Windows Autopatch, la maintenance simplifiée

Avr 11, 2022 | Cyber Security | 0 commentaires

La fin du Patch Tuesday ? Sans doute. Avec Windows Autopatch, Microsoft avance un service de patch management en mode SaaS.

Service SaaS, Windows Autopatch -dédié à Windows et Office- assure une gestion prudente, intelligente et totalement automatisée du déploiement des correctifs et mises à jour.

La fin du Patch Tuesday ? Sans doute. Avec Windows Autopatch, Microsoft avance un service de patch management en mode SaaS. L’éditeur le destine aux organisations ayant opté pour des licences Windows 10/11 Entreprise E3 (et au-delà). Le service se charge de maintenir automatiquement à jour toutes les installations Windows et Office !

« Ce service permettra de maintenir automatiquement à jour les logiciels Windows et Office sur les terminaux inscrits au service, sans coût supplémentaire ! Le deuxième mardi de chaque mois ne sera désormais plus qu’un mardi comme les autres, promet Lior Bela, Senior Product Marketing, Microsoft. Windows Autopatch gère tous les aspects des groupes de déploiement : mises à jour de sécurité, de qualité et de fonctionnalités de Windows 10 et Windows 11, mises à jour de pilotes ou de micrologiciels et mises à jour des applications Microsoft 365 pour les entreprises. »

Le service permet d’implémenter des bonnes pratiques de déploiement tout en s’assurant que le système d’information bénéficie au plus tôt des correctifs de sécurité dont l’absence peut mettre en péril la résilience de l’entreprise.

Répartition en groupes

Windows Autopatch permet aux administrateurs de répartir les PC et serveurs de l’entreprise en quatre groupes : un groupe « tests » (comportant peu de machines et sans impacts sur la production), un groupe « first ring » (environ 1% représentatif du parc), un groupe « fast ring » (machines devant être patchées en priorité et couvrant 9% du parc) et, enfin, un groupe « broad ring » (comportant toutes les machines restantes).

« La population de ces anneaux est gérée automatiquement, de sorte qu’à mesure que les appareils vont et viennent, les anneaux conservent leurs échantillons représentatifs. Mais comme chaque organisation est unique, il reste possible pour les administrateurs de l’entreprise de déplacer manuellement des appareils spécifiques d’un anneau à l’autre », explique Microsoft dans un billet de blog.

Les déploiements sont réalisés progressivement par Windows Autopatch en commençant par le groupe de tests, puis peu à peu les autres groupes. Avant de passer d’un groupe à l’autre, Windows Autopatch observe une période de validation durant laquelle le comportement et la performance des machines du groupe précédent sont observés et analysés en fonction de métriques récoltées avant le début du déploiement.

Toujours possible d’intervenir manuellement

Windows Autopatch embarque également une fonctionnalité « Halt & Rollback » de sorte qu’en cas d’anomalies détectées, la poursuite du déploiement est arrêtée et les machines déjà déployées sont ramenées à leur état antérieur.

Bien que ces processus soient automatiques, les administrateurs peuvent intervenir manuellement pour réclamer l’arrêt des déploiements ou éviter un rollback sur des machines déjà déployées et ne présentant pas d’anomalies. D’autant que l’interface du service est suffisamment granulaire pour sélectionner sur quelles machines le déploiement peut se poursuivre et sur quelles machines il doit être abandonné.

Le système s’améliore de lui-même

Microsoft explique également que le système s’améliore de lui-même : « Chaque fois qu’un problème survient avec une mise à jour, la solution au problème est, dès que disponible, automatiquement intégrée et appliquée aux déploiements futurs, offrant un niveau de service proactif qu’aucune équipe d’administration informatique ne pourrait facilement reproduire. Au fur et à mesure qu’Autopatch sert de nouvelles mises à jour, il ne fait que s’améliorer ». Le système n’évaluant pas simplement l’échec d’une mise à jour sur l’entreprise cliente, mais sur l’ensemble des entreprises ayant adhéré au service, les risques d’incidents sont considérablement réduits.

Sur le papier, Windows Autopatch sonne comme la solution que tous les admins IT attendaient depuis l’existence des premières versions de Windows ! Disponibilité prévue au cours de l’été.