Pourquoi vous remettez les mises à jour à plus tard, et pourquoi il faut arrêter

Le chiffre qui devrait vous arrêter

Dans la majorité des compromissions analysées par le CERT-FR de l'ANSSI, l'attaquant n'a pas exploité une faille inconnue. Il a exploité une faille publique depuis plus de 30 jours, parfois plus de 90, dont le correctif était disponible. Autrement dit : la PME aurait été protégée gratuitement, juste en cliquant sur « installer ». Elle ne l'a pas fait.

Ce constat se répète année après année dans les baromètres Cybermalveillance.gouv.fr. Le retard de patching n'est pas un détail technique : c'est le premier facteur d'incident grave en PME française.

Pourquoi ça glisse, vraiment

La psychologie du report n'est pas mystérieuse. Trois raisons reviennent dans tous nos diagnostics :

• La peur de casser quelque chose. Une mise à jour Windows qui plante un logiciel métier, ça arrive. Et comme rien n'est prévu pour rebrousser chemin, on préfère ne pas tenter.
• L'absence de fenêtre dédiée. Les postes redémarrent au milieu d'une réunion ou d'une saisie comptable. Donc on coche « rappeler plus tard ». Indéfiniment.
• L'invisibilité du risque. Une faille non corrigée n'a pas de symptôme visible. Tant qu'aucun incident n'arrive, l'inaction passe pour de la prudence.

La bonne nouvelle : les trois se résolvent par l'organisation, pas par les outils.

Patch critique vs patch fonctionnel : ne pas mélanger

Toutes les mises à jour ne sont pas équivalentes. Distinguez systématiquement :

• Patch de sécurité critique (CVSS ≥ 8, ou exploitation publique connue) : à appliquer sous 7 à 30 jours. Pas de débat. Voir notre article Failles Windows critiques.
• Patch de sécurité standard : à appliquer dans le cycle mensuel, idéalement la semaine suivant le Patch Tuesday Microsoft.
• Patch fonctionnel ou cumulatif (nouvelle version de Windows, drivers, fonctionnalités) : à tester avant déploiement large.

Confondre les trois mène soit à l'inaction (« on attend que tout soit testé »), soit à l'accident (« on a poussé une mise à jour majeure un mardi en open space »).

La méthode en 3 vagues

Vague 1 — Le poste pilote

Désignez un ou deux postes pilotes représentatifs (un poste bureautique standard, un poste métier avec vos applications critiques). Les correctifs y sont installés dès leur publication. Vous avez ainsi 48 à 72 heures pour détecter une éventuelle régression avant de déployer plus large.

Vague 2 — Le déploiement large

Si rien ne casse sur le pilote, les correctifs partent sur la majorité des postes dans les 7 jours suivants. Idéalement le vendredi soir ou pendant la pause du midi, avec redémarrage planifié hors heures de travail.

Vague 3 — Les serveurs et équipements critiques

Active Directory, hyperviseurs, pare-feu, switches : dernière vague, après vérification que les postes ont absorbé les correctifs. Toujours sur fenêtre de maintenance annoncée, jamais en pleine semaine sans plan de retour arrière.

Pour les équipements réseau exposés (VPN, RDP, pare-feu), la règle est inversée : ils sont prioritaires sur les postes, parce qu'ils sont l'entrée de la PME depuis Internet.

Les outils qui rendent ça soutenable

Une PME n'a pas besoin d'un outil de patching dédié coûteux. Trois options gratuites ou intégrées suffisent dans 95 % des cas :

• Windows Update for Business : inclus avec Windows 10/11 Pro. Configurable via stratégies de groupe (GPO) ou Intune. Permet de définir des anneaux de déploiement (pilote, production) et des fenêtres de maintenance.
• WSUS (Windows Server Update Services) : gratuit avec Windows Server, centralise les mises à jour de tout le parc. Adapté aux PME 20-100 postes avec un AD.
• Microsoft Intune : inclus dans Microsoft 365 Business Premium, gère postes Windows et mobiles depuis le cloud. Idéal pour les PME multi-sites ou en télétravail.

Pour les applications tierces (navigateurs, suites bureautiques tierces, lecteurs PDF, applis métier), des outils gratuits comme PatchMyPC Home Updater (postes individuels) ou des solutions intégrées dans Intune existent. Voir notre offre Support & Maintenance qui inclut ce pilotage.

Le minimum vital pour superviser

Sans suivi, le patching dérive. Un tableau de bord mensuel d'une page suffit pour rester rigoureux :

• Combien de postes ont reçu le dernier Patch Tuesday ? (objectif : 100 % à J+15)
• Combien de serveurs sont à jour ? (objectif : 100 % à J+30)
• Quels équipements réseau ont leur firmware à jour ? (revue trimestrielle)
• Y a-t-il une CVE critique non corrigée ? (zéro à tout moment)

Ce tableau peut être tenu manuellement (10 minutes par mois), généré par WSUS ou Intune, ou intégré dans un SIEM léger.

À retenir

Ce que Scryptoura fait pour vous

Notre Diagnostic Découverte inclut une vérification systématique du niveau de patching sur vos postes, serveurs et équipements réseau exposés. Notre offre Gardien peut prendre le pilotage en charge si vous n'avez pas de prestataire IT dédié. Pour estimer votre maturité actuelle en 3 minutes via 22 questions, faites notre auto-évaluation express.