Bonnes pratiques en matière de gestion des correctifs : comment mettre en place un programme qui fonctionne vraiment

Selon le rapport Kaseya « State of the MSP » de 2026, 69 % des MSP proposent la gestion des correctifs et des mises à jour en tant que service, ce qui en fait l'une des fonctionnalités les plus couramment proposées dans le domaine managed services l'une des plus importantes pour assurer la sécurité des environnements des clients.

La gestion des correctifs désigne le processus consistant à identifier, acquérir, tester et appliquer les mises à jour logicielles dans l'ensemble de l'environnement informatique d'une organisation. Ces mises à jour, publiées par les éditeurs de logiciels pour corriger les failles de sécurité, résoudre les bogues fonctionnels et améliorer la stabilité, constituent le principal moyen de réduire la surface d'attaque connue. En l'absence d'un programme de gestion des correctifs cohérent, les vulnérabilités s'accumulent plus vite qu'elles ne sont corrigées.

La plupart des équipes informatiques appliquent des correctifs. Mais rares sont celles qui le font avec suffisamment de régularité, de rapidité et d'exhaustivité pour combler les failles que les pirates exploitent réellement. C'est précisément dans cet écart entre le simple fait de disposer d'un processus de gestion des correctifs et celui d'en avoir un qui soit efficace que se produisent la plupart des violations de sécurité qui auraient pu être évitées.

Les données sur ce point sont cohérentes d'une année à l'autre dans les enquêtes sur les violations de données : les vulnérabilités non corrigées restent l'une des principales causes des cyberattaques réussies. Bon nombre des incidents les plus graves liés aux ransomwares et aux violations de données de ces dernières années ont exploité des vulnérabilités pour lesquelles des correctifs étaient disponibles depuis des mois. Le problème réside rarement dans la disponibilité des correctifs, mais plutôt dans la rapidité, la cohérence et l'exhaustivité avec lesquelles ils sont appliqués.

Ce guide explique comment mettre en place un programme de gestion des correctifs qui comble les lacunes de l'approche actuelle de la plupart des entreprises.

Pourquoi la gestion des correctifs échoue dans la pratique

Les problèmes liés à l'application des correctifs ne sont presque jamais dus à une méconnaissance de l'importance de cette pratique. Ils sont plutôt liés à des difficultés opérationnelles, à des lacunes dans la couverture des systèmes et à des erreurs de hiérarchisation des priorités.

Les lacunes de couverture constituent le danger le plus grave. Les correctifs qui couvrent les mises à jour du système d'exploitation Windows mais négligent celles des navigateurs, des applications tierces et des micrologiciels laissent une importante surface d'attaque non protégée. L'exploitation en 2021 d'une vulnérabilité de Microsoft Office datant de quatre ans en est un exemple flagrant : un correctif disponible depuis 2017, appliqué par la plupart des entreprises à leur système d'exploitation, mais ignoré dans la couverture des applications tierces.

On parle de « retard » lorsque le délai entre la publication d'un correctif et son application s'étend sur plusieurs semaines plutôt que sur quelques jours. Les pirates agissent rapidement dès qu'une vulnérabilité est rendue publique : des outils d'exploitation apparaissent en quelques heures, voire quelques jours, pour les vulnérabilités à haut risque. Un cycle de correction de 30 jours, qui était considéré comme raisonnable il y a cinq ans, s'avère désormais insuffisant face au rythme actuel de développement des exploits.

Sans données pour établir les priorités, les équipes finissent par corriger les problèmes dans l'ordre de leur publication plutôt que par ordre de gravité, corrigeant ainsi les problèmes de faible gravité sur des systèmes stables tandis que les vulnérabilités critiques affectant des ressources exposées à Internet restent en suspens.

Les processus manuels ne peuvent tout simplement pas suivre le rythme à grande échelle. La gestion manuelle des correctifs sur des centaines, voire des milliers de terminaux est intrinsèquement source d'erreurs et limitée en termes de capacité. À une échelle significative, l'automatisation n'est pas un simple atout. C'est la seule approche viable.

Ce que doit inclure un programme efficace de gestion des correctifs

Un programme complet couvre toutes les catégories de logiciels, et pas seulement les mises à jour du système d'exploitation.

Systèmes d'exploitation — Windows, macOS et Linux, y compris toutes les versions actives dans l'environnement, avec des cycles de mise à jour réguliers alignés sur les versions.

Applications tierces — navigateurs (Chrome, Firefox, Edge), suites bureautiques (Microsoft 365, Adobe), outils de communication (Teams, Slack, Zoom) et toute autre application largement déployée. Les vulnérabilités des applications tierces figurent régulièrement parmi les plus exploitées, car elles sont moins visibles que les correctifs des systèmes d'exploitation, ce qui en fait des cibles de choix.

Les navigateurs, en particulier: les navigateurs constituent des cibles de choix, car ils sont directement exposés à des contenus Internet non fiables. Les éditeurs de navigateurs publient fréquemment des correctifs de sécurité. Ceux-ci doivent être installés avec la même urgence que les correctifs du système d'exploitation.

Firmware — Le firmware matériel (BIOS/UEFI, firmware des périphériques réseau, contrôleurs de stockage) est souvent totalement exclu des programmes de mise à jour. Les vulnérabilités du firmware sont plus difficiles à exploiter, mais peuvent s'avérer très difficiles à détecter et à corriger une fois le système compromis.

Appareils distants et hors réseau — les appareils distants et ceux utilisés dans le cadre du télétravail doivent bénéficier de la même couverture en matière de correctifs que ceux situés au bureau. Une solution RMM dotée d'une fonctionnalité de mise à jour hors réseau, capable d'appliquer les correctifs dès que les appareils se connectent à Internet, qu'ils soient ou non sur le réseau de l'entreprise, est indispensable dans les environnements hybrides.

Infrastructure cloud — les instances et les conteneurs cloud doivent être mis à jour avec la même urgence que les systèmes sur site, mais les processus sont souvent différents. La gestion des correctifs dans le cloud nécessite une définition claire des processus ; on ne peut pas simplement partir du principe que le fournisseur de services cloud s'en charge.

Priorisation des correctifs : comment déterminer ce qu'il faut corriger en premier

Tous les correctifs ne présentent pas le même degré d'urgence. Lorsque les ressources sont limitées, la hiérarchisation doit se fonder sur le risque, et non sur la date de publication.

Les cadres de hiérarchisation les plus fiables combinent deux dimensions : la gravité de la vulnérabilité (score CVSS, les niveaux « critique » et « élevé » étant prioritaires) et l'exploitabilité (existe-t-il un exploit connu en circulation ? Est-il activement utilisé ?). Le catalogue des vulnérabilités connues pour être exploitées (KEV) de la CISA constitue la source publique la plus fiable pour cette dernière dimension. Il répertorie les vulnérabilités actuellement exploitées de manière active, qui doivent faire l'objet de correctifs d'urgence, quel que soit leur score CVSS.

La criticité des ressources ajoute une troisième dimension. Une vulnérabilité de gravité moyenne sur un serveur exposé à Internet ou un contrôleur de domaine est considérée comme plus prioritaire qu'une vulnérabilité de gravité élevée sur un poste de travail de développement isolé.

Un cadre pratique pour la hiérarchisation des priorités :

1. Entrées CISA KEV — appliquer le correctif dans les 24 heures, quel que soit le score CVSS

2. Vulnérabilités critiques sur les systèmes connectés à Internet ou disposant de privilèges élevés — appliquer le correctif dans un délai de 24 à 72 heures

3. Vulnérabilités à haut risque sur les terminaux standard — appliquer les correctifs dans les 7 jours

4. Vulnérabilités de gravité moyenne — appliquer le correctif dans les 30 jours

5. Vulnérabilités de faible gravité — à intégrer dans les cycles de maintenance réguliers

L'automatisation : la seule solution pour appliquer des correctifs à grande échelle

La mise à jour manuelle des correctifs, quel que soit le nombre de terminaux concernés, n'est pas une approche viable à long terme. Le volume de correctifs publiés dans toutes les catégories de logiciels, la fréquence des mises à jour de sécurité critiques et la rapidité avec laquelle de nouvelles failles sont exploitées exigent un déploiement automatisé des correctifs, régi par des règles.

Une gestion automatisée efficace des correctifs comprend :

Une analyse continue qui identifie les correctifs manquants sur l'ensemble des terminaux gérés, mise à jour en temps réel par rapport aux catalogues de correctifs des éditeurs.

Déploiement basé sur des règles qui applique automatiquement les correctifs approuvés selon des calendriers définis, des délais déterminés en fonction du niveau de gravité, des fenêtres de maintenance et des politiques de déploiement progressif visant à limiter l'ampleur des répercussions si un correctif venait à causer des problèmes de compatibilité avec les applications.

Des processus de validation pour les correctifs nécessitant un examen, généralement les mises à jour de version majeures ou les correctifs affectant des applications critiques, tout en permettant le déploiement automatique des correctifs de sécurité standard sans intervention manuelle à chaque étape.

Environnements de test pour les correctifs à haut risque, permettant de les valider sur un échantillon représentatif de terminaux avant leur déploiement à grande échelle.

Des rapports de conformité qui présentent l'état des correctifs dans l'ensemble de l'environnement, classés par niveau de gravité, date d'installation et groupe d'actifs, offrant ainsi aux responsables une vue d'ensemble des risques actuels et des justificatifs nécessaires pour répondre aux exigences d'audit et de conformité.

Kaseya VSA assure la gestion automatisée des correctifs sur les terminaux Windows, macOS et Linux, y compris pour les applications tierces, grâce à des règles configurables concernant le calendrier de déploiement, les workflows de validation et les rapports de conformité. Les appareils hors réseau sont mis à jour dès qu'ils se connectent à Internet, qu'ils soient ou non sur le réseau de l'entreprise. Demandez une démonstration pour découvrir comment cela fonctionne.

Kaseya Intelligence: exécution autonome des correctifs

L'automatisation gère la planification et le déploiement des correctifs. Ce qu'elle ne peut toutefois pas faire seule, c'est boucler la boucle : détecter la vulnérabilité, évaluer le risque qu'elle présente dans l'environnement concerné, appliquer le correctif, puis vérifier que celui-ci a bien été appliqué et n'a causé aucun dysfonctionnement en aval.

Kaseya Intelligence, le moteur d'IA qui alimente la Kaseya 365 , fait passer la gestion des correctifs d'une planification automatisée à une exécution et une validation autonomes. Entraîné sur les données issues de 17 millions de terminaux gérés et de plus d'un milliard de tickets d'assistance réels, il tient compte de contextes que l'automatisation générique ne peut pas prendre en compte : quels sont les systèmes véritablement critiques, quels correctifs ont historiquement causé des problèmes de compatibilité dans des environnements similaires, et quelles vulnérabilités non corrigées représentent actuellement le risque le plus élevé.

Pour les MSP qui gèrent les mises à jour sur des dizaines, voire des centaines d'environnements clients, c'est ce contexte qui fait la différence entre un programme de mise à jour qui fonctionne et un autre capable de s'adapter sans entraîner d'augmentation proportionnelle du nombre de tickets de dépannage. Découvrez Kaseya Intelligence.

Gestion des correctifs pour les MSP : cohérence entre les environnements des clients

Pour les MSP, la gestion des correctifs remplit une double fonction : protéger les environnements des clients contre les vulnérabilités et démontrer cette protection à l'aide de données de conformité documentées qui répondent aux exigences des clients en matière de rapports et d'audits.

La gestion des correctifs MSP nécessite :

Des politiques de base standardisées sont appliquées de manière cohérente dans tous les environnements clients, avec des adaptations spécifiques à chaque client lorsque les contraintes l'exigent (fenêtres de maintenance, applications critiques pour l'activité nécessitant des tests préalables à l'application des correctifs).

Des rapports de conformité par client qui présentent, pour chaque client individuellement, l'état des correctifs, les vulnérabilités non résolues et les mesures correctives à prendre.

Des calendriers de correctifs conformes au SLA qui fixent des délais précis pour la mise en œuvre des mesures correctives et fournissent des preuves que ces délais sont respectés.

Procédures d'escalade pour les situations où l'accord du client est nécessaire avant l'application d'un correctif et où cet accord est retardé, afin de garantir que les vulnérabilités en suspens ne soient pas négligées pendant l'attente de la validation du client.

Évaluation du respect des correctifs

L'efficacité de la gestion des correctifs est mesurable, et il est utile de suivre ces indicateurs de manière régulière :

Délai moyen d'application des correctifs (MTTP) — durée moyenne entre la publication d'un correctif et son application, par catégorie de gravité. L'évolution du MTTP permet de déterminer si le programme s'améliore ou se détériore au fil du temps.

Taux de conformité des correctifs — pourcentage de correctifs applicables installés dans les délais définis par le SLA. Suivez cet indicateur par niveau de gravité et par groupe d'actifs afin d'identifier précisément où se situent les lacunes.

Durée de vie des vulnérabilités critiques — durée pendant laquelle les vulnérabilités critiques restent sans correctif. Toute vulnérabilité critique datant de plus de 7 jours et ne faisant pas l'objet d'une procédure d'exception approuvée représente un risque qui doit être signalé à la hiérarchie.

Taux d'exception et ancienneté — les correctifs en attente (retardés en raison de tests de compatibilité, de contraintes opérationnelles ou de processus d'approbation client) doivent faire l'objet d'un suivi à l'aide d'alertes d'ancienneté. Une exception ancienne est soit un risque maîtrisé et documenté, soit une lacune tombée dans l'oubli.