Sécurité et gestion des patchs : Le Cigref étrille à nouveau Microsoft

Sécurité et gestion des patchs : Le Cigref étrille à nouveau Microsoft

Le Cigref, Club informatique des grandes entreprises françaises qui représente plus de 148 entreprises françaises, revient à la charge sur la question de la gestion des patchs de sécurité et cette fois avec des renforts. Dans un communiqué commun, le Cigref se joint à trois associations représentant des DSI dans d’autres pays européens : Beltug en Belgique, CIO Platform Nederland aux Pays bas et Voice CIO en Allemagne.

Les quatre organisations s’attaquent aux pratiques des éditeurs logiciels et en particulier à Microsoft, profitant du lancement de Windows 11 pour faire valoir leurs récriminations : « d’une part, alors que Microsoft communique largement sur ses engagements en matière de sustainability, le cycle de vie de ses produits et services provoque une implacable logique d’obsolescence programmée de parcs d’équipements parfaitement fonctionnels. D’autre part, Microsoft, comme de nombreux autres éditeurs, fait reposer sur les seuls utilisateurs la gestion des vulnérabilités de ses produits et services » résument les auteurs du communiqué.

publicité

Pour une plus grande durabilité dans le logiciel

Sur la logique « d’obsolescence programmé », les associations ont particulièrement dans le viseur les prérequis nécessaires à l’installation de Windows 11, à savoir la nécessité de disposer d’une puce TPM 2.0 et de 4 go de mémoire RAM pour pouvoir espérer migrer ses appareils vers la dernière version de Windows. Pour le Cigref et ses associés, cette politique vise avant tout à garantir à Microsoft « une croissance mécanique de son chiffre d’affaire », les utilisateurs étant obligé de renouveler une partie de leur parc informatique pour pouvoir opérer la bascule vers Windows 11. Une contrainte ennuyeuse pour un utilisateur personnel, mais qui devient un vrai casse tête pour des DSI devant gérer des parcs informatiques comptant des milliers de postes sous Windows. De plus, le Cigref et ses alliés déplorent la fin de support programmé des logiciels, qui font peser une épée de Damoclès pour les entreprises qui se retrouveront privées de mises à jour de sécurité. A titre d’exemple, la fin de support de Windows 10 est prévue pour le mois d’octobre 2025.

Le second point qui inquiète les organisations à l’origine du communiqué est lié à la gestion des patchs par Microsoft. Les signataires du communiqué demandent que l’industrie du logiciel soit soumise à des exigences de qualité, et alertent sur le fait que l’effort nécessaire à l’application des patchs de sécurité représente un effort considérable pour les entreprises utilisatrices de ces solutions. À titre d’exemple, le communiqué cite celui d’une entreprise de 150 000 employés qui doit mobiliser l’équivalent d’une quinzaine d’équivalent temps plein par an pour la gestion des patchs, soit une dépense moyenne d’un million d’euros par an. Les auteurs du communiqué rappellent l’exemple des patchs correctifs des vulnérabilités PrintNightmare, une série de vulnérabilités découvertes dans le spouleur d’impression des systèmes d’exploitation de Microsoft dans le courant de l’été, dont la correction a mobilisé 300 jours/hommes pour la DSI de la société. Cette série de faille a donné du fil à retordre à Microsoft, qui a multiplié pendant l’été les patchs et les solutions de contournement afin de corriger la totalité des vulnérabilités découvertes par les chercheurs, occasionnant parfois une certaine confusion pour les administrateurs systèmes chargés de veiller à la sécurisation du parc informatique.

Une guerre au long cours

Ce n’est pas la première fois que le Cigref fait part de ses revendications à l’égard des fournisseurs de logiciels : l’association avait déjà tiré la sonnette d’alarme sur ces sujets en novembre 2020, prenant cette fois pour exemple la vague d’attaque au rançongiciel qui frappe les entreprises françaises, afin de demander aux éditeurs de meilleures garanties en matière de sécurité pour leurs produits.

Parmi les propositions pour résoudre le problème, les associations demandent ainsi à Microsoft de garantir « le maintien des services de support et des correctifs de sécurité sur ses logiciels sans limitation de durée, et ce, en contrepartie d’un effort financier raisonnable pour le client » et de dissocier les mises à jour fonctionnelles des mises à jour de sécurité, des mesures notamment portée par une proposition de loi actuellement examinée par le parlement et soutenue par le Cigref. Le Cigref propose également d’ouvrir à des sociétés tierces la possibilité de continuer à assurer un support informatique quand l’éditeur décide de ne plus assurer celui ci. Enfin, les associations demandent également à Microsoft de participer aux surcoûts engendrés par sa politique de sécurité.

Leave a Reply

Your email address will not be published. Required fields are marked *