Patching et gestion des vulnérabilités¶
Définir une stratégie de patching, automatiser les mises à jour et trier les CVE de manière rigoureuse.
Stratégie de patching¶
Le patching sans stratégie généré deux problèmes opposes : des systèmes jamais mis à jour (risque élevé) ou des mises à jour non testées en production (instabilite). La stratégie définit le quand, le comment et le qui.
Fréquences recommandees par criticite¶
| Type de patch | Délai cible | Justification |
|---|---|---|
| Critique (CVSS >= 9.0) | 24-72h | Exploitation active fréquente |
| Sécurité haute (CVSS 7-8.9) | 7 jours | Risque élevé, correction disponible |
| Sécurité modérée (CVSS 4-6.9) | 30 jours | Fenêtre acceptable avec compensations |
| Correctifs fonctionnels | Mensuel ou sprint suivant | Pas d'urgence sécurité |
Patch non applique 30 jours après publication = risque double
Les statistiques d'exploitation montrent qu'un patch non appliqué dans les 30 jours voit son risque d'exploitation augmenter significativement. Les kits d'exploitation intègrent rapidement les CVE publiques. La fenêtre d'exposition doit être réduite au maximum pour les vulnérabilités critiques.
Workflow de patching¶
flowchart LR
A["Scan\nvulnerabilites"] --> B["Triage\nCVSS + contexte"]
B --> C{"Decision"}
C -->|Patcher| D["Test\nenvironnement staging"]
C -->|Mitiger| E["Mesure\ncompen-satoire"]
C -->|Accepter| F["Documentation\nrisque accepte"]
D --> G["Patch\nproduction"]
G --> H["Verification\npost-patch"]
H -->|Regression| I["Rollback"]
H -->|OK| AÉtapes clés¶
- Scan : découverte automatisee des vulnérabilités sur l'ensemble du parc
- Triage : évaluation de la criticite en contexte (exploitabilite, surface exposee)
- Test staging : validation du patch sans impact sur la production
- Patch production : avec plan de rollback pre-défini
- Vérification : re-scan et validation fonctionnelle après patch
Automatisation du patching¶
Outils par OS¶
| OS | Outil | Mode | Notes |
|---|---|---|---|
| Debian / Ubuntu | unattended-upgrades | Daemon systemd | Configurable par type de package |
| RHEL / CentOS Stream | dnf-automatic | Timer systemd | Supporte les modes download-only, apply |
| Windows Server | WSUS + Windows Update | Agent | Centralisation et approbation |
| Multi-OS | Ansible (rôle patching) | Push | Orchestration et reporting centralises |
Patch as code avec Ansible¶
Ansible permet d'orchestrer le patching avec fenêtre de maintenance, redémarrage conditionnel et rapport de conformité. Les playbooks peuvent cibler des groupes d'inventaire distincts (staging avant prod) et intégrer une validation fonctionnelle post-patch.
Immutabilite comme alternative au patching
Pour les workloads conteneurises, reconstruire et redeployer l'image avec la version patchee est preferable a patcher un conteneur en cours d'exécution. Le patching traditionnel concerne principalement les systèmes sous-jacents (OS des nœuds, hyperviseurs).
Scan de vulnérabilités¶
| Outil | Périmètre | Type | Licence |
|---|---|---|---|
| Nessus | OS, réseau, applications | Agentless + agent | Commercial (Tenable) |
| OpenVAS / Greenbone | OS, réseau | Agentless | Open source |
| Trivy | Containers, IaC, SBOM | CLI, CI/CD | Open source |
| Grype | Containers, packages | CLI, CI/CD | Open source |
| Wazuh | OS, fichiers, logs | Agent HIDS | Open source |
Intégration CI/CD¶
L'intégration du scan dans les pipelines permet de bloquer les builds contenant des vulnérabilités critiques avant le déploiement :
- Scan de l'image Docker à chaque build (Trivy, Grype)
- Seuil de blocage configurable (ex. : bloquer si CVSS >= 7)
- Rapport de vulnérabilités archive en artefact de pipeline
Triage des CVE¶
Toutes les vulnérabilités ne meritent pas la même urgence. Le triage contextuel permet de prioriser efficacement.
Critères d'évaluation¶
| Critère | Questions clés |
|---|---|
| Score CVSS | Quelle est la sévérité intrinsèque ? |
| Exploitabilite | Un exploit public existe-t-il ? (KEV CISA, Exploit-DB) |
| Surface exposee | Le composant vulnerable est-il accessible depuis Internet ? |
| Impact contextuel | Quelles données ou fonctions sont concernees ? |
| Compensations | Des mesures existantes reduisent-elles le risque ? |
Décisions possibles¶
| Décision | Conditions | Action |
|---|---|---|
| Patcher | Exploit disponible ou criticite haute, composant expose | Appliquer dans le délai cible |
| Mitiger | Patch indisponible ou risque de régression, mesure compensatoire possible | Documenter la mitigation |
| Accepter | Faible probabilite d'exploitation, impact limite, coût de patch élevé | Documenter, réviser a echeance |
La CISA publie le Known Exploited Vulnerabilities (KEV) catalog : les vulnérabilités listees sont activement exploitees et doivent être patchees en priorité absolue.