13 juin 2026MDM & Endpoints

Patches mensuels Windows et macOS : SLA pratique pour 100 endpoints

Un parc de 100 endpoints non patché dans les 72 heures après un Patch Tuesday expose votre PME à des risques documentés par le NCSC. Voici comment définir et tenir un SLA de patching réaliste, de l'ingestion du bulletin à la clôture de l'incident.

Par ZRS-Holding Sàrl·9 min de lecture·604 lectures
Partager

Un retard de patch, un vecteur d'attaque ouvert

Le délai médian entre la publication d'un CVE critique et son exploitation active est tombé sous 5 jours selon les données du NCSC. Pour une PME romande de 100 endpoints sans SLA de patching formalisé, la fenêtre d'exposition couvre souvent plusieurs semaines — parfois jusqu'au cycle suivant.

Cadre de référence : ce que les normes attendent

nLPD et obligation de sécurité technique

Depuis le 01.09.2023, la loi fédérale sur la protection des données (LPD révisée) impose aux responsables du traitement d'adopter des mesures techniques et organisationnelles appropriées. Un patch critique non appliqué dans un délai raisonnable peut constituer une mesure inadéquate au sens de l'art. 8 LPD, notamment si une violation de données en découle. La notion de «délai raisonnable» n'est pas chiffrée dans la loi — c'est précisément pourquoi un SLA interne documenté renforce votre position face au Préposé fédéral à la protection des données et à la transparence (PFPDT).

CIS Controls et seuils concrets

Les CIS Controls v8 (Control 7 — Continuous Vulnerability Management) recommandent :

  • Patches critiques (CVSS ≥ 9.0) : déploiement en 72 heures sur les systèmes exposés internet.
  • Patches importants (CVSS 7.0–8.9) : déploiement en 14 jours.
  • Patches moyens (CVSS 4.0–6.9) : déploiement dans le cycle mensuel standard (30 jours).
  • Patches faibles (CVSS < 4.0) : inclus dans le cycle trimestriel si applicable.

Le NIST Cybersecurity Framework 2.0 (fonction Protect, catégorie PR.MA) converge sur ces seuils avec une tolérance légèrement plus large pour les environnements OT, sans pertinence directe pour une PME tertiaire romande.

Signalement obligatoire post-incident

Si un patch non appliqué conduit à une compromission entraînant une violation de données personnelles, l'art. 24 LPD impose une notification au PFPDT dans les meilleurs délais. Le NCSC propose également un formulaire de signalement en ligne pour les incidents cyber, indépendamment de l'obligation LPD.

Architecture de patching pour 100 endpoints

Segmentation du parc

Pour un parc de 100 endpoints typique d'une PME romande (disons 65 postes Windows 11 23H2, 30 MacBook sous macOS 14 Sonoma, 5 appareils Android en gestion MDM), la première décision est la segmentation en anneaux de déploiement :

  • Anneau 0 — Pilote (5 % du parc, ~5 machines) : postes IT internes ou volontaires techniciens. Reçoivent les patches sous 24 heures après publication.
  • Anneau 1 — Early adopters (15 %, ~15 machines) : profils non-critiques, pas d'accès à des données sensibles en production. Déploiement J+3 à J+5.
  • Anneau 2 — Production standard (60 %, ~60 machines) : majorité des collaborateurs. Déploiement J+7 à J+14 selon criticité.
  • Anneau 3 — Systèmes critiques ou fragiles (20 %, ~20 machines) : postes liés à des applications métier sensibles, machines de direction. Tests de régresssion obligatoires. Déploiement J+14 à J+21.

Cette segmentation permet d'absorber les régressions applicatives sans bloquer l'ensemble du parc. Elle est native dans Windows Autopilot + Intune (groupes de déploiement, feature update rings) et dans les profils de mise à jour Apple Business Manager (ABM) via les délais de diffusion configurables (1 à 90 jours).

Outillage MDM : paramètres clés

Windows (Intune / Autopilot) :

  • Update rings : configurer QualityUpdatesDeferralPeriodInDays à 0 pour l'anneau 0, 3 pour l'anneau 1, 7 pour l'anneau 2.
  • Activer la télémétrie Windows Update for Business Reports pour mesurer la conformité en temps réel.
  • Forcer les redémarrages hors heures ouvrables : fenêtre active 08h00–19h00, redémarrage autorisé 22h00–06h00.
  • Deadline enforcement : AutoRestartDeadlinePeriodInDays = 3 jours après installation.

macOS (MDM + ABM) :

  • Profil de restriction forceDelayedSoftwareUpdates : 1 jour pour l'anneau 0, 3 jours pour l'anneau 1, 7 jours pour la production.
  • Payload com.apple.SoftwareUpdate : activer AutomaticCheckEnabled, AutomaticDownload, AutomaticallyInstallMacOSUpdates = false pour l'anneau 3 (installation manuelle après validation).
  • Surveillance de conformité via DDM (Declarative Device Management, disponible à partir de macOS 13) : déclaration d'activation avec assertion de version minimale.

Android (MDM) :

  • Sur 5 appareils Android Enterprise, configurer la politique de mise à jour système en mode Automatic avec fenêtre de maintenance 01h00–05h00.
  • Vérifier la conformité mensuelle via le tableau de bord sécurité de l'EMM.

Métriques SLA à tracker

Taux de conformité patches critiques à J+3≥ 90 %< 80 % Taux de conformité patches importants à J+14≥ 95 %< 90 % Endpoints en retard > 30 jours (tous niveaux)0≥ 3 Temps moyen de clôture (MTTR patching)< 8 jours> 15 jours

Procédure mensuelle : de la publication au rapport

Le Patch Tuesday Microsoft tombe le deuxième mardi du mois. Apple publie ses mises à jour de façon moins prévisible — prévoir une vérification hebdomadaire le lundi matin.

  1. J0 (publication) — Veille (RSSI ou DSI) : consulter les bulletins Microsoft Security Response Center et HT Apple Support. Classer chaque CVE selon CVSS et contexte d'exploitation active. Identifier les CVE «exploited in the wild» en priorité absolue.
  2. J0 à J1 — Qualification (DSI) : tester les patches critiques sur l'anneau 0 (5 machines). Vérifier l'absence de régression sur les 3 à 5 applications métier critiques (ERP, outil comptable, VPN client). Durée maximale : 4 heures de tests.
  3. J1 à J3 — Déploiement anneau 1 (MDM automatisé) : pousser via Intune / MDM macOS sur les 15 machines early adopters. Collecter les retours d'incident via ticket helpdesk (tag «patch-qa»).
  4. J3 à J7 — Go/No-go production (RSSI + DSI) : si zéro incident critique sur l'anneau 1, déclencher le déploiement anneau 2 (60 machines). En cas d'incident, ouvrir un dossier de dérogation temporaire avec date de remédiation < 7 jours supplémentaires.
  5. J7 à J14 — Déploiement production (MDM automatisé + surveillance) : surveiller le dashboard conformité deux fois par jour. Relancer manuellement les endpoints hors ligne via wake-on-LAN ou notification utilisateur.
  6. J14 à J21 — Anneau 3 (validation manuelle) : DSI valide le déploiement sur les 20 systèmes critiques après tests de régression approfondis.
  7. J30 — Rapport mensuel (RSSI → Direction) : taux de conformité par anneau, incidents, dérogations ouvertes, endpoints non conformes avec propriétaire identifié. Format : 1 page A4, archivé dans le registre des activités de traitement.

Cas pratique : fiduciaire vaudoise, 85 endpoints

Contexte : Cabinet fiduciaire à Lausanne, 42 collaborateurs, 85 endpoints (55 PC Windows 11 22H2→23H2, 28 MacBook Pro M2 sous macOS 14.x, 2 iPad en ABM pour les associés). Données traitées : déclarations fiscales, comptabilité de PME clientes, données RH. Obligation nLPD renforcée par les directives cantonales vaudoises sur les prestataires traitant des données fiscales.

Situation initiale (avant formalisation du SLA) : pas d'outillage MDM unifié, updates manuelles, délai moyen constaté de 28 jours pour les patches critiques. En novembre 2023, CVE-2023-36025 (Windows SmartScreen bypass, CVSS 8.8, exploitée activement) est restée non patchée pendant 19 jours sur 40 des 55 postes Windows.

Mise en place du SLA en 4 mois :

  • Mois 1 : inventaire complet avec FleetDM (agent osquery déployé en 2 jours sur Windows et macOS). Résultat : 12 postes sous Windows 10 21H2 (hors support étendu), 5 MacBook sous macOS 12 Monterey. Budget de mise à niveau matérielle : CHF 18 000 (3 PC remplacés, reste en upgrade OS).
  • Mois 2 : enrôlement MDM Intune pour les 55 Windows via Autopilot (réenrôlement en place, durée effective : 3 jours). ABM pour les 28 Mac + 2 iPad (liaison Apple School/Business Manager : 1 semaine administrative). Configuration des 3 anneaux de déploiement.
  • Mois 3 : premier cycle Patch Tuesday sous SLA. Patches critiques (CVE-2024-21338, CVSS 7.8) déployés à 92 % en J+3, 100 % en J+7. Deux incidents de régression sur un logiciel comptable tiers (incompatibilité .NET runtime) : résolution en 6 heures, dérogation documentée.
  • Mois 4 : rapport mensuel présenté aux associés. Coût opérationnel du SLA : 0,5 ETP/mois (DSI interne), soit environ CHF 3 500/mois en coût chargé. Bénéfice estimé : réduction de la fenêtre d'exposition critique de 28 jours à 3,2 jours en moyenne.

Calcul de risque simplifié : selon les données sectorielles suisses, le coût moyen d'un incident de ransomware pour une PME de 40 personnes se situe entre CHF 50 000 et CHF 200 000 (pertes d'exploitation + remédiation + notification). Avec une probabilité d'exploitation d'une vulnérabilité critique non patchée estimée à 8 % sur 30 jours d'exposition (base threat intel NCSC 2023), la réduction de la fenêtre de 28 à 3 jours ramène l'exposition probabiliste de 8 % à moins de 1 %. Sur CHF 100 000 de coût moyen incident, la réduction de risque annuelle attendue dépasse CHF 80 000 — contre CHF 42 000/an de coût opérationnel du SLA.

Récapitulatif opérationnel

  1. Définir 3 à 4 anneaux de déploiement en fonction de la criticité métier des postes, pas uniquement du profil utilisateur.
  2. Configurer les délais MDM nativement : QualityUpdatesDeferralPeriodInDays sur Intune, forceDelayedSoftwareUpdates sur ABM/MDM macOS. Ne pas laisser les valeurs par défaut.
  3. Fixer des seuils SLA documentés : 72 h pour CVSS ≥ 9.0, 14 jours pour CVSS 7.0–8.9, 30 jours pour le reste. Archiver ce document dans le registre de traitement LPD.
  4. Instrumenter la mesure : un dashboard de conformité consulté deux fois par semaine pendant les cycles actifs. Sans mesure, pas de SLA — juste une intention.
  5. Préparer un formulaire de dérogation : toute exception au SLA doit être documentée avec justification technique, date de remédiation prévue et responsable nommé.
  6. Tester les patches critiques sur l'anneau 0 avant toute diffusion — même quand la pression est forte. Un poste en régression coûte moins cher qu'un blocage de 60 machines en production.
  7. Intégrer le rapport mensuel de conformité dans les indicateurs présentés à la direction : la gouvernance patching est un sujet de risk management, pas uniquement technique.
  8. Prévoir une procédure de patch d'urgence (hors cycle mensuel) pour les zero-days exploités activement : déploiement direct sur tous les anneaux dans les 24 heures, sans phase pilote prolongée.
  9. Vérifier la couverture des endpoints hors réseau (télétravail, déplacements) : les agents MDM cloud (Intune, ABM) patchent via internet, mais confirmer que les politiques s'appliquent bien sans VPN obligatoire.
  10. Réviser le SLA annuellement ou après tout incident de sécurité lié à un patch manqué, et adapter les seuils aux nouvelles réalités du threat landscape documenté par le NCSC.

SynGuard accompagne les PME romandes dans la mise en place et l'opération de ces processus de patching, de l'enrôlement MDM initial à la production des rapports de conformité mensuels.

Sources

Noter cet article

Pas encore de note