Gérer les correctifs de sécurité

Face à  la fréquence des correctifs, il vous faut un moyen de suivre les derniers
« patches ». Les principaux médias
ne parlent que de ce qu’ils jugent
important ou croustillant – propagation
généralisée d’un nouveau virus,
par exemple. Mais l’information qui
vous aide à  protéger vos systèmes ne
fait pas vendre des journaux et n’attire
pas les sponsors des émissions télévisées,
et vous ne pouvez donc pas
compter sur les grands médias pour
vous tenir au courant.

Mais alors, vers qui se tourner ? Le
site Web Security Administrator de Windows & .NET Magazine (http://
www.secadministrator.com) est un
bon point de départ. Vous pouvez
consulter les sections Discoveries and
Hot News, mais aussi souscrire à  la
newsletter électronique Security UPDATE
gratuite et au e-mail Security
Alerts, lui aussi gratuit. Un autre site
Web pour apprendre des exploits de
sécurité est NTBugtraq de Russ
Cooper (http://www.ntbugtraq.com),
une liste de courrier ouverte pour présenter
les vulnérabilités reproductibles.
Vous pouvez figurer sur la liste
avec votre propre adresse e-mail ou
faire envoyer les bulletins à  un dossier
public Microsoft Exchange Server. L’un
de mes sites Web favoris sur les ressources
des vulnérabilités de sécurité
est le Windows Security Digest
(http://www.sans.org/newlook/digests/
ntdigest.htm) mensuel de SANS
Institute.

Autre bonne source : HotFix &
Security Bulletin Service (http://www.
microsoft.com/technet/security/cur
rent.asp) de Microsoft. Sur ce site Web,
vous pouvez rechercher les correctifs
par produit et par niveau de pack de
service. La plupart des Security Bulletins donnent des détails techniques,
une liste de questions fréquentes
(FAQ), un article Knowledge
Base de soutien, et l’URL associée au
patch. Microsoft a également établi le
MSRC (Microsoft Security Response
Center) et constitué un groupe interne
chargé de répondre aux problèmes liés
à  la sécurité. (Pour plus d’informations
sur le MSRC, voir l’encadré « Rôle de
Microsoft dans la sécurité ».)