Pour le technicien qui intervient.
Un système dont l'editeur ne publié plus de correctifs (Windows 7, anciens noyaux Linux, applicatifs abandonnes) ne peut plus etre protège par patching. Soit ces systèmes sont isoles dans un segment réseau dedie sans acces internet ni acces a internet, soit ils sont migres ou decommissionnes. Lister explicitement les exceptions dans le rapport mensuel.
Le guide d'hygiene informatique de l'ANSSI mesure 35 et la directive NIS2 imposent une politique de gestion des correctifs documentée. L'objectif raisonnable est d'appliquer les correctifs de severite critique (CVSS 9 et plus) sous 15 jours, et les correctifs haute severite (CVSS 7 a 8.9) sous 30 jours. Tenir un tableau de bord mensuel de l'avancement avec ecarts justifies.
Appliquer un correctif directement en production sans test risque de casser des applications métier critiques. Maintenir un environnement de préprod representatif et tester chaque correctif majeur avant déploiement large. Documenter les retours de test, surtout les regressions observees, pour memoire collective.
Le patching manuel a la main n'est ni reproductible ni traceable sur un parc de plus de 30 machines. Mettre en place un outil de gestion (WSUS, SCCM, Ansible, Intune, Landscape, Satellite) avec rapport de couverture automatique. ISO 27001 A.12.6.1 recommande explicitement cette automatisation.
La veille de sécurité est indispensable pour anticiper. S'abonner aux bulletins du CERT-FR, du CISA (US), et des editeurs (Microsoft MSRC, Red Hat Security, etc.). Une alerte critique peut justifier un patching hors fenêtre habituelle, en quelques heures. Documenter le canal de veille dans la politique.
Pour le responsable / gestionnaire.
Le guide d'hygiene informatique de l'ANSSI mesure 35 et la directive NIS2 imposent une politique de gestion des correctifs documentée. L'objectif raisonnable est d'appliquer les correctifs de severite critique (CVSS 9 et plus) sous 15 jours, et les correctifs haute severite (CVSS 7 a 8.9) sous 30 jours. Tenir un tableau de bord mensuel de l'avancement avec ecarts justifies.
Lors d'un audit ISO 27001, NIS2 ou client, l'auditeur demande des preuves : rapport mensuel signe, copie des logs de l'outil de gestion, liste des KB / CVE appliquees, justification des derogations. Archiver ces preuves sur 3 ans minimum dans un emplacement non modifiable.
Appliquer un correctif directement en production sans test risque de casser des applications métier critiques. Maintenir un environnement de préprod representatif et tester chaque correctif majeur avant déploiement large. Documenter les retours de test, surtout les regressions observees, pour memoire collective.
La veille de sécurité est indispensable pour anticiper. S'abonner aux bulletins du CERT-FR, du CISA (US), et des editeurs (Microsoft MSRC, Red Hat Security, etc.). Une alerte critique peut justifier un patching hors fenêtre habituelle, en quelques heures. Documenter le canal de veille dans la politique.
Pour l'auditeur et le contrôle de conformité.
Le guide d'hygiene informatique de l'ANSSI mesure 35 et la directive NIS2 imposent une politique de gestion des correctifs documentée. L'objectif raisonnable est d'appliquer les correctifs de severite critique (CVSS 9 et plus) sous 15 jours, et les correctifs haute severite (CVSS 7 a 8.9) sous 30 jours. Tenir un tableau de bord mensuel de l'avancement avec ecarts justifies.
Lors d'un audit ISO 27001, NIS2 ou client, l'auditeur demande des preuves : rapport mensuel signe, copie des logs de l'outil de gestion, liste des KB / CVE appliquees, justification des derogations. Archiver ces preuves sur 3 ans minimum dans un emplacement non modifiable.