Et les bonnes résolutions sur la gestion du parc ?

Vous croyez avoir un niveau satisfaisant de maîtrise de votre parc d’équipements informatiques ? Oui ? Non ? C’est là que souvent les responsables infra dodelinent de la tête et articulent un « mouis » ou un « mouons » ambigu. Faisons le test sur quelques items, je suis d’humeur joueuse en ce moment. Il est entendu que par « parc d’équipements », je parle bien entendu des PC, des portables, mais aussi des téléphones portables institutionnels, des photocopieurs multifonctions (MFP), des caméras IP (glups !), des systèmes Scada (GTB, GTC, modalités d’imagerie), des tortues ou autres systèmes de transport logistique (reglups !), des serveurs (Windows et Linux), etc.

Commençons par les serveurs : bien entendu, la plupart sauront produire, au débotté, la liste des OS actualisés et obsolètes (Windows 2003 ou antérieur, Red Hat 4, etc.). Mais sauriez-vous produire un état de mise à jour des patches de sécurité sur les serveurs (Linux inclus) ? Et, cerise sur le gâteau, un Gantt à jour du projet d’éradication des OS obsolètes, une politique de mise à jour des patches avec des indicateurs de mesure ?

Côté terminaux utilisateurs, en général, c’est moins drôle. On commence par du facile, l’état général du parc PC : OS obsolètes, patches non mis à jour, en général les DSI savent produire cela. Dès lors que l’on parle de composants middlewares en revanche, c’est plus délicat : Adobe, Java, Flash, rien que des trucs infernaux à maintenir. Si on pose en plus la même question sur certains équipements plus exotiques tels que des caméras IP, des téléphones portables professionnels, là on se retrouve la plupart du temps en rase campagne.

Ah oui ! j’allais oublier : un indicateur doit être presse-bouton. S’il faut ne serait-ce qu’une heure de travail pour obtenir l’état des patches serveurs, vous le ferez une fois, deux fois, peut-être trois, et après vous abandonnez.

De façon plus prosaïque, vous conviendrez qu’aucune des questions ci-dessus n’est particulièrement tordue ou perverse : il s’agit de la simple déclinaison du principe qui veut que l’on connaisse l’état de son parc. Ce qui rend l’exercice compliqué, c’est à la fois la diversité des équipements (la simple gestion de 250 MFP dans un CHU est une poésie sans nom), et surtout le fait que les DSI hospitalières pratiquent depuis des années la course à l’échalote, à toujours installer plus d’équipements sans provisionner les coûts d’exploitation ou de renouvellement. C’est pour cela que j’aime bien les 40 mesures de l’Anssi, on y trouve des trucs rafraîchissants.

Le mauvais côté de l’histoire, c’est que la mise en place d’indicateurs pour d’autres domaines tels que la bonne tenue des identifiants utilisateurs (AD ou métiers) est moins complexe, essentiellement du fait que les systèmes sont moins hétérogènes. En clair, la sécurité du parc, c’est le cauchemar des responsables SI, le poil à gratter des RSSI et le bonheur des lecteurs de tout poil en mal d’idées.

[1] /article/2294/bonne-resolution-1-evaluer-la-maturite-ssi-des-utilisateurs.html