Gestion des correctifs de système d’exploitation

La gestion du déploiement des correctifs de système d’exploitation est basée sur les publications standard et critiques des distributeurs de système d’exploitation concernés.

Les correctifs de système d’exploitation critiques nécessitent d’effectuer des recherches et des tests avant le déploiement. Infor examine ces correctifs de système d’exploitation dès que cela est réalisable et applique rapidement ces correctifs aux systèmes d’exploitation hébergés en vigueur.

Les correctifs de système d’exploitation standard sont généralement évalués mensuellement en suivant le planning de publication du système d’exploitation. Ils sont généralement déployés dans les 30 jours suivant l’achèvement de cette évaluation pour les environnements multi-tenant et dans les 90 jours pour les environnements single-tenant. Tous les systèmes doivent être au niveau le plus récent de correctifs vérifiés pour le système d’exploitation installé, et ce, dans un délai raisonnable une fois les correctifs de système d’exploitation à disposition.

Le processus de gestion des correctifs de système d’exploitation interne d’Infor requiert la réalisation des fonctions clés suivantes (pas nécessairement dans cet ordre) :

  • Surveiller les listes d'alertes et d'avertissements : Infor est inscrit à des alertes que certains distributeurs de système d’exploitation mettent à disposition. Ces listes fournissent des notifications sur les nouveaux correctifs ou mises à jour logiciels qui sont publiés. Infor consulte au minimum les informations suivantes :
    • Liste d’avertissement du CERT Coordination Center
    • Liste de diffusion Bugtraq SecurityFocus
  • Déterminer la pertinence et la gravité de chaque vulnérabilité : Infor examine les avertissements et les alertes dès leur réception et détermine s’ils s’appliquent aux environnements Cloud que nous gérons. Si tel est le cas, Infor évalue la gravité de la vulnérabilité.
  • Evaluation et approbation des correctifs de système d’exploitation : Les correctifs de système d’exploitation publiés sont évalués par Infor pour identifier l’impact potentiel, l’application prise en charge et le niveau de menace.
  • Tester le correctif avant de le déployer : les correctifs de système d’exploitation sont d’appliqués à des environnements de développement et de test n’étant pas en production à la fois pour vérifier la cohérence et garantir que le correctif de système d’exploitation lui-même n’introduit pas de vulnérabilité supplémentaire imprévue ni n’entrave la fonctionnalité normale.
  • Correctifs de système d’exploitation appliqués : les correctifs de système d’exploitation testés et approuvés sont appliqués aux environnements Cloud pertinents lors d’une fenêtre de maintenance planifiée.

En plus de réaliser des vérifications de correctifs de système d’exploitation, Infor évalue certains contrôles compensatoires qui pourraient être mis en œuvre pour réduire le risque et l’exposition de certaines vulnérabilités.