{"id":1490,"date":"2022-12-28T20:34:33","date_gmt":"2022-12-28T20:34:33","guid":{"rendered":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/?page_id=1490"},"modified":"2022-12-28T21:41:37","modified_gmt":"2022-12-28T21:41:37","slug":"lignes-directrices-en-matiere-de-gestion-des-correctifs","status":"publish","type":"page","link":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/lignes-directrices-en-matiere-de-gestion-des-correctifs\/","title":{"rendered":"Lignes directrices en mati\u00e8re de gestion des correctifs"},"content":{"rendered":"\n<ul class=\"toc wp-block-list\"><li><a href=\"#h-but\">But<\/a><\/li><li><a href=\"#h-portee\">Port\u00e9e<\/a><\/li><li><a href=\"#h-responsabilite\">Responsabilit\u00e9s<\/a><\/li><li><a href=\"#h-rec\">Recommandations en mati\u00e8re de correctifs<\/a><\/li><li><a href=\"#h-how\">Comment<\/a><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-but\"><strong>But<\/strong><\/h2>\n\n\n\n<p>L\u2019application rapide des correctifs s\u2019av\u00e8re l\u2019une des solutions les plus efficaces et \u00e9conomiques qu\u2019un organisme peut apporter pour att\u00e9nuer le risque de menaces en mati\u00e8re de cybers\u00e9curit\u00e9. La mise en place pr\u00e9coce des correctifs, comme les mises \u00e0 jour de s\u00e9curit\u00e9, r\u00e9duit le risque d\u2019exposition aux vuln\u00e9rabilit\u00e9s informatiques.<\/p>\n\n\n\n<p>Ce document d\u00e9finit les lignes directrices pour la gestion de correctifs au sein du Service num\u00e9rique canadien (SNC).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-portee\"><strong>Port\u00e9e<\/strong><\/h2>\n\n\n\n<p>Ces lignes directrices mettent l\u2019accent sur l\u2019ensemble des ressources et services d\u00e9velopp\u00e9s par le SNC et sur le personnel du SNC qui les cr\u00e9e, les d\u00e9ploie ou les entretient.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-responsabilites\">Responsabilit\u00e9s<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">IFS interne<\/h3>\n\n\n\n<p>L\u2019ing\u00e9nierie de fiabilit\u00e9 des sites (IFS) assure l\u2019entretien de tout outil d\u00e9velopp\u00e9 par l\u2019\u00e9quipe de l\u2019IFS (int\u00e9grations GitHub sur mesure, gestion secr\u00e8te, outils de test de charge \u00e0 l\u2019\u00e9chelle du SNC) et utilis\u00e9 par les \u00e9quipes du SNC.<\/p>\n\n\n\n<p>L\u2019IFS aide \u00e9galement \u00e0 mettre au jour les probl\u00e8mes de s\u00e9curit\u00e9 pour permettre aux \u00e9quipes d\u2019y rem\u00e9dier.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">\u00c9quipes du SNC<\/h3>\n\n\n\n<p>Les responsables du d\u00e9veloppement du SNC et leurs \u00e9quipes ont pour responsabilit\u00e9 de veiller \u00e0 l\u2019entretien des logiciels g\u00e9r\u00e9s par leurs soins \u00e0 l\u2019aide de mises \u00e0 jour et de correctifs r\u00e9guliers.&nbsp;<\/p>\n\n\n\n<p>S\u2019il n\u2019existe pas de correctif disponible pour une vuln\u00e9rabilit\u00e9 connue, les \u00e9quipes du SNC ont la responsabilit\u00e9 de trier les vuln\u00e9rabilit\u00e9s concern\u00e9es et de d\u00e9terminer d\u2019autres approches \u00e0 adopter pour att\u00e9nuer les risques.<\/p>\n\n\n\n<p>Les \u00e9quipes du SNC ont pour responsabilit\u00e9 de dresser un inventaire exhaustif et pr\u00e9cis des ressources.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">\u00c9quipe des services de base de la plateforme<\/h3>\n\n\n\n<p>L\u2019\u00e9quipe des services de base de la plateforme a pour responsabilit\u00e9 de r\u00e9guli\u00e8rement \u00e9valuer la conformit\u00e9 du SNC avec les normes en mati\u00e8re de gestion des correctifs. Elle offre \u00e9galement des conseils \u00e0 tous les groupes de parties prenantes concernant les probl\u00e8mes de s\u00e9curit\u00e9 et la gestion des correctifs.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-rec\">Recommandations en mati\u00e8re de correctifs<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li>Les responsables d\u2019\u00e9quipe du SNC ou leurs repr\u00e9sentants sont responsables d\u2019\u00e9valuer les composantes de syst\u00e8me et les logiciels dont ils ou elles assurent la gestion ou la supervision et de rem\u00e9dier aux \u00e9ventuels probl\u00e8mes connexes.&nbsp;<\/li><li>Tous les correctifs ou changements de configuration doivent \u00eatre appliqu\u00e9s aux composantes de syst\u00e8me et aux logiciels dans le respect des d\u00e9lais pr\u00e9cis\u00e9s dans la planification des correctifs ci-dessous.<\/li><li>Les correctifs pour les vuln\u00e9rabilit\u00e9s de niveau \u00ab&nbsp;critique \/ tr\u00e8s \u00e9lev\u00e9&nbsp;\u00bb doivent \u00eatre appliqu\u00e9s dans un d\u00e9lai de sept (7) jours&nbsp;<\/li><li>Si le d\u00e9ploiement de correctifs pour les vuln\u00e9rabilit\u00e9s de niveau \u00ab&nbsp;critique \/ tr\u00e8s \u00e9lev\u00e9&nbsp;\u00bb n\u2019est pas possible dans un d\u00e9lai de sept (7) jours, il faut appliquer les contr\u00f4les de compensation appropri\u00e9s ou employer des moyens d\u2019att\u00e9nuation temporaires.<\/li><li>S\u2019il n\u2019existe aucune correction disponible pour rem\u00e9dier \u00e0 une vuln\u00e9rabilit\u00e9, le ou la chef\u00b7fe en charge de la situation doit approuver tout contr\u00f4le de compensation ou d\u2019att\u00e9nuation ou, si aucune solution n\u2019est disponible, approuver l\u2019acceptation du risque.<\/li><li>Les \u00e9tapes de correction doivent \u00eatre document\u00e9es par les responsables d\u2019\u00e9quipe et des d\u00e9lais doivent \u00eatre d\u00e9termin\u00e9s pour l\u2019\u00e9valuation et l\u2019application de correctifs futurs.<\/li><li>Il est possible qu\u2019il faille respecter des d\u00e9lais plus brefs pour l\u2019application de correctifs en fonction de la gravit\u00e9 de la vuln\u00e9rabilit\u00e9 et de ses cons\u00e9quences potentielles ou r\u00e9elles (comme c\u2019est le cas pour les vuln\u00e9rabilit\u00e9s de type \u00ab&nbsp;zero-day&nbsp;\u00bb).<\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-how\">Comment?<\/h2>\n\n\n\n<p>Les \u00e9quipes doivent maintenir \u00e0 jour toutes les biblioth\u00e8ques de syst\u00e8mes et tous les logiciels en y incorporant de petites modifications progressives \u00e0 un rythme g\u00e9rable et r\u00e9gulier.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Automatisation de la gestion de correctifs<\/h3>\n\n\n\n<p>Ajoutez votre projet \u00e0 Renovate.<\/p>\n\n\n\n<p>Les \u00e9quipes peuvent activer l\u2019application GitHub Renovate dans le r\u00e9f\u00e9rentiel GitHub du projet. Cela cr\u00e9e une demande de tirage (pull request) pour la configuration dans Renovate. Une fois la fusion de la configuration effectu\u00e9e, utilisez le tableau de bord des d\u00e9pendances pour cr\u00e9er et fusionner la demande de tirage relative \u00e0 la d\u00e9pendance.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Planification des correctifs<\/h3>\n\n\n\n<p><strong>Versions mineures et mises \u00e0 jour correctives<\/strong><\/p>\n\n\n\n<p>Chaque sprint devrait compter un \u00e9l\u00e9ment \u00e0 tester et fusionner les demandes de tirage li\u00e9es \u00e0 la version mineure, celles li\u00e9es \u00e0 la mise \u00e0 jour corrective et celles \u00e9pingl\u00e9es ant\u00e9rieurement au fur et \u00e0 mesure de leur cr\u00e9ation chaque semaine.<\/p>\n\n\n\n<p><strong>Versions majeures<\/strong><\/p>\n\n\n\n<p>Les mises \u00e0 jour majeures doivent \u00eatre \u00e9valu\u00e9es sur le tableau de bord des d\u00e9pendances et abord\u00e9es au minimum une fois tous les deux sprints. Il est possible que la mise \u00e0 jour du code soit plus longue pour une version majeure. De ce fait, il convient d\u2019incorporer cette derni\u00e8re de la m\u00eame mani\u00e8re que pour l\u2019ajout d\u2019une petite fonctionnalit\u00e9.<\/p>\n\n\n\n<p><strong>Vuln\u00e9rabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9<\/strong><\/p>\n\n\n\n<p>Les demandes de tirage relatives aux vuln\u00e9rabilit\u00e9s doivent \u00eatre fusionn\u00e9es selon notre planification des correctifs, laquelle d\u00e9pend de la gravit\u00e9 de la vuln\u00e9rabilit\u00e9 et de la possibilit\u00e9 d\u2019exploiter cette derni\u00e8re.<\/p>\n\n\n\n<p>Pour prot\u00e9ger les ressources et services du SNC de vuln\u00e9rabilit\u00e9s connues, les correctifs de s\u00e9curit\u00e9 doivent \u00eatre d\u00e9ploy\u00e9s dans des d\u00e9lais raisonnables en fonction de la gravit\u00e9 des vuln\u00e9rabilit\u00e9s et de la possibilit\u00e9 d\u2019exploitation, comme indiqu\u00e9 ci-dessous&nbsp;:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td><strong>Gravit\u00e9<\/strong><\/td><td><strong>Possibilit\u00e9 d\u2019attaque publique<\/strong><\/td><td><strong>Pas d\u2019exploitation d\u00e9tect\u00e9e<\/strong><\/td><\/tr><tr><td>Niveau critique \/ tr\u00e8s \u00e9lev\u00e9<\/td><td>24&nbsp;heures<\/td><td>7 jours<\/td><\/tr><tr><td>Niveau \u00e9lev\u00e9<\/td><td>48&nbsp;heures<\/td><td>2 semaines<\/td><\/tr><tr><td>Niveau moyen<\/td><td>7 jours<\/td><td>Chaque mois<\/td><\/tr><tr><td>Niveau faible<\/td><td>2 semaines<\/td><td>Chaque mois<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>La gravit\u00e9 est \u00e9valu\u00e9e selon <a href=\"https:\/\/fr.wikipedia.org\/wiki\/Common_Vulnerability_Scoring_System\">plusieurs m\u00e9triques<\/a> mesurant&nbsp;:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>la facilit\u00e9 d\u2019exploitation de la vuln\u00e9rabilit\u00e9;<\/li><li>l\u2019incidence de cette exploitation; et<\/li><li>la fa\u00e7on dont nous utilisons la d\u00e9pendance pr\u00e9sentant la vuln\u00e9rabilit\u00e9.<\/li><\/ol>\n\n\n\n<p>Voici des exemples des diff\u00e9rents niveaux de gravit\u00e9&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Les vuln\u00e9rabilit\u00e9s de niveau critique peuvent \u00eatre exploit\u00e9es \u00e0 distance, sans authentification, et entra\u00eenent des pertes de donn\u00e9es ou compromettent le syst\u00e8me.<\/li><li>Les vuln\u00e9rabilit\u00e9s de niveau faible n\u00e9cessitent la pr\u00e9sence d\u2019un acc\u00e8s local au serveur et d\u2019une attaque sp\u00e9cifiquement pr\u00e9par\u00e9e et causant l\u2019instabilit\u00e9 du syst\u00e8me (d\u00e9ni de service).<\/li><\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Quand ignorer une mise \u00e0 jour<\/strong><\/h3>\n\n\n\n<p><strong>De mani\u00e8re temporaire<\/strong><\/p>\n\n\n\n<p>Clore la demande de tirage contenant la mise \u00e0 jour \u00e0 l\u2019aide d\u2019un commentaire expliquant pourquoi cette demande ne fait pas encore l\u2019objet d\u2019un traitement ou d\u2019une fusion. De cette fa\u00e7on, la demande fera l\u2019objet d\u2019un suivi dans le tableau de bord des d\u00e9pendances de Renovate, ce qui permettra de l\u2019appliquer en toute simplicit\u00e9 \u00e0 l\u2019avenir.<\/p>\n\n\n\n<p><strong>De mani\u00e8re permanente<\/strong><\/p>\n\n\n\n<p>Mettre \u00e0 jour la configuration Renovate du projet directement \u00e0 l\u2019aide d\u2019un bloc ignoreDeps pour la d\u00e9pendance. Inclure une explication de ce changement dans la demande de tirage mettant \u00e0 jour la configuration Renovate.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Alertes de vuln\u00e9rabilit\u00e9 GitHub<\/strong><\/h3>\n\n\n\n<p>Nos r\u00e9f\u00e9rentiels de projets recevront \u00e9galement des <a href=\"https:\/\/docs.github.com\/fr\/code-security\/dependabot\/dependabot-alerts\/about-dependabot-alerts\">alertes de vuln\u00e9rabilit\u00e9 de la part de GitHub<\/a>. Celles-ci doivent faire l\u2019objet de la m\u00eame \u00e9valuation de vuln\u00e9rabilit\u00e9 et du m\u00eame processus de correction que les demandes de tirage Renovate.<\/p>\n\n\n\n<p>Si une vuln\u00e9rabilit\u00e9 est d\u00e9couverte, mais n\u2019a pas d\u2019incidence sur le projet, il est possible de l\u2019ignorer en cliquant sur le bouton d\u2019alerte Ignorer et en fournissant une justification ainsi qu\u2019un commentaire expliquant pourquoi la vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 ignor\u00e9e.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>R\u00e9f\u00e9rences&nbsp;:<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"https:\/\/www.canada.ca\/fr\/gouvernement\/systeme\/gouvernement-numerique\/innovations-gouvernementales-numeriques\/services-informatique-nuage\/orientation-utilisation-securisee-services-commerciaux-informatique-nuage-amops.html#toc6-2-6\">Orientation sur l\u2019utilisation s\u00e9curis\u00e9e des services commerciaux d\u2019informatique en nuage&nbsp;: Avis de mise en \u0153uvre de la Politique sur la s\u00e9curit\u00e9 (AMOPS). 6.2.6 Gestion de la vuln\u00e9rabilit\u00e9<\/a><\/li><li><a href=\"https:\/\/www.tbs-sct.canada.ca\/pol\/doc-fra.aspx?id=32611\">Directive sur la gestion de la s\u00e9curit\u00e9&nbsp;: Annexe&nbsp;B&nbsp;: Proc\u00e9dures obligatoires relatives aux mesures de s\u00e9curit\u00e9 de la technologie de l\u2019information<\/a><\/li><li><a href=\"https:\/\/cyber.gc.ca\/fr\/orientation\/annexe-3a-catalogue-des-controles-de-securite-itsg-33#a317si2\">ITSG-33&nbsp;: SI-2 correction des d\u00e9fauts<\/a><\/li><li><a href=\"https:\/\/www.canada.ca\/fr\/gouvernement\/systeme\/gouvernement-numerique\/securite-confidentialite-ligne\/orientation-gestion-rustines.html\">Orientation du SCT sur la gestion des rustines<\/a><\/li><li><a href=\"https:\/\/cyber.gc.ca\/fr\/orientation\/les-10-mesures-de-securite-des-ti-no2-appliquer-les-correctifs-aux-systemes-dexploitation-et-aux-applications-itsm10096\">Les 10 mesures de s\u00e9curit\u00e9 des TI N<sup>o<\/sup>&nbsp;2 Appliquer les correctifs aux syst\u00e8mes d\u2019exploitation et aux applications&nbsp;\u2014 ITSM.10.096<\/a><\/li><li><a href=\"https:\/\/www.ncsc.gov.uk\/guidance\/vulnerability-management\">National Cyber Security Centre: Vulnerability management (document sur la gestion des vuln\u00e9rabilit\u00e9s du centre national de cybers\u00e9curit\u00e9 du Royaume-Uni)<\/a><\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>But Port\u00e9e Responsabilit\u00e9s Recommandations en mati\u00e8re de correctifs Comment But L\u2019application rapide des correctifs s\u2019av\u00e8re l\u2019une des solutions les plus efficaces et \u00e9conomiques qu\u2019un organisme peut apporter pour att\u00e9nuer le risque de menaces en mati\u00e8re de cybers\u00e9curit\u00e9. La mise en place pr\u00e9coce des correctifs, comme les mises \u00e0 jour de s\u00e9curit\u00e9, r\u00e9duit le risque d\u2019exposition\u2026 <a class=\"read-more\" href=\"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/lignes-directrices-en-matiere-de-gestion-des-correctifs\/\">Read more<span class=\"wb-sl\"> of Lignes directrices en mati\u00e8re de gestion des correctifs<\/span><\/a><\/p>\n","protected":false},"author":66,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-1490","page","type-page","status-publish","hentry"],"slug_en":"patch-management-guideline","slug_fr":"lignes-directrices-en-matiere-de-gestion-des-correctifs","id_en":1465,"id_fr":1490,"lang":"fr","_links":{"self":[{"href":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/wp-json\/wp\/v2\/pages\/1490","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/wp-json\/wp\/v2\/users\/66"}],"replies":[{"embeddable":true,"href":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/wp-json\/wp\/v2\/comments?post=1490"}],"version-history":[{"count":5,"href":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/wp-json\/wp\/v2\/pages\/1490\/revisions"}],"predecessor-version":[{"id":1508,"href":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/wp-json\/wp\/v2\/pages\/1490\/revisions\/1508"}],"wp:attachment":[{"href":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/wp-json\/wp\/v2\/media?parent=1490"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}