Patch Tuesday de Microsoft ! le processus de mise à jour simplifié mis en place par Microsoft fait perdre son latin aux entreprises. Chris Goettl, Manager of Product Management, Security chez Ivanti, nous donne son avis sur ce point.
A la sortie du dernier Patch Tuesday Microsoft du mois d’août, Ivanti nous indiquait : “Au premier coup d’œil, le Patch Tuesday du mois d’août est très fourni, mais ce lion pourrait bien n’être qu’un agneau. Il y a de nombreuses mises à jour critiques ce mois-ci, mais seulement deux divulgations publiques et surtout, aucune vulnérabilité exploitée connue. Les 12 mises à jour publiées par Microsoft résolvent au total 50 CVE uniques. Mais ne vous laissez pas abuser par cette douzaine de mises à jour : la charge est bien moindre que ces derniers mois. 10 des 12 mises à jour étaient prévues, car elles sont de type Mise à jour cumulée d’OS ou Lot Sécurité uniquement, avec les mises à jour cumulées IE pour les systèmes qui utilisent ces lots de sécurité.
Mise à jour cumulée… Est-ce une si bonne idée ?, avons-nous demandé à Chris Goettl. “Microsoft a déclaré que ses clients demandaient un processus de mise à jour simplifié et qui rende l’ensemble du processus plus stable. La réponse du géant de Redmond a été de passer au modèle de mise à jour Cumulative Rollup, introduit avec Windows 10. Désormais, chaque mise à jour inclut toutes les corrections de sécurité et non sécuritaires faisant partie de toutes les mises à jour précédentes“, explique-t-il.
Mais bien que cela ait simplifié le processus de mise à jour, en ayant une seule mise à jour mensuelle au lieu de 8 à 15, indique-t-il, “cela n’a pas vraiment résolu le problème de la stabilité“. Avant la stratégie de patching mise en application avec Windows 10, “les problèmes couramment rencontrés l’étaient en fin de mois, lorsque les mises à jour non sécuritaires ou les corrections de bug sortaient. Il s’agit par exemple de la réparation des crashs, des problèmes de performance et d’autres choses qui ne sont pas liées à une vulnérabilité. Aujourd’hui, nous constatons encore que la plupart des problèmes majeurs se produisent à la fin du mois lorsque l’aperçu de l’évaluation mensuelle (Preview of the Monthly Quality Rollup) a lieu.”
De nombreuses entreprises continuent de demander de l’aide pour contrôler l’installation des mises à jour afin de n’appliquer que les cycles de mise à jour de sécurité et, pour la plupart des systèmes, éviter les cycles de mise à jour non liés à la sécurité à la fin du mois, préférant laisser ces mises à jour se stabiliser avant de les appliquer, analyse-t-il. “Malheureusement, dans le modèle établi avec Windows 10, cela signifie qu’ils n’ont que jusqu’au prochain Patch Tuesday avant que les changements soient appliqués dans le Cumulative Rollup.”
Et de conclure : “En choisissant de passer d’une plateforme pré-Win 10 à l’utilisation d’un modèle de mise à jour similaire au Cumulative Rollup, Microsoft a également inclus une autre option pour déployer un pack limité à la sécurité (Security Only Bundle), qui va de pair avec une mise à jour cumulative pour IE chaque mois. Cela a permis aux entreprises d’accepter les mises à jour de sécurité chaque mois, tout en écartant les mises à jour non sécuritaires jusqu’ à ce qu’elles le choisissent. Permettre à Windows 10 et Server 2016 d’adopter le modèle de Security Only Bundle et IE cumulatif pourrait être en mesure de réduire cet impact croissant que des entreprises constatent, alors que le choix d’installer les mises à jour non sécuritaires a été éliminé dans les dernières plateformes.”