Gestion des correctifs d’urgence

Systèmes Windows

NICE CXone doit appliquer les correctifs aux systèmes CXone concernés dès que possible, si :

  • Un code de preuve de concept est publiquement disponible concernant une éventuelle faille.

  • Un nouveau correctif de sécurité critique est publié.

L’objectif de ces correctifs est de supprimer immédiatement les vulnérabilités de l’environnement infonuagique de l’organisation. Les mises à jour critiques de Microsoft et les autres correctifs font l’objet d’un cycle de test et sont appliqués à intervalles réguliers. Ce calendrier est généralement un cycle de correctifs de 30 jours commençant par le « Mardi des correctifs » (Patch Tuesday) de Microsoft. NICE CXone maintient également un calendrier de correctifs pour Linux avec un niveau de priorité similaire. Les correctifs critiques ne doivent pas attendre le mois suivant.

Les correctifs et les mises à jour sont documentés dans un registre de contrôle des changements. Ils doivent être examinés par le comité de gestion des changements NICE CXone pour les points suivants :

  • Impact.

  • Analyse des risques.

  • Mesures nécessaires prises avant l’approbation.

Les correctifs et les mises à jour doivent également faire l’objet d’un examen par les pairs et d’un examen technique.

Les correctifs et les mises à jour sont d’abord testés dans le laboratoire NICE CXone, puis dans des clusters alpha et bêta, et enfin en production. NICE CXone maintient un processus de gestion des changements d’urgence pour les problèmes critiques inattendus.

Les tests sont effectués sur les mises à jour par un service dédié d’assurance qualité. Ce service utilise des pratiques conformes aux lignes directrices de NICE CXone. Ces lignes directrices se trouvent dans les documents suivants :

  • Cycle de vie du développement de la sécurité (SDLC).

  • Documents de politique et de procédure.

Les équipes opérationnelles NICE CXone mettent à jour ou corrigent tous les appareils CXone concernés. L’application des correctifs s’effectue pendant un créneau de maintenance défini, couvrant normalement trois heures creuses par nuit, en fonction de l’emplacement. Le créneau de maintenance est communiqué dans le cadre du contrat avec le client. La maintenance peut entraîner une brève interruption pendant le redémarrage des serveurs ou le basculement des clusters.

Systèmes et logiciels non-Windows

Linux et d’autres systèmes d’exploitation et dispositifs non-Windows font l’objet de correctifs sur une base calendaire et ad hoc. Ils suivent le même processus et le même cycle que le comité de contrôle des changements. Les versions actuelles sont connues et comparées aux vulnérabilités et expositions communes pertinentes, puis corrigées.

Le service de sécurité de l’information évalue les logiciels tiers ou non-Windows. Pour ce faire, ils utilisent les méthodes suivantes :

  • Balayage axé sur l’assurance qualité.

  • Le centre de sécurité.

  • Autres contrôles et rapports de détection.

Le service de sécurité de l’information communique ces vulnérabilités aux propriétaires et aux groupes concernés, tels que SysOps ou la R&D. Les vulnérabilités classées « critiques » ou « élevées » doivent être corrigées dans un délai de 30 à 90 jours. Certaines menaces relevant de ces vulnérabilités devraient être gérées dans le cadre du mandat de 30 jours.

Outils

Infra-Tools est un outil interne utilisé dans Windows. Il effectue une recherche automatisée de l’état des logiciels et du matériel. Cet outil est utilisé par les groupes d’exploitation des systèmes. Il veille à ce que les machines et les logiciels non corrigés soient signalés et corrigés.

Les pare-feu effectuent une inspection approfondie des paquets pendant IDS/IPS avec la protection contre les menaces activée.

NICE CXone utilise d’autres outils administratifs de sondage du paysage des menaces en interne. Les SIEM de journalisation inspectent les journaux provenant des serveurs appropriés afin de détecter les anomalies.

Objectifs au niveau du service

NICE CXone utilise des objectifs au niveau du service lors de l’application des correctifs. Ces objectifs garantissent que :

  • les vulnérabilités connues sont corrigées à temps;

  • les correctifs sont conformes avec :

    • PCI-DSS;

    • d’autres exigences en matière d’infrastructure de sécurité.

Une échelle est utilisée pour décrire le risque des correctifs et événements. Le groupe interne de propriétaires d’appareils évalue la vulnérabilité comme étant « critique », « élevée », « moyenne » ou « faible ».

  • Les vulnérabilités critiques doivent être corrigées dans les 30 jours.

  • Les vulnérabilités élevées doivent être corrigées dans les 60 jours.

  • Les vulnérabilités moyennes doivent être corrigées dans les 90 jours.

  • Les vulnérabilités faibles doivent être corrigées dans un délai fixé par le groupe interne de propriétaires d’appareils.

Le service de sécurité de l’information transmet les informations sur les faiblesses au centre de sécurité. Il le fait au moyen de rapports d’inspection de la vulnérabilité.

Cycle de correction

L’analyse des menaces critiques commence dès leur découverte. La définition de la menace et le plan d’action sont déterminés dans un délai de 72 heures. Le plan entre ensuite dans le cycle de correction. Le cycle de correction se compose des éléments suivants :

  1. Élaboration d’une solution.

  2. Ingénierie de la solution.

  3. Mise en œuvre dans le laboratoire à des fins de test.

  4. Transmission de la solution à l’assurance qualité.

  5. Programmation de la publication.

  6. Modification de la procédure d’examen et d’approbation par les pairs du conseil.

  7. Déploiement.

L’analyse, la définition, le plan d’action et le cycle de correction doivent avoir lieu dans les 30 jours suivant la détection. Si un service unité commerciale est touché, unité commerciale est informé de l’évolution de la situation. Des mises à jour sont fournies au fur et à mesure de la mise en œuvre de chaque étape du cycle de correction. Une fois la correction réussie, en fonction de l’incident, une analyse des causes fondamentales est délivrée à chaque unité commerciale concerné(e).

Exceptions

La correction et le catalogage manuels sont effectués pour les serveurs et les appareils qui :

  • Ne communiquent avec les serveurs WSUS.

  • Ne sont pas en mesure de récupérer les mises à jour.

Les rapports sur les serveurs non corrigés sont transmis au service de sécurité de l’information à des fins de visibilité, de suivi et d’actions correctives.