisée : les mises à jour sont régulières ou non, mais toujours appliquées : 1. D’abord sur un environnement de secours, donc passif (blue) 2. Après validation du bon fonctionnement, l’environnement de secours passe en production, donc actif, tandis que l’environnement de production (green) bascule en secours 3. Enfin l’environnement de secours (green) est mis à jour Approche idéale, mais très coûteuse en ressources (2 environnements identiques à maintenir en actif/passif), mais possibilité de reprise immédiate. Stratégie actif - passif (blue green) : la forteresse 3.

14. © 2024 Rudder. All right reserved. Pragmatique Déploiement continu Actif

    - Passif 14 Choix d’une stratégie Pragmatique Déploiement continu Actif/Passif Equipe disponible Peu importante Assez importante Assez importante Industrialisation Faible Importante Importante Criticité Faible à moyenne Moyenne à importante Très importante

15. Principales erreurs à éviter Avez-vous des conseils à partager ?

16. © 2024 Rudder. All right reserved. 16 6 erreurs à

    éviter Déléguer aux utilisateurs Nécessite une réactivité et un reporting fiable très difficile à obtenir car ils n’ont pas les mêmes contraintes qu’en production. Trop généraliser Appliquer une méthode unique est difficile avec une production informatique. Mieux vaut accepter qu’il y aura des exceptions dès le début. Éviter les risques La peur de casser la production entraîne l’accumulation de retards, ce qui augmente les risques. Mieux vaut pratiquer régulièrement pour fluidifier le processus. Se passer d’une stratégie Considérer seulement l’axe technique, c’est sous-estimer le besoin de cohérence et de reproductivité nécessaire à l’industrialisation du patch management. Faire l’impasse sur le reporting L’équipe de production sert les clients internes ou externes. Le reporting les rassure et donne les moyens aux équipes de sécurité d’être autonome dans la gestion des risques. Faire du “maison” Attention aux coûts cachés de création mais surtout de maintenance : soucis de scalabilité, manque de fonctionnalités. Misez sur des outils matures existants.

17. Automatisation du patch management Avez-vous déjà un outil de patch

    management ?

18. © 2024 Rudder. All right reserved. Identifier et cibler les

    noeuds pouvant être mis à jour 18 Présentation de l’automatisation Bénéfices de l’automatisation Démonstration Grouper les noeuds selon les politiques et exceptions

19. © 2024 Rudder. All right reserved. Configurer, déployer et vérifier

    ses mises à jour 19 Présentation de l’automatisation Bénéfices de l’automatisation Démonstration

20. © 2024 Rudder. All right reserved. Identifier les incidents et

    effectuer un reporting 20 Présentation de l’automatisation Bénéfices de l’automatisation Démonstration

21. © 2024 Rudder. All right reserved. Centraliser l’historique en récupérant

    les logs techniques 21 Présentation de l’automatisation Bénéfices de l’automatisation Démonstration

22. © 2024 Rudder. All right reserved. 22 Présentation de l’automatisation

    Bénéfices de l’automatisation Démonstration Augmenter la visibilité et la collaboration entre équipes Sécurité et Ops Démontrer la conformité aux exigences réglementaires (NIS2, PCI-DSS…) Tenir ses engagements et ses délais pour résoudre une vulnérabilité Réduire le temps et les efforts pour mettre à jour les systèmes

23. © 2024 Rudder. All right reserved. demo.rudder.io 23 Présentation de

    l’automatisation Bénéfices de l’automatisation Démonstration

24. Conclusion

25. © 2024 Rudder. All right reserved. ➔ Capacités d’inventaires et

    de groupage des machines ➔ Compatibilité avec tous les systèmes hétérogènes ➔ Gestion des logiciels tiers ➔ Paramètres de déploiement ➔ Granularité de planification des déploiements ➔ Obtention des métriques et du reporting ➔ Couplage ou non avec les CVE ➔ Gestion des cycles de vie d’une production ➔ Plateforme On-premise vs SaaS ➔ Intégration avec la stack technique (CI/CD, CMDB…) 25 Critères principaux Principaux critères de sélection pour un outil de patch management

26. Avez-vous des questions ? 26 Prochain webinar jeudi 21 mars

    : Seriez-vous intéressé·e par une démo personnalisée ? Comment renforcer la sécurité de son SI pour ne plus subir les attaques ?