Comment gérer les mises à jour Windows en milieu industriel ?

Le système d’exploitation le plus répandu est certainement Windows, et en particulier Windows 10 (près de 900 millions de postes dans le monde, Microsoft prévoit le passage du milliard en 2020). Concernant les machines serveur, Windows Server est aussi l’OS (Operating System ou système d’exploitation) le plus répandu.

Les mises à jour d’OS sont considérées très souvent comme un mal nécessaire lors de la mise en place de nouveaux logiciels ou lors du remplacement de machines arrivées en fin de vie, impliquant dans ce dernier cas la mise à jour des logiciels déjà installés pour des raisons de compatibilité. Depuis quelques temps, la sensibilisation aux risques de cybersécurité par les DSI (Directions des Systèmes d’Information) entraîne par ailleurs des stratégies de mises à jour des OS pour bénéficier des corrections des failles de sécurité. Si ces choix de mises à jour de Windows peuvent être encadrés, pour ne pas dire maîtrisés par les utilisateurs, cela sera bientôt rendu beaucoup plus complexe avec la nouvelle stratégie de Microsoft.

En effet, Microsoft a de plus en plus de mal à gérer la multitude de combinaisons de versions de son système d’exploitation déployées dans le monde. Le problème de la multiplication des versions touche par ailleurs tous les éditeurs de logiciels. Pour résoudre cette situation, Windows 10 fonctionne donc désormais sur un principe de mises à jour automatiques ; dès lors qu’un poste est connecté à Internet et que ses mises à jour ne sont pas administrées via un serveur de mises à jour, il est seulement possible de retarder leur installation de deux ou trois semaines. Lire l’article de ZD Net de septembre dernier qui résume la politique des mises à jour de Windows 10 (lien en fin d’article).

Certaines mises à jour de Windows peuvent gêner le bon fonctionnement de tel ou tel logiciel, voir empêcher le démarrage de l’application. Dans ces cas, il n’y a pas d’autre solution que de désinstaller la mise à jour incriminée et de déconnecter le poste d’internet, le temps que l’éditeur du logiciel impacté propose lui-même un patch correctif compatible avec la mise à jour appliquée. Mais dès que l’on rétablit la connexion Internet, la mise à jour qui pose problème se réinstalle automatiquement.

La solution qui vient immédiatement à l’esprit consiste à isoler totalement et à jamais le poste du réseau Internet. Plus aucune mise à jour n’est appliquée, y compris celles qui corrigent les failles de sécurité et qui mettent à jour les antivirus. Dans ce cas, il faut aussi l’isoler de tous dispositifs ou logiciels pouvant potentiellement amener un virus ou un « ransomware » : clé USB, disque dur externe, … ainsi que de tous réseaux permettant la connexion d’une console de programmation ou d’un PC portable, ou encore de la connexion avec des systèmes tiers (ERP, supervision, GMAO, …). Dans ce cas, il ne faut pas envisager de projet de digitalisation des processus, de mobilité, d’industrie 4.0, de BIM, … Sinon en cas d’entorse à cette règle, il faut accepter le risque de compromettre vos systèmes et par exemple de connaître le sort de la ville américaine de Baltimore qui a été attaquée en 2019 par un ransomware utilisant une faille de sécurité corrigée en 2017 par Microsoft. (Lien en fin d’article).

Une autre solution consiste à mettre en place une véritable stratégie de mise à jour régulière et maîtrisée du parc Windows 10 installé, sans oublier d’y intégrer les mises à jour des logiciels métier (Supervision, GMAO, GPAO, MES, …), afin d’éviter les effets de bord liés à des mises à jour incompatibles avec les versions de ces produits. En intégrant la question des mises à jour dans un plan de maintenance, il est possible de décider quand et comment déployer les mises à jour en utilisant un serveur de mises à jour pour les déployer ou les bloquer.

Ce plan de maintenance peut être complété par une phase de préproduction. Plus la criticité des process est importante, plus la nécessité d’une phase de test s’impose. Cela veut dire que l’on teste la mise à jour de l’OS et des applicatifs sur une machine de test (machine de préproduction). Cela permet d’identifier les anomalies « franches » comme un « non démarrage » ou « un arrêt peu après le lancement », et d’éviter ainsi l’arrêt de production ou la perte de pilotage. Pour détecter des anomalies « non franches », où le logiciel semble fonctionner mais révèle à termes des dysfonctionnements, cela implique de faire fonctionner la machine de préproduction suffisamment longtemps pour en valider le bon fonctionnement au travers d’un plan de tests.

Cette machine de test et les procédures d’utilisation associées étant en place, on peut aussi les utiliser pour tester soit des mises à jour des logiciels métier indépendamment d’une mise à jour du système d’exploitation, soit des modifications de leur paramétrage.

Quelle que soit la stratégie de gestion des mises à jour, automatique ou via une préproduction, il est également conseillé de prévoir un plan de reprise et de continuité des activités (PRC, PRA) qui permet de gérer aussi bien un « retour arrière » à la suite d’une mise à jour non fonctionnelle, que de faire face à une situation de compromission des Systèmes d’Information par un virus. Cela implique à minima de mettre en place une stratégie de sauvegardes et de remontage des sauvegardes.

Enfin il faut rappeler si nécessaire, que la virtualisation d’une machine n’apporte pas de réponse tant au niveau de l’application des mises à jour qu’au niveau de la vulnérabilité d’un système d’exploitation sans correction des failles de sécurité. Par contre cela représente un atout fonctionnel majeur dans la mise en place d’un PRC-PRA.

Opter pour une gestion maitrisée et planifiée de vos mises à jour implique des changements de méthodes de travail ainsi que des investissements en matériels et en ressources qui doivent être définis en fonction de la criticité du système et des conséquences de l’indisponibilité éventuelle des Systèmes d’Information concernés.

Cette gestion des mises à jour pour des machines fonctionnant sur Windows s’appuie sur la mise en place d’un composant de Microsoft Windows Server : le Windows Server Update Services (WSUS). Ce serveur télécharge, généralement la nuit, les mises à jour de Windows pour les OS sélectionnés et potentiellement pour tous les composants Microsoft (Office, Teams, …). Il faut donc prévoir de l’espace disque suffisant sur ce serveur. C’est ensuite une opération humaine qui valide les mises à jour qui pourront être déployées ou bloquées sur chacun des postes.

Ce serveur mobilise du matériel et des compétences informatiques, renforçant de facto la nécessité d’une collaboration entre les équipes de la DSI et celles de l’informatique industrielle (voir nos articles sur la collaboration IT / OT). Il n’est d’ailleurs pas rare que les DSI gèrent déjà ce type de service au niveau des postes et des applicatifs administratifs et bureautiques. Reste à les solliciter et à étudier avec elles son extension au périmètre des postes de l’informatique industrielle.

Cette démarche doit donc être prise en compte le plus tôt possible dans l’élaboration technique, organisationnelle et financière des projets de digitalisation ou de refonte de Systèmes d’Information, ou idéalement être intégrée dans la stratégie globale de convergence OT / IT. À charge des services « industriels » de gérer ensuite la stratégie des mises à jour des logiciels et applicatifs « métiers » en profitant des méthodes et de l’expertise des DSI dans la gestion du déploiement des mises à jour et des sauvegardes comme par exemple la gestion de la préproduction.

Choisir la voie de la préproduction dépendra de la criticité des systèmes, c’est l’analyse du risque qui imposera la méthode et les moyens. En fonction, soit pour des raisons de sécurité du personnel ou du public, soit pour des raisons de coût d’un éventuel arrêt de production ou d’activité ou encore de déclassement de la production pour indisponibilité des moyens de contrôle, il conviendra de mettre en perspective les risques encourus avec l’investissement en serveur de mises à jour, machines de préproduction, moyens informatiques et les changements d’habitudes de travail entre OT et IT.

Si l’on fait le choix d’un plan de préproduction, les machines sont réparties en deux groupes dans l’Active Directory :

• Un groupe de machines de test qui reçoivent en « avance de phase » les mises à jour que l’on souhaite valider,
• Un groupe de machines (ou unité d’organisation) connectées au WSUS qui ne recevront que les mises à jour validées.

Déployer les mises à jour sur des machines de préproduction signifie de disposer des licences logicielles pour ces machines ; soit une seconde licence du logiciel métier dédiée à la préproduction, soit une licence habituellement utilisée pour assurer des fonctions de redondance. Cet investissement est à mettre en perspective avec les différents avantages que l’on peut en tirer :

• Mesure et anticipation de l’impact des mises à jour de l’OS,
• Évaluation des mises à jour et correctifs des logiciels fournis par les éditeurs,
• Test des modifications d’une application et d’un paramétrage du produit,
• Fonction de redondance si elle n’existe pas déjà.

Comme beaucoup d’éditeurs informatique, Microsoft met en place une stratégie de mises à jour régulières et systématiques des OS. Ces mises à jour appliquées automatiquement sur des postes en exploitation, en milieu industriel, sont potentiellement extrêmement dangereuses pour la sécurité des biens et des personnes et peuvent entraîner des pertes d’exploitation voire des pertes financières.

La mise en œuvre d’une politique de déploiement des mises à jour, au travers d’un plan de maintenance avec une phase de préproduction, limite la survenance de ces risques tout en favorisant la démarche de digitalisation des processus nécessaire à la compétitivité industrielle et renforce l’intégrité des Systèmes d’Information face au risque cyber.

La réussite de cette démarche est étroitement liée à une collaboration constructive entre les équipes de l’informatique industrielle et celles de la DSI, basée sur le partage des compétences, des méthodes et des moyens.

ATYS CONCEPT vous accompagne dans la mise en œuvre de plans de Maintien en Condition Opérationnelle pour l’ensemble de ses solutions.

Article de ZD Net « Gérer les mises à jour de Windows 10, le mode d’emploi »  ici.
Article sur la cyber attaque de Baltimore ici.