{ "uuid": "76467eb25232846cc73e5f5714d555b0", "slug": "patch-management-controle-mensuel", "lang": "fr", "audience": null, "count": 6, "conseils": [ { "uuid": "6fd1c01a63ce40a68150e55b4a850285", "category": "regulatory", "audience": [ "manager", "technician", "auditor" ], "severity": "mandatory", "title": "Appliquer les correctifs critiques sous 15 jours", "content": "Le guide d'hygiene informatique de l'ANSSI mesure 35 et la directive NIS2 imposent une politique de gestion des correctifs documentée. L'objectif raisonnable est d'appliquer les correctifs de severite critique (CVSS 9 et plus) sous 15 jours, et les correctifs haute severite (CVSS 7 a 8.9) sous 30 jours. Tenir un tableau de bord mensuel de l'avancement avec ecarts justifies." }, { "uuid": "527bdc6a37054876bddcb1210e65433c", "category": "operational", "audience": [ "technician" ], "severity": "critical", "title": "Identifier et isoler les systèmes hors support editeur", "content": "Un système dont l'editeur ne publié plus de correctifs (Windows 7, anciens noyaux Linux, applicatifs abandonnes) ne peut plus etre protège par patching. Soit ces systèmes sont isoles dans un segment réseau dedie sans acces internet ni acces a internet, soit ils sont migres ou decommissionnes. Lister explicitement les exceptions dans le rapport mensuel." }, { "uuid": "b10ec2eb8fb64df7abdaf3b6969bc8e6", "category": "operational", "audience": [ "technician", "manager" ], "severity": "recommended", "title": "Tester les correctifs en préprod avant production", "content": "Appliquer un correctif directement en production sans test risque de casser des applications métier critiques. Maintenir un environnement de préprod representatif et tester chaque correctif majeur avant déploiement large. Documenter les retours de test, surtout les regressions observees, pour memoire collective." }, { "uuid": "4bdd220cf0d14107b5c7b86281be47bb", "category": "operational", "audience": [ "technician" ], "severity": "recommended", "title": "Automatiser le déploiement avec un outil dedie", "content": "Le patching manuel a la main n'est ni reproductible ni traceable sur un parc de plus de 30 machines. Mettre en place un outil de gestion (WSUS, SCCM, Ansible, Intune, Landscape, Satellite) avec rapport de couverture automatique. ISO 27001 A.12.6.1 recommande explicitement cette automatisation." }, { "uuid": "e3edd031ee5841ab8cdf258b3fd57b93", "category": "regulatory", "audience": [ "auditor", "manager" ], "severity": "mandatory", "title": "Archiver les preuves de déploiement pour audit", "content": "Lors d'un audit ISO 27001, NIS2 ou client, l'auditeur demande des preuves : rapport mensuel signe, copie des logs de l'outil de gestion, liste des KB / CVE appliquees, justification des derogations. Archiver ces preuves sur 3 ans minimum dans un emplacement non modifiable." }, { "uuid": "55b5e0da36a745bcbd90786efc5e450a", "category": "training", "audience": [ "technician", "manager" ], "severity": "recommended", "title": "Souscrire aux alertes editeurs et CERT-FR", "content": "La veille de sécurité est indispensable pour anticiper. S'abonner aux bulletins du CERT-FR, du CISA (US), et des editeurs (Microsoft MSRC, Red Hat Security, etc.). Une alerte critique peut justifier un patching hors fenêtre habituelle, en quelques heures. Documenter le canal de veille dans la politique." } ] }