Plugin System Updates : gestion centralisée des mises à jour

Les mises à jour sont le premier rempart contre les vulnérabilités. Le plugin System Updates de Rudder centralise la gestion des patchs sur l’ensemble de votre parc, avec planification, contrôle et traçabilité.

Pourquoi un plugin de mises à jour ?

Une vulnérabilité détectée ne sert à rien si vous ne pouvez pas la corriger facilement.

Le problème des mises à jour manuelles

Sans outil centralisé, mettre à jour un parc de serveurs implique :

• Se connecter à chaque serveur un par un
• Vérifier les mises à jour disponibles
• Appliquer les patchs en espérant ne rien casser
• Documenter ce qui a été fait (souvent oublié)

Résultat : les mises à jour sont reportées indéfiniment, et la dette de sécurité s’accumule.

Sans System Updates

Chaque admin gère ses serveurs à sa façon. Pas de visibilité globale, pas de planning, pas de traçabilité. Les patchs critiques traînent pendant des semaines.

Avec System Updates

Une seule interface pour voir l’état de tout le parc. Des campagnes planifiées avec fenêtres de maintenance. Un historique complet de chaque mise à jour.

Disponibilité et éditions

Le plugin System Updates fait partie de la solution Patch & Vulnerability Management de Rudder. Il est disponible dans :

• Rudder Enterprise : avec le focus “Patch & Vulnerability Management”
• Rudder Corporate Security Suite : inclut toutes les plugins

Fonctionnalités principales

Le plugin System Updates offre :

• Détection automatique : les mises à jour disponibles sont collectées lors de l’inventaire (quotidien par défaut, entre 0h et 6h), avec un rafraîchissement automatique toutes les 4 heures
• Visibilité : voir toutes les mises à jour disponibles sur tout le parc
• Planification : définir des fenêtres de maintenance, éviter les interventions en pleine journée
• Contrôle granulaire : appliquer les patchs de sécurité uniquement, ou toutes les mises à jour, ou des paquets spécifiques
• Automatisation : campagnes automatisées avec pre- et post-hooks (scripts exécutés avant/après les mises à jour)
• Traçabilité : historique complet de ce qui a été mis à jour et quand
• Intégration CVE : créer des campagnes directement depuis une CVE détectée

Lecture des informations

Après installation du plugin, un nouveau menu Patch management apparaît dans l’interface. Vous pouvez consulter les mises à jour disponibles de deux façons :

• Par node : liste des mises à jour disponibles sur un node spécifique
• Par mise à jour : liste de tous les nodes concernés par une mise à jour

Pour chaque node, les informations suivantes sont affichées :

Information	Description
Mises à jour sécurité	Nombre de patchs de sécurité disponibles
Autres mises à jour	Mises à jour fonctionnelles
Dernière mise à jour	Date de la dernière application
Politique	Règle appliquée au node

Intégration avec le Rudder Score

Le plugin System Updates alimente le sous-score System Updates du Rudder Score. Ce score reflète le niveau de “retard” de vos serveurs en termes de mises à jour.

Lire ce tableau

• Mises à jour sécurité : c’est le critère le plus important. Un serveur avec des patchs de sécurité en attente est activement vulnérable.
• Mises à jour totales : les mises à jour fonctionnelles sont moins urgentes mais contribuent au score global.

Score	Mises à jour sécurité	Mises à jour totales	Interprétation
A	0	< 50	Excellent : système à jour
B	1-5	50-75	Bon : quelques patchs en attente
C	5-20	75-125	Moyen : planifier une mise à jour
D	20-50	125-175	Préoccupant : dette en accumulation
E	50-80	175-250	Critique : intervention urgente
F	> 80	> 250	Danger : risque élevé d’incident

Campagnes de mise à jour

Les campagnes permettent de planifier des mises à jour sur plusieurs nodes de manière contrôlée. C’est la fonctionnalité centrale du plugin.

Deux types de campagnes

Rudder propose deux types de campagnes :

• System update : met à jour tous les paquets disponibles sur les nodes ciblés. C’est l’équivalent d’un apt upgrade ou yum update.
• Software update : met à jour uniquement des paquets spécifiques. Utile pour cibler un patch de sécurité précis sans toucher au reste.

Mode Audit

Les campagnes System Updates appliquent les mises à jour même si le node est en mode Audit. C’est un comportement voulu : les mises à jour de sécurité ne doivent pas être bloquées par le mode d’audit.

Planification des campagnes

Vous pouvez planifier vos campagnes de deux façons :

• Récurrent : exécution régulière (mensuelle ou hebdomadaire)
• Ponctuel (one-shot) : exécution unique à une date précise

Chaque campagne définit également une stratégie de redémarrage :

• Redémarrer : toujours redémarrer après les mises à jour
• Seulement si nécessaire : redémarrer uniquement si un paquet le requiert
• Seulement redémarrer les services : pas de reboot, juste les services

Créer une campagne

1. Définissez les critères

   • Nom et description : identifiez clairement la campagne
   • Nodes ciblés : par Groupe (ex: “Serveurs de production”)
   • Type de campagne : System update (tout) ou Software update (paquets spécifiques)
   • Stratégie de redémarrage : redémarrer, si nécessaire, ou services seulement

2. Planifiez l’exécution

   Choisissez entre récurrent (mensuel/hebdomadaire) ou ponctuel (one-shot).

3. Suivez l’avancement

   Le tableau de bord affiche l’état de chaque événement de campagne :

   • Planned : planifié, en attente d’exécution
   • Running : en cours d’exécution
   • Skipped : ignoré (node indisponible ou déjà à jour)
   • Completed : terminé (succès ou échec)

4. Validez les résultats

   Vérifiez que toutes les mises à jour ont été appliquées. Investiguez les échecs.

Pre- et post-hooks

Les campagnes peuvent exécuter des scripts personnalisés à trois moments clés du cycle de mise à jour :

• Pre-upgrade : avant les mises à jour (arrêter des services, sauvegarder)
• Pre-reboot : avant le redémarrage (notifications, vérifications)
• Post-upgrade : après les mises à jour (redémarrer des services, valider)

Déploiement des hooks

Les hooks ne sont pas configurés via l’interface web. Vous devez les déployer sur les nodes cibles via une directive Rudder normale (technique “File from shared folder” ou similaire).

Les scripts doivent être placés dans des répertoires spécifiques :

Linux :

/var/rudder/system-update/hooks.d/pre-upgrade/
/var/rudder/system-update/hooks.d/pre-reboot/
/var/rudder/system-update/hooks.d/post-upgrade/

Windows (supporté depuis la version 8.1.6) :

C:\Program Files\Rudder\system-update\hooks.d\pre-upgrade\
C:\Program Files\Rudder\system-update\hooks.d\pre-reboot\
C:\Program Files\Rudder\system-update\hooks.d\post-upgrade\

Tous les scripts présents dans ces répertoires sont exécutés par ordre alphabétique. Utilisez un préfixe numérique pour contrôler l’ordre (ex: 01-stop-service.sh, 02-backup.sh).

Intégration avec le plugin CVE

Si vous utilisez également le plugin CVE, vous pouvez créer une campagne directement depuis une CVE :

1. Depuis la page de détails d’une CVE, cliquez sur “Create campaign”
2. Un groupe dynamique est automatiquement créé avec les nodes vulnérables
3. La campagne cible ce groupe et les paquets à mettre à jour
4. Il ne reste qu’à définir la fenêtre de maintenance

Cette intégration permet de passer de la détection à la correction en quelques clics.

Bonnes pratiques

Une campagne mal planifiée peut causer plus de problèmes qu’elle n’en résout.

Les erreurs à éviter

Erreurs classiques

• Tout mettre à jour d’un coup : un patch incompatible peut impacter tout le parc simultanément
• Patcher en pleine journée : risque de redémarrage de services en production
• Ignorer les échecs : un node non patché reste vulnérable
• Oublier de tester : certains patchs cassent des applications

Les règles à suivre

1. Testez d’abord

   Appliquez les mises à jour sur un groupe de staging avant la production. Attendez 24-48h pour valider qu’aucune régression n’apparaît.

2. Planifiez intelligemment

   Les mises à jour doivent se faire pendant les fenêtres de maintenance. Les équipes doivent être disponibles en cas de problème.

3. Procédez par vagues

   D’abord 10% des serveurs, puis 30%, puis le reste. Cela limite l’impact d’un patch problématique.

4. Surveillez les échecs

   Investiguez immédiatement tout échec. Un échec peut indiquer un problème de configuration à corriger avant de continuer.

5. Documentez les exceptions

   Certains serveurs ne peuvent pas être mis à jour (logiciel certifié, dépendance figée). Documentez pourquoi et assurez la traçabilité.

Synergie CVE + System Updates

Les deux plugins fonctionnent ensemble pour créer un cycle vertueux de sécurité :

1. CVE détecte les vulnérabilités dans les paquets installés
2. Vous analysez et priorisez selon le score CVSS et le contexte
3. System Updates corrige via des campagnes planifiées
4. Rudder Score mesure l’amélioration de votre posture sécurité

Indicateur pour le management

Le Rudder Score permet de communiquer objectivement avec les décideurs. Au lieu de dire “on a appliqué des patchs”, vous pouvez montrer : “Notre score System Updates est passé de D à B en 2 semaines”.

À retenir

Les points clés

1. System Updates centralise les mises à jour — Une seule interface pour voir et gérer tout le parc.

2. Les campagnes structurent les déploiements — Planification, ciblage par groupe, suivi en temps réel.

3. Testez avant la production — Staging d’abord, puis déploiement par vagues progressives.

4. Surveillez et documentez — Les échecs doivent être investigués, les exceptions documentées.

5. Intégration CVE — Passez de la détection à la correction en quelques clics.

6. Pre/post-hooks — Automatisez les actions avant et après les mises à jour (arrêt de services, notifications, validations).

7. Le Rudder Score mesure vos progrès — Un indicateur objectif pour suivre la réduction de la dette de sécurité.

Guides de cette série

Introduction Rudder Présentation générale et positionnement par rapport à Ansible/Puppet.

Installation Installer le serveur et les agents Rudder.

Concepts fondamentaux Techniques, Directives, Groupes et Rules — les 4 piliers de Rudder.

Premier cas d'usage Créez votre première configuration complète en 15 minutes.

Conformité et audit Modes Audit/Enforce et Rudder Score.

Plugin CVE Détection automatique des vulnérabilités.

Plugin CIS Benchmarks Durcissement selon les référentiels CIS.

Plugin OpenSCAP Audits de conformité SCAP automatisés.