Automatisez le patching des OS et des applications tierces
Avant-propos :
Qui est BigFix ? BigFix est le produit phare de la gestion des endpoints de la société IBM. La solution appartient au catalogue de logiciels proposés par le géant du secteur informatique. En 2003, IBM a sous-traité la partie développement de ses applications par HCL. En 2017, IBM décide finalement de se séparer de ses briques logicielles et HCL a notamment acquis BigFix, solution de gestion technique de parc avec une appétence cybersécurité en automatisant le patch management.
La version de BigFix présentée durant ce webinar est orientée « expérience utilisateur », avec notamment l’automatisation de la gestion des correctifs (Patch Management). Voici les 3 principaux modules de la solution BigFix qui vont vous intéresser :
- BigFix LifeCycle : c’est la gestion complète de vos endpoints (Endpoint Management), la découverte de vos assets, la distribution de logiciels, le déploiement d’OS ou encore la prise en main à distance…
- BigFix Compliance : avec ce module, vous êtes capable de fournir des profils de sécurité et vérifier de façon continue la conformité de vos postes de travail. Il permet également de réaliser une autoremédiation.
- BigFix Inventory : solution d’ITAM, ou Asset Management, qui présente entre autres les licences installées et les licences utilisées.
Découvrir le Patch Management de BigFix
Nous vous présentons la solution HCL BigFix car elle répond aux nouveaux enjeux en matière de cybersécurité, notamment pour la gestion automatisée des correctifs de l’ensemble de votre parc. Si de nombreuses solutions existent sur le marché et présentent toutes des fonctionnalités très intéressantes (détection des vulnérabilités, déploiement automatisé de correctifs, reporting…), BigFix détient un avantage concurrentiel de taille : il adresse la totalité votre parc, c’est-à-dire l’ensemble de vos postes (Windows, MacOS, Linux, etc.), ET l’ensemble de vos serveurs (Debian, CentOS, Solaris, etc.).
Ci-dessous un résumé du webinar avec la présentation du portail BigFix, la gestion manuelle et automatisée du déploiement des correctifs, ainsi que le pilotage de votre parc grâce aux tableaux de bord.
Le portail et les différentes informations
Vous pouvez accéder à votre portail en vous connectant à la console web (https). Vous accédez directement à un tableau de bord avec différentes informations sur l’état de conformité de votre parc informatique :
- nombre de postes et serveurs gérés,
- nombre de failles critiques,
- vos packages logiciels,
- les derniers correctifs disponibles (OS et applications).
Vous pouvez vous focaliser sur les postes qui constituent votre parc en allant dans l’onglet « Devices » et ainsi :
- Obtenir en un coup d’oeil la répartition entre vos postes et serveurs
- Créer des groupes dynamiques afin de gérer de manière automatisée vos nouveaux postes
- Identifier en temps réel et immédiatement (c’est-à-dire dès lors qu’une nouvelle faille est publiée) quels sont les postes non conformes. Nous pouvons qualifier ce processus de « Zéro-Day ».
Comment déployer manuellement des correctifs avec BigFix ?
Il existe deux stratégies afin d’appliquer vos correctifs :
- Soit vous vous focalisez sur vos postes et serveurs (vous allez vous occuper des correctifs pour les machines les plus à risque, car elles ont un nombre élevé de vulnérabilités ou méritent une attention particulière, car elles appartiennent à votre direction générale),
- Soit vous vous focalisez sur les correctifs (ex. vous mettez la priorité sur tous les patchs critiques au sein de votre parc).
Méthode 1 : se focaliser sur ses postes et serveurs
Cette méthode consiste donc à sélectionner la ou les machines et serveurs dont vous souhaitez déployer vos correctifs en priorité. Pour ce, il vous suffit de les cocher dans votre liste d’assets, sélectionner les correctifs à déployer selon vos besoins (le nombre de vulnérabilités présentes sur le poste, la criticité des vulnérabilités, ou la date de sortie d’un patch…), puis de décide à quel moment vous aller déployer vos correctifs (selon le fuseau horaire par exemple en cas de gestion de sites internationaux), à un moment spécifique (date, horaire…).
Vous pouvez imaginer un scénario de planification où le déploiement s’effectuera dès lors que l’utilisateur se déconnecte, afin de ne pas impacter sa productivité. S’il est connecté, vous pouvez l’alerter grâce à un pop-up qui indique que vous allez mener une action sur son poste et vous recommandez à votre utilisateur de sauvegarder son travail. De même, il est possible de mener une action « post-déploiement », comme redémarrer/éteindre la machine tout en prévenant l’utilisateur.
Méthode 2 : se focaliser sur les correctifs à appliquer
Vous prêtez attention aux failles et à la conformité globale de votre parc informatique. Par exemple, vous avez eu l’information qu’il fallait impérativement déployer un correctif pour contrer une faille découverte la veille et qui pourrait compromettre tout votre environnement. Il est possible d’aller chercher ce patch selon la date de sortie, son nom ou bien encore sa criticité, puis de la déployer. En sélectionnant le correctif souhaité, vous avez immédiatement la vue sur les machines concernées par la vulnérabilité et vous pourrez prendre des mesures de remédiation instantanément. Voici un exemple avec la recherche de la KB
Comment déployer automatiquement des correctifs avec BigFix ?
BigFix ne s’arrête pas à la gestion manuelle des correctifs, la solution vous permet de créer des règles afin d’automatiser le processus de déploiement de correctifs sur l’ensemble vos postes. Comment ? Toujours depuis le portail, vous serez en mesure de sélectionner un type d’OS qui sera concerné par votre automatisation ou choisir quelle catégorie de correctifs devra être concernée (des KB, correctifs d’applications tierces ou autres). Conscient que la mise à jour de sécurité de certaines applications métiers peut impacter l’expérience de vos utilisateurs, vous pourrez exclure des éléments spécifiques comme des noms de KB ou d’applications (image ci-dessous).
Le déploiement automatisé de correctifs peut s’effectuer :
- À un groupe de machines spécifiques (ex. tous les directeurs de services)
- À un groupe dynamique de machines avec des appartenances à une UO, un site…
BigFix vous apporte de la flexibilité en vous proposant de configurer le moment où vous souhaitez charger le correctif (exemple : en le pré-téléchargeant la veille ou pendant le temps de pause de vos utilisateurs).
Enfin, le déploiement, bien qu’automatisé, peut être planifié afin d’éviter de surcharger la bande passante :
- De manière mensuelle, hebdomadaire ou quotidienne
- Un certain jour du mois (exemple : le 2ème jeudi du mois)
- L’heure (pendant ou en dehors du temps de travail des utilisateurs)
DMI a conçu un tableau de bord compatible avec la solution BigFix
Les responsables de la sécurité du système d’information (RSSI) doivent récupérer toutes les informations de conformité sur l’ensemble du parc. Pour ce, DMI a développé un tableau de bord en PowerBI qui est capable de récupérer toutes les informations nécessaires afin de piloter sa conformité.
Nous vous invitons à lire cet article afin de découvrir notre tableau de bord.
Vos questions :
La solution est seulement disponible On-Premise.
Oui. BigFix se connecte avec votre LDAP pour l’authentification et la gestion de la console, et reconnaît vos UO et groupes de machines qui sont configurés dans vote AD (Active Directory).
Anciennement au catalogue d’IBM, la solution BigFix a été conçue pour gérer les serveurs et c’est ce qui en fait aujourd’hui une solution leader du marché du Patch Management. Cette notion de multiOS qui permet d’adresser l’intégralité des serveurs et des postes de travail est sa force.
Bien que WSUS est une solution gratuite, vous êtes rapidement confronté à ses limites : vous manquez de visibilité et de pilotage.
En effet, avec WSUS, vous ne savez pas ce qu’il se passe quand vous distribuez un patch. Avec BigFix, vous pouvez donner de la visibilité sur les actions menées et piloter facilement. Vous n’avez plus besoin de divers outils pour patcher vos postes ET serveurs, BigFix prend la totalité de votre parc en charge.
Echangez avec nos équipes
Nous sommes disponibles afin de répondre à toutes vos interrogations et serions heureux de vous conseiller et accompagner dans votre futur projet de Patch Management. Contactez-nous afin d’obtenir plus d’informations, une démonstration produit ou une estimation financière.