Secu
L’armée sécurise le déploiement des correctifs Windows
Par La rédaction, publié le 07 janvier 2013
La défense nationale a fait appel à Landesk pour automatiser les mises à jour de ses 130.000 postes de travail et 2500 serveurs. Un projet étalé sur moins de deux ans.
La sécurité des réseaux sensibles est une préoccupation de tous les instants. C’est d’autant plus vrai pour la Défense nationale. C’est pourquoi la Dirisi (Direction interarmées des réseaux d’infrastructure et des systèmes d’information) a choisi un nouvel outil d’administration des correctifs de sécurité Windows.
Un processus industriel très complexe pour cette structure responsable de la gestion des systèmes d’information (SI) des trois armées, du SGA (Secrétariat général pour l’Administration) et, bientôt, de la DGA (Direction générale de l’armement).
Au total, la Dirisi assure le fonctionnement de 130 000 postes de travail et de 2 500 serveurs (bientôt plus). Autres difficultés de cette gestion des correctifs : une grande variété de réseaux, avec des impératifs de sécurité et de disponibilité différents, et, bien sûr, de multiples versions de systèmes.
Pour le colonel Bertogli, sous-directeur SSI de la Dirisi, le défi était de « gouverner correctement l’ensemble de nos SI lors de leur patching, car cela peut avoir un impact fort sur la disponibilité des informations ». D’où la nécessité « d’un outil de workflow pour superviser finenement ces déploiements ».
En général, le deuxième ou quatrième mardi du mois, Microsoft publie d’importantes mises à jour de ses logiciels. Toutefois, d’autres peuvent être éditées à tout moment en cas de faille. Pour aider leurs clients à gérer au mieux ces patches, les éditeurs communiquent un indice de criticité.
Un indicateur pas suffisant pour le ministère de la Défense qui a, lui aussi, conçu le sien à partir de la norme CVSSv2. En fonction de cette notation, mais aussi des tests de nonrégression et du type d’applications concernées (système de gestion administrative en métropole ou système stratégique de conduite d’opérations sur un théâtre extérieur), c’est le RSSI de chaque entité qui décidera ou non d’appliquer un patch.
Depuis 2006, c’est Decos-S qui était utilisé pour le déploiement des correctifs de sécurité, un outil basé entre autres sur Windows Server Update Services (WSUS). Même s’il a été récemment complété par l’outil Microsoft SCCM (System Center Configuration Manager), l’élargissement du périmètre de Decos-S (originellement destiné à l’armée de terre) nécessitait, de fait, des fonctionnalités plus fines.
C’est finalement la solution Landesk Process Manager qui sera retenue par la Dirisi pour compléter le dispositif : « Nous avons étudié en amont l’ensemble des outils susceptibles de répondre à nos besoins, via des plates-formes de tests, explique le colonel Bertogli. Puis, nous avons priorisé selon une grille d’évaluation interne que nous ne communiquons à aucun éditeur. »
En pilotant et en automatisant une partie des processus de déploiement, Landesk Process Manager améliore donc le Maintien en condition de sécurité (MCS). « Avec cet outil de workflow, nous accompagnerons l’effort d’homogénéisation de nos processus de gestion », explique le lieutenant Anthony Garcia, RSSI sur ce projet.
Un climat de confiance
En toute logique, il a fallu interfacer ce nouvel outil avec Decos-S et SCCM. C’était donc un point sensible. « Le niveau technologique de Landesk et leur réactivité face à nos demandes nous ont permis d’être sereins, affirme le colonel Bertogli. Cela a créé entre nous un climat de con