22 septembre 2022

Glossaire informatique de Libelle, partie 16 : Qu'est-ce qu'un patch ?

AuteurHenning Mälzer

Les mises à jour régulières des correctifs sont particulièrement importantes pour les entreprises à l'heure de la cybercriminalité et des piratages informatiques. Les organisations qui les sous-estiment offrent aux énergies criminelles une surface d'attaque parfaite.

Les pirates et les cybercriminels s'efforcent chaque jour de trouver des failles de sécurité et de les exploiter à leurs propres fins. Les failles identifiées sont utilisées pour diffuser des logiciels malveillants, infecter de manière ciblée des entreprises avec des chevaux de Troie et autres, et voler des données.  

Il existe différentes possibilités pour réduire le risque de telles attaques. Outre un concept de reprise après sinistre, un processus de gestion des correctifs est une possibilité complémentaire pour se protéger au mieux.  

Qu'est-ce qu'un patch exactement ?

Le mot "patch" (qui signifie "rustine" en anglais) désigne une mise à jour pour un logiciel. Celle-ci apporte des corrections et/ou comble des failles de sécurité. Ces correctifs logiciels sont parfois mis en œuvre sans informer les utilisateurs ou sont seulement désignés comme des mises à jour nécessaires.

Fin 2021, une telle faille critique a été découverte dans la bibliothèque Java Log4j. La menace de cette faille de sécurité a été classée comme hautement critique par l'Office fédéral de la sécurité des technologies de l'information (BSI) pendant plusieurs semaines. (source)

Log4j a affecté et continue d'affecter de nombreuses entreprises et notamment les fournisseurs de logiciels. Ceux-ci ont réagi en apportant des correctifs et des solutions de contournement pour leurs solutions logicielles afin de combler la faille de sécurité.

Les informations succinctes actuelles sur Log4j sont disponible ici : Apache log4j : une faille permet l'exécution de code (état au 09.06.2022)

Quels sont les types de correctifs ?

En principe, on distingue quatre types de correctifs différents :

  • Bugfix :
    Correction d'erreurs techniques dans le code source du programme.
  • Hotfix ou mise à jour de patch critique :
    Correction immédiate de problèmes graves, effectuée dans le programme d'application.
  • Correctif de sécurité :
    Correction permettant de combler des failles de sécurité
  • Mise à jour :
    Mise à jour qui comprend des améliorations de fonctionnalités et/ou des corrections de bugs.

Développement continu

Dans le domaine des logiciels en particulier, le développement continu est important, et pas seulement en ce qui concerne la cybercriminalité. Il faut répondre aux nouveaux besoins des clients et si possible avant la concurrence. Dans le cas des mises à jour et les corrections de bugs, des tests approfondis sont nécessaires avant la publication afin que tout fonctionne correctement. La gestion des correctifs est donc un élément important pour la poursuite du développement.

Après la phase de test, les corrections de bugs et les mises à jour sont collectées sous forme de nouvelles fonctionnalités et publiées dans une nouvelle version du logiciel. Les entreprises utilisent généralement une date fixe, appelée "Patch-Day" ou "Release-Day". A cette date, des correctifs tels que des corrections de bugs et de nouvelles fonctionnalités sont publiés sur une base mensuelle ou hebdomadaire.  

Les correctifs de sécurité critiques ou les hotfix/critical patches sont appliqués dans des installations individuelles.

Chez Libelle IT Group, nous développons constamment nos logiciels. Ainsi, nous utilisons ainsi nos versions pour pouvoir répondre aux nouveaux besoins des clients et aux bugs. Avec l’aide de la gestion des tests, ces derniers sont testés de manière approfondie et ensuite publiés.

Vous travaillez dans l'informatique ou vous vous intéressez à des sujets liés à l'informatique ? Alors, n'hésitez pas à consulter notre blog pour en savoir plus et à nous suivre sur LinkedIn.


Article recommandé
28 septembre 2022 Glossaire informatique de Libelle, partie 17 : Qu'est-ce que l'automatisation des processus informatiques ?

Tous les articles du blog