Comment créer un SOP de gestion des correctifs pour les MSP ?

Un SOP de gestion des correctifs bien défini est indispensable à toute entreprise, et non, ce n’est pas une exagération ou une phrase clickbait. Nous avons abordé la gestion des correctifs en profondeur dans plusieurs autres articles (liens à la fin de cet article). Dans ce guide, nous nous concentrons sur l’élaboration d’un SOP de gestion des correctifs pour les MSP, en particulier pour Windows, macOS et les applications tierces.

Cet article vise à vous aider à mettre en place un processus de correction reproductible, évolutif et sécurisé pour les terminaux que vous gérez, avec des détails de mise en œuvre technique pour l’automatisation, l’audit et la conformité.

📌 Stratégies de déploiement recommandées :

Remarque concernant le choix d’une méthode et le respect des étapes du POS

Avant de poursuivre, il est essentiel de comprendre la différence entre les méthodes de déploiement et les étapes du POS. Bien qu’ils travaillent ensemble, ils ont des objectifs différents.

Les étapes sont ce que vous faites dans le POS. Il s’agit d’actions universelles à suivre dans tout processus de gestion des correctifs.

Les méthodes sont comment vous déployez le SOP. Il s’agit d’approches de mise en œuvre basées sur vos outils, la taille de votre environnement et votre configuration technique. Les stratégies de déploiement ci-dessous reflètent les méthodes disponibles pour exécuter un SOP efficace de gestion des correctifs. Gardez à l’esprit que vous ne devez choisir qu’une seule méthode (par exemple, une plateforme RMM), en fonction de celle qui convient le mieux à votre environnement.

Il convient également de noter que les étapes et les méthodes se chevauchent .

📌 Conditions préalables :

• Les appareils doivent être inscrits dans un système RMM, MDM ou une plateforme de gestion des correctifs centralisée.
• Privilèges d’administrateur sur le terminal cible.
• Accès Internet aux services de mise à jour des fournisseurs (Microsoft, Apple, fournisseurs d’applications tierces)
• PowerShell 5.1 ou plus sur Windows (Vérifiez votre version de PowerShell)
• Accès au terminal ou à l’interpréteur de commandes sur les terminaux macOS
• Facultatif : Accès à WSUS, JAMF, Munki ou à un outil multi-plateforme tel que NinjaOne

Créer un SOP pour la gestion des correctifs : Guide étape par étape

Étape 1 : Inventaire et classification des cibles des correctifs

Vous ne pouvez pas patcher ce dont vous ignorez l’existence. Dans cette étape, vous découvrirez tous les terminaux dans votre environnement et les classerez par type de système d’exploitation, par version et par version installée.

1. Pour Windows

1. Ouvrez PowerShell.
2. Exécutez cette commande :

Get-HotFix

systeminfo | findstr /B /C: »OS Name » /C: »OS Version »

2. Pour macOS 

1. Exécutez cette commande :

sw_vers

softwareupdate –history

ls /Applications

3. Pour les applications tierces

1. Sur Windows :
   Get-WmiObject -Class Win32_Product | Select-Object Name, Version
2. Sur macOS :
   Utilisez ls /Applications ou Munki pour faire l’inventaire

💡 À noter : Marquez les terminaux par groupe de gestion des correctifs ou par criticité afin d’organiser les mises à jour de manière efficace.

Étape 2 : Définir les catégories de correctifs et leur fréquence

Vous devez maintenant classer les correctifs par catégories et définir la fréquence d’application de chaque type de mise à jour.

💡 À noter : Utilisez des outils tels que NinjaOne pour faire respecter le calendrier des correctifs.

Étape 3 : Déclencher les mises à jour de Windows

Le déclenchement des mises à jour de Windows est un moyen simple et efficace de réduire les erreurs humaines, en particulier si vous gérez une flotte importante. Nous avons répertorié quelques méthodes à essayer, mais nous avons noté les étapes qui automatisent réellement le processus et celles qui permettent d’exécuter une mise à jour de Windows une seule fois.

1. Via PowerShell – Mise à jour unique

1. Ouvrez PowerShell.
2. Exécutez cette commande :

Installer le module PSWindowsUpdate

Get-WindowsUpdate -AcceptAll -Install -AutoReboot

2. Via le chemin de la stratégie de groupe – Automatisation complète

1. Appuyez sur la touche Windows + R , tapez gpedit.msc, et cliquez sur Entrée.
2. Naviguez vers Configuration ordinateur > Modèles d’administration > Composants Windows > Windows Update.
3. Activer:
   • Configurer les mises à jour automatiques
   • Jour/heure d’installation prévu(e)
   • Pas de redémarrage automatique avec les utilisateurs connectés

💡 Note : En fonction de votre version de Windows, ces stratégies peuvent apparaître dans des sous-dossiers tels que Stratégies héritées, Utilisateurs finaux gérés ou Mises à jour gérées sous le dossier Windows Update.

3. Via le registre – Automatisation complète 

⚠️ Attention : Veillez à sauvegarder votre Registre avant de poursuivre. Des configurations incorrectes peuvent entraîner une instabilité du système.

1. Appuyez sur Windows + R, tapez regedit, et cliquez sur Entrée.
2. Sélectionner : HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
3. Définir les valeurs comme suit :
   • AUOptions = 4 (Téléchargement automatique et installation programmée)
   • ScheduledInstallDay = 2 (mardi)
   • ScheduledInstallTime = 3 (3h du matin)
   • NoAutoRebootWithLoggedOnUsers = 1

💡 Note : N’hésitez pas à ajuster les valeurs en fonction de vos besoins ou de vos souhaits.

4. Via l’invite de commande – Exécution unique

1. Ouvrez une invite de commande élevée.
2. Exécutez la commande PowerShell suivante directement à partir de CMD :

powershell -Command « (New-Object -ComObject Microsoft.Update.AutoUpdate).DetectNow() »

Cette commande permet à l’agent de mise à jour de Windows de rechercher les mises à jour disponibles. Gardez à l’esprit qu’il ne les installera pas, donc pour le processus d’installation, vous pouvez utiliser PowerShell (étape A) ou les méthodes d’automatisation des étapes B/C.

Remarque : D’anciennes commandes telles que wuauclt /detectnow et usoclient StartScan ont été utilisées dans des versions antérieures de Windows, mais elles sont désormais obsolètes ou peu fiables sous Windows 10/11.CMD ne fournit plus de méthode intégrée pour télécharger et installer directement des mises à jour à partir de Windows Update.

⚠️ Ce qu’il faut savoir

• Redémarrage et impact utilisateur : Même avec « Pas de redémarrage automatique avec les utilisateurs connectés », certaines mises à jour peuvent nécessiter un redémarrage pour se terminer. Planifiez les périodes d’entretien en conséquence.
• Différences d’édition : Certains chemins d’accès ou noms de stratégie de groupe varient selon l’édition/la version de Windows ; vérifiez les sous-dossiers comme indiqué.
• Environnements gérés : Si vous utilisez WSUS/Intune, assurez-vous que ces paramètres sont conformes à vos stratégies de gestion afin d’éviter les conflits.

Étape 4 : Appliquer les mises à jour de macOS

Cette étape permet de s’assurer que les appareils Apple sont mis à jour de manière fiable et sécurisée. Notez que cette étape n’automatise pas le processus, mais applique les mises à jour en une seule fois.

1. Exécutez ces commandes dans le terminal :

softwareupdate –list

softwareupdate -i -a

sudo shutdown -r now

Étape 5 : Application d’un correctif aux applications tierces

Les applications telles que les navigateurs, Zoom et Java constituent d’énormes surfaces d’attaque et doivent être corrigées régulièrement.

1. Pour Windows (désinstallation/installation par PowerShell ou utilisation de Chocolatey)

1. Installer Chocolatey.
2. Exécutez cette commande :

Set-ExecutionPolicy Bypass -Scope Process -Force

iex ((New-Object System.Net.WebClient).DownloadString(‘https://chocolatey.org/install.ps1’))

choco upgrade all -y

2. Pour macOS (en utilisant Homebrew)

1. Installer Homebrew.
2. Exécutez cette commande :

/bin/bash -c « $(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh) »

brew upgrade

💡 Remarque : Il est possible de surveiller les journaux ou les codes de sortie pour détecter les échecs et réessayer l’automatisation si nécessaire.

Étape 6 : Processus d’approbation et de test des correctifs

Les tests et le déploiement progressif sont essentiels pour garantir la stabilité de tous les correctifs.

• Définir un groupe test (5-10% de la flotte)
• Déployer pour tester les dispositifs et documenter les résultats
• L’étape des vagues de correctifs en vue d’un déploiement plus large
  Suivre les KB ou les versions d’applications en fonction des vagues de correctifs
• Utiliser NinjaOne ou SharePoint pour suivre les exceptions relatives aux correctifs

Étape 7 : Stratégie de retour en arrière

Il arrive que les correctifs soient mal appliqués. Lorsque c’est le cas, vous avez besoin d’un moyen rapide et fiable pour les annuler sans perdre de données ou de productivité.

1. Pour Windows

1. Ouvrez une invite de commande élevée.
2. Exécutez cette commande :

wusa /uninstall /kb:XXXXXXX /quiet /norestart

Checkpoint-Computer -Description « Pre-Patch Restore » -RestorePointType « MODIFY_SETTINGS »

💡 Remarque : N’oubliez pas de remplacer « XXXXXXX » par le numéro KB de la mise à jour à supprimer.

2. Pour macOS

• Utilisez Time Machine ou des instantanés.
• Il est fortement recommandé d’effectuer une sauvegarde complète avant les mises à niveau majeures.

Étape 8 : Rapports, conformité et alertes

Les alertes vous permettent d’identifier rapidement les correctifs défectueux, et les rapports montrent aux clients ou à la direction que vous restez sécurisé et conforme.

1. Pour Windows

Cette commande créera un fichier CSV contenant une liste détaillée des mises à jour installées. Ce fichier vous permet de consulter facilement l’historique des mises à jour, de partager les informations sur les correctifs et d’utiliser les données pour les contrôles de conformité ou le dépannage.

1. Ouvrez PowerShell.
2. Exécutez cette commande :

Get-HotFix | Export-Csv « patch_report.csv »

Obtenir le journal des mises à jour de Windows

2. Pour macOS

1. Exécutez cette commande :

softwareupdate –history

3. Utiliser NinjaOne ou un outil RMM tiers

• Alerte en cas de défaillance d’un correctif
• Pour générer des résumés de conformité
• Pour suivre l’état des correctifs des applications tierces
• Produire des rapports sur les correctifs exécutifs

Méthodes de déploiement

Méthode 1 : Scripts manuels

📌 Cas d’utilisation : Pour les environnements sans gestion centralisée, ou pour les tests et les petits déploiements.

📌 Conditions préalables :

• Privilèges d’administrateur local sur les terminaux
• PowerShell 5.1 ou plus installé sur Windows, ou accès à Terminal sur macOS
• Accès à l’internet pour les services de mise à jour des fournisseurs
• (Facultatif) Si le module PSWindowsUpdate ne s’installe pas, il peut être nécessaire d’installer le fournisseur NuGet et d’enregistrer le référentiel PowerShell Gallery en premier lieu.

Étapes :

1. Pour Windows (via PowerShell)

1. Ouvrez PowerShell.
2. Exécutez ces commandes dans l’ordre :

1. • Installer le module PSWindowsUpdate : Install-Module PSWindowsUpdate
   • Lancez une analyse des mises à jour et installez tous les correctifs disponibles : Get-WindowsUpdate -AcceptAll -Install -AutoReboot
   • Forcer l’analyse manuellement si nécessaire.

wuauclt /detectnow

usoclient StartScan

2. Pour macOS (via Terminal) 

1. Exécutez ces commandes dans l’ordre :
   • Liste des mises à jour disponibles : softwareupdate –list
   • Installer toutes les mises à jour disponibles : softwareupdate -i -a
   • Redémarrer après la mise à jour, si nécessaire : sudo shutdown -r now

Méthode 2 : Stratégie de groupe et registre (Windows uniquement)

📌 Cas d’utilisation : Idéal pour les environnements Windows qui s’appuient sur la gestion de domaine et qui ont besoin d’une application cohérente des règles.

📌 Conditions préalables :

• Appareils Windows reliés à un domaine
• Accès à la console de gestion des stratégies de groupe
• (Facultatif) Accès administrateur pour modifier le registre

Étapes :

1. Via la politique de groupe

1. Appuyez sur la touche Windows + R, cliquez sur gpedit.msc, puis sur Entrée.
2. Naviguez vers :
   Configuration de l’ordinateur > Modèles d’administration > Composants Windows > Windows Update
3. Activer et configurer :
   • Configurer les mises à jour automatiques = Activé.
   • Définir le jour et l’heure de l’installation.
   • Activer « Pas de redémarrage automatique avec les utilisateurs connectés ».
   • (Facultatif) Spécifier la source de mise à jour interne via WSUS.

💡 Remarque : En fonction de votre version de Windows, ces stratégies peuvent apparaître dans des sous-dossiers tels que Stratégies héritées, Utilisateurs finaux gérés ou Mises à jour gérées sous le dossier Windows Update.

2. Via l’application du registre (ancien ou non-domaine)

1. Appuyez sur la touche Windows + R, cliquez sur regedit, et cliquez sur Entrée.
2. Naviguez vers : HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
3. Définir les valeurs :
   • AUOptions = 4 (Téléchargement automatique et installation programmée)
   • ScheduledInstallDay = 2 (mardi)
   • ScheduledInstallTime = 3 (3h du matin)
   • NoAutoRebootWithLoggedOnUsers = 1

💡 N’hésitez pas à ajuster les valeurs en fonction de vos besoins ou de vos souhaits. 

Méthode 3 : Plateformes RMM, comme NinjaOne

📌 Cas d’utilisation : Idéal pour une gestion des correctifs évolutive et automatisée dans de grands environnements avec des tableaux de bord, des alertes, des retours en arrière et des rapports de conformité.

📌 Conditions préalables :

• Terminaux enrôlés dans une plateforme RMM comme NinjaOne
• Création de politiques de correctifs et affectation à des groupes
• Accès administrateur pour définir les règles d’automatisation et la planification

Étapes :

1. Connectez-vous à la console NinjaOne.
2. Créez une stratégie de gestion des correctifs qui couvre Windows, macOS et les applications tierces.
3. Organisez les appareils par étiquettes, groupes ou niveaux d’urgence.
4. Établissez des calendriers de correctifs récurrents avec des périodes de maintenance définies.
5. Activez les alertes en cas de défaillance, de correctifs en retard ou de redémarrage nécessaire.
6. Surveillez les tableaux de bord et les rapports de conformité en temps réel.
7. Déployez des scripts de retour en arrière ou de remédiation si nécessaire.

💡 À noter : Combinez les correctifs avec des tâches post-déploiement telles que les scripts de nettoyage, les reports de redémarrage ou les redémarrages de service en utilisant l’automatisation NinjaOne. Cela permet d’assurer des mises à jour plus fluides et de minimiser les perturbations. Vous pouvez également obtenir des instructions plus détaillées ici :

• Activer et gérer les mises à jour de Windows avec NinjaOne
• Gestion des correctifs pour macOS avec NinjaOne

Comment NinjaOne soutient votre SOP de gestion des correctifs

• Automatisation des correctifs pour les systèmes d’exploitation et les applications Windows/macOS : NinjaOne optimise le déploiement des correctifs pour les systèmes d’exploitation et les applications tierces à l’aide de politiques personnalisables et d’une automatisation sans intervention. Cela signifie que les correctifs peuvent être déployés automatiquement sans intervention manuelle, ce qui réduit l’erreur humaine et améliore l’efficacité opérationnelle.
• Définition de périodes d’application de correctifs, de groupes de test et d’exceptions : Vous pouvez définir des programmes de correctifs récurrents, affecter des périphériques à des groupes de test et créer des règles d’exception pour répondre à des besoins uniques en matière de conformité ou d’activité.
• Fournir des tableaux de bord et des rapports de conformité : Des tableaux de bord visuels en temps réel et des rapports exportables vous permettent de suivre l’état des correctifs, de visualiser les taux de conformité des appareils et de démontrer l’alignement des accords de niveau de service ou des réglementations.
• Alerte en cas d’échec, de redémarrage manqué ou de retard dans l’application d’un correctif : NinjaOne avertit automatiquement les techniciens en cas d’échec d’un correctif, de redémarrage nécessaire d’un terminal ou de retard dans l’application de mise à jour programmée.
• Permettre des étapes de retour en arrière (rollback) ou de remédiation par script : Les administrateurs peuvent exécuter des scripts PowerShell ou shell personnalisés dans NinjaOne pour désinstaller les mises à jour problématiques, redémarrer les services ou réparer les logiciels défectueux sans intervention manuelle.
• Regroupement/étiquetage des terminaux en fonction de l’urgence des correctifs ou de l’environnement : Les appareils peuvent être étiquetés en fonction de l’emplacement, de la fonction ou de la criticité afin d’appliquer différentes priorités de correctifs et de réduire les risques pour les systèmes essentiels à l’activité de l’entreprise.

Mise en place d’une procédure d’exploitation efficace pour la gestion des correctifs

Une bonne procédure de gestion des correctifs garantit des cycles de mise à jour sûrs, cohérents et efficaces dans tous les environnements. Ne prenez pas cette procédure à la légère : Même les petites entreprises ont besoin d’une solide procédure de gestion des correctifs pour réduire le risque de logiciels malveillants et d’autres menaces.

Articles connexes :

• Qu’est-ce que la gestion des correctifs ? Définition, avantages, et bonnes pratiques
• Pourquoi la gestion des correctifs est-elle importante pour les MSP ?
• Processus de gestion des correctifs : Bonnes pratiques
• Comment créer une politique de gestion des correctifs : Définition et étapes
• Gestion des correctifs – Le guide pour les Nuls [télécharger]
• Révolutionner la gestion des correctifs avec Patch Intelligence AI de NinjaOne
• Processus de gestion des correctifs : Bonnes pratiques
• Explication du cycle de vie de la gestion des correctifs