"Nous sommes en train de nous enfoncer dans un anachronisme en préservant des pratiques qui n'ont aucune base rationnelle au-delà de leurs racines historiques dans une période antérieure de développement technologique et théorique."  

Seymour Papert, "Mindstorms", 1980

Le même livre, la même page, en fait, d'où est extraite la citation ci-dessus, contient une autre histoire qui illustre ce point. La disposition du clavier QWERTY est née à l'époque des machines à écrire - oui, ces vieilles machines encombrantes qui émettaient des clics et des claquements il y a quelques décennies. 

Il s'avère que lorsque vous appuyez trop rapidement sur les touches voisines d'un clavier, elles se bloquent et vous devez les décoller manuellement. Cela vous ralentissait et vous salissait probablement les doigts. La solution a donc été d'inventer une disposition de clavier où les lettres qui se suivent habituellement sont physiquement séparées, et c'est ce qu'a fait le QWERTY. Quelques années plus tard, le problème des touches collantes a été résolu au niveau mécanique. 

Bien que la solution au problème initial ait été trouvée, nous avons toujours le QWERTY aujourd'hui.

Le patching comme exemple concret

Tous ceux qui lisent cet article savent à quel point les correctifs de vulnérabilité sont importants. L'application de correctifs est un sujet récurrent dans les activités quotidiennes des équipes informatiques, tout simplement parce qu'il s'agit d'un élément clé de la cybersécurité, mais les correctifs n'ont pas beaucoup changé au fil des ans.

Oui, il existe aujourd'hui un degré d'automatisation qui n'existait pas auparavant, car (espérons-le !) les administrateurs système ne se connectent plus manuellement à chaque système pour le patcher et ne redémarrent pas non plus les systèmes manuellement. Pourtant, en principe, l'application de correctifs reste très perturbatrice et sujette à des erreurs. Il n'est pas non plus agile, car les correctifs sont souvent appliqués longtemps après qu'une vulnérabilité a été rendue publique.

C'est pourquoi Jack, de la comptabilité, se plaint chaque semaine de la situation chaotique que va connaître le service informatique à la suite de l'annonce d'une fenêtre de maintenance des correctifs. Et il n'a pas tort, car la façon dont les correctifs ont toujours été effectués ralentit les systèmes ou les arrête complètement, ce qui signifie que d'autres parties prenantes - y compris Jack - sont mécontentes.

En fin de compte, les systèmes corrigés sont plus sûrs, mais les perturbations qui en résultent renforcent également l'idée que le service informatique est un obstacle à l'activité et un gouffre financier.

Il doit y avoir une raison, non ?

L'ancienne façon de faire les choses peut être perturbatrice, mais elle peut aussi être vraiment, vraiment lente. Pour en revenir à notre exemple de correctifs, malgré tous les efforts déployés, la lenteur du calendrier mensuel des correctifs réguliers signifie souvent que les correctifs ne sont pas appliqués assez rapidement pour répondre aux incidents de cybersécurité.

Et, malgré l'inefficacité et la lenteur relatives de l'application des correctifs, elle consomme encore énormément de temps et de ressources. Inefficace, perturbateur, chronophage... on pourrait croire que le patching est effectué à l'ancienne parce que c'est une méthode fiable et infaillible. Mais vous auriez tort.

Combien de fois est-il arrivé qu'un administrateur système malchanceux applique accidentellement des correctifs et redémarre tous les serveurs web de l'organisation au lieu de redémarrer les machines de secours... simplement parce qu'il avait sélectionné les mauvaises machines dans la console de gestion ?

C'est à ce moment-là, bien sûr, que Jack, de la comptabilité, parle à nouveau de la perte de revenus et de son impact négatif sur les relations avec les clients. Une fois de plus, il a raison, et une fois de plus, il est clair que les anciennes façons de faire les choses ne sont pas favorables aux affaires.

Il est trop facile d'ignorer les meilleures options.

Il faut se demander pourquoi Jack n'obtient pas ce qu'il veut à un moment donné. Pourquoi les experts en informatique ne proposent-ils pas une solution qui implique moins de perturbations informatiques et des coûts globaux moins élevés ? Probablement parce qu'il n'y a pas de meilleure option ?

Voici le fait révélateur qui se cache derrière de nombreux cas de "notre équipe a toujours fait le processus XYZ de cette manière particulière". Souvent, il existe une alternative éprouvée et fiable qui n'a pas encore été mise en œuvre - peut-être parce que certaines équipes sont en retard.

Reprenons l'exemple du patch. Lorsque vous faites vos recherches... eh bien, qui l'eût cru, il existe une meilleure façon de procéder. Cela s'appelle le live patching. Bien sûr, certaines entreprises utilisent le live patching depuis des années, et il a été prouvé qu'il fonctionne parfaitement, mais le live patching n'est néanmoins pas mis en œuvre de manière universelle.

Comme toujours, la raison est simple : les équipes techniques ne profitent pas des correctifs en direct parce qu'elles s'en tiennent aux anciennes méthodes de travail. Et ce, malgré le fait que le live patching accélère les choses, tout en étant moins sujet à l'erreur - et tout cela en causant moins de perturbations. Le "live patching" n'est pas seulement une meilleure façon de faire les choses, c'est aussi une façon plus sûre de faire les choses parce qu'il protège rapidement contre les nouvelles menaces.

Ne résistez pas au changement

Soulever des questions sur les technologies de pointe est un exercice valable, mais refuser d'adopter une meilleure façon de faire les choses "juste parce que l'ancienne façon de faire les choses était bien depuis le début" peut retarder votre organisation et - pire - ouvrir la porte à des risques énormes.

Les professionnels de l'informatique doivent rester à la pointe du progrès dans tous les domaines. Cela inclut l'examen et la remise en question des pratiques que nous faisons de la même manière depuis des années. Si vous ne le faites pas, vous donnez à Jack de la comptabilité toutes les raisons dont il a besoin pour se plaindre de l'informatique. Mais si vous révisez et améliorez vos pratiques, vous constaterez peut-être que Jack vous dira beaucoup moins de choses.

Résumé

Nom de l'article

pourquoi les experts devraient-ils envisager de faire les choses de la même manière ?

Description

Vous souhaitez connaître l'importance des correctifs de vulnérabilité ? Le patching est un sujet récurrent dans les activités quotidiennes des équipes informatiques...

Auteur

Joao Correira

Nom de l'éditeur

TuxCare

Logo de l'éditeur