Raison de retarder les correctifs de sécurité [fermé]

Aujourd'hui, mon organisation a installé le correctif de Windows 10 de mars à cause de WannaCry. Nous n'avions pas été mis à jour depuis octobre. Même maintenant, nous avons encore 3 mises à jour derrière.

Ils disent que c'est parce qu'ils doivent vérifier si ces correctifs de sécurité vont endommager nos systèmes. Pour moi, cela ressemble au déclanchement du pouvoir informatique des entreprises. Est-ce une préoccupation légitime? N’est-ce pas risqué de ne pas patcher beaucoup plus?

windows-10 windows-update

— dashnick
source

"Est-ce une préoccupation légitime?" - Oui il est. "N'est-ce pas risqué de ne pas patcher beaucoup plus?" - Les seules personnes pouvant déterminer qu'il s'agit de votre service informatique.

— Ramhound

Je voudrais voir un exemple où un correctif de sécurité a cassé quelque chose.

— dashnick

Qu'est-ce que votre recherche indique? Les mises à jour de fonctionnalités (1511, 1607, 1703) ont déjà créé des problèmes de prise en charge des applications. Ce que votre service informatique ne souhaite pas, c’est de déployer une mise à jour spécifique, puis de devoir accéder à des centaines (ou des dizaines) d’ordinateurs et de supprimer manuellement un seul correctif. Votre demande d'un exemple de mise à jour de sécurité qui casse quelque chose n'est pas raisonnable.

— Ramhound

Il existe un correctif de sécurité spécifique à Windows Server 2012 R2 qui modifie la manière dont les stratégies de groupe d'ordinateurs sont appliquées aux ordinateurs du domaine. Si vous ne faites pas quelque chose de spécifique, ces stratégies ne sont finalement pas appliquées. Cela signifie que votre domaine entier cesse de fonctionner si cette stratégie de groupe d'ordinateurs est essentielle pour qu'il fonctionne.

— Ramhound

C’est une question si vague qu’elle risque de générer beaucoup de bruit pour les principes, les principes, les dogmes, les idées, en un mot. Il n'appartient pas à StackExchange, j'ai voté en faveur de sa fermeture.

— MariusMatutiae

Réponses:

Les départements informatiques sont dans une position très difficile en ce qui concerne les mises à jour de sécurité et ils ont des responsabilités qui se contredisent. D'une part, tout leur travail consiste à fournir une plate-forme informatique stable sur laquelle l'entreprise peut fonctionner. D'autre part, maintenir cette plate-forme stable consiste à tenir les machines à jour avec les correctifs de sécurité.

Selon votre brève description, il semble que le service informatique de votre entreprise soit paresseux ou surchargé de travail. J'ai tendance à penser que c'est probablement le dernier cas, car il s'agit d'une chose très courante pour les services informatiques. Ils savent qu'ils devraient appliquer les correctifs tous les mois. Pour cela, vous devez les tester contre toutes les configurations de machines de l'entreprise afin de vous assurer qu'ils ne détruisent aucun pilote, puis de les tester avec toutes les applications critiques internes à l'entreprise. assurez-vous qu'ils ne causent pas de temps d'arrêt pour des centaines d'employés. Cela prend du temps, beaucoup de temps, et si le service informatique est déjà surchargé, cela pourrait signifier qu'il est acceptable de faire tout ce test tous les six mois, au lieu de chaque mois.

En ce qui concerne les applications cassées par les mises à jour, cela arrive, et comme je l'ai déjà mentionné, il incombe au service informatique de préserver la stabilité de l'infrastructure informatique de l'entreprise. Ci-dessous, je vais énumérer quelques cas où Windows Update a provoqué des pannes généralisées de machines grand public. Veuillez noter que ces types de ruptures ont tendance à se produire davantage dans l'entreprise avec des applications et une infrastructure personnalisées:

— heavyd
source

C’est une préoccupation légitime, même si j’estime que le délai n’a pas besoin d’être aussi important. Fondamentalement, Microsoft publiait dans le passé des mises à jour Windows défectueuses qui posaient des problèmes sur certains ordinateurs et ne laissaient pas l'utilisateur choisir uniquement d'installer des mises à jour de sécurité (car certaines mises à jour stupides de la télémétrie de Windows 10 sont également considérées comme "importantes" ... ).

Je dirais qu'un délai de une à deux semaines est acceptable pour les mises à jour Windows afin que le service informatique puisse vérifier si elles ne cassent pas quelque chose de très important, car cela peut effectivement arriver. Retarder les mises à jour pendant un an ou plus n'est certainement pas acceptable.

— Florian Bach
source